A LGPD e os agentes de tratamento de pequeno porte

A Autoridade Nacional de Proteção de Dados deu mais um passo firme ao editar em 27 de janeiro, a resolução CD/ANPD 2.Esta resolução regulamenta a aplicação da Lei Geral de Proteção de Dados - LGPD às empresas de pequeno porte, quais sejam: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

A resolução CD/ANPD 2 veio após discussão em audiência pública1 realizada em setembro de 2021 com o objetivo de aprovar o regulamento² de aplicação da LGPD para agentes de tratamento de pequeno porte.

O inciso I, do art. 2º da resolução CD/ANPD 02, deixa claro para os atores apontados, que estão sujeitos à LGPD e que a adequação é necessária, quando na atividade ou no negócio houver tratamento de dados pessoais ou dados pessoais sensíveis.

A adequação à Lei Geral de Proteção de Dados para os agentes de tratamento de pequeno porte, conforme já previsto no inciso XVIII, do art. 55-J, dependia de regramento próprio.

E esse regramento próprio é que será aplicado para as microempresas e empresas de pequeno porte: a sociedade empresária, a sociedade simples, a sociedade limitada unipessoal; o empresário a que se refere o art. 966 do Código Civil e o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas e que se enquadre nos termos do art. 3º e 18-A, §1º da lei complementar 123/06.

São agentes de pequeno porte, ainda, as startups, ou seja, as organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados e que atendam aos critérios previstos no capítulo II da lei complementar 182/21. Veja-se:

O disposto no art. 3º do regulamento prevê exceções quanto ao tratamento jurídico diferenciado, ou seja, a quem não serão aplicáveis as regras constantes na resolução.

A primeira hipótese diz respeito aos agentes de pequeno porte que realizem tratamento de alto risco para os titulares, como adiante se verá.

Também não poderá ser aplicado o regulamento às microempresas que possuírem receita bruta superior a R$360 mil, às empresas de pequeno porte que auferirem receita bruta superior a R$4.800.000,00, bem como às startups cuja receita bruta seja superior a R$16.000.000,00 no ano-calendário anterior, ou a R$1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses, independentemente da forma societária adotada.

Por fim, não estarão sujeitos ao Regulamento os grupos econômicos de fato ou de direito, cuja receita global ultrapasse os limites acima mencionados, que permitam classificar os agentes como microempresas ou empresas de pequeno porte.

Em resumo, as exceções em tela são assim tratadas pelo regulamento:

Retomando a exceção referente ao tratamento de alto risco para os titulares, o regulamento dividiu essa categoria em critérios gerais e critérios específicos, exigindo a presença cumulativa de pelo menos um de cada:

Como critério geral tem-se o tratamento de dados pessoais realizado em larga escala caracterizado pelo número significativo de titulares, tendo em conta ainda o volume de dados envolvidos na operação, os aspectos para a sua determinação, como a duração desse tratamento, com que frequência foi realizado e também a extensão geográfica alcançada.

Ainda, incluem-se nesse critério o tratamento que afete de maneira significativa os interesses e direitos fundamentais de seus titulares, como é o caso daquele que venha a impedir o exercício dos direitos do titular ou inviabilizar algum serviço, de modo que a prática provoque uma situação que tenha como resultado danos materiais ou morais para o destinatário, a exemplo de práticas relacionadas à discriminação, violação à integridade física, ao direito de imagem e à reputação, fraudes financeiras ou roubo de identidade.

Já os critérios específicos são tipificados pelo uso de tecnologia emergente ou inovadora; pela vigilância ou controle de zonas acessíveis ao público; por meio de decisões tomadas com base em tratamento automatizado dos dados, incluindo também aquelas para definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou outros aspectos que estejam relacionados à personalidade do titular; e por fim, no caso da utilização dos dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes e idosos.

Note-se que ao estabelecer em Regulamento quem são os agentes de pequeno porte, estes não ficam desobrigados de observar a LGPD, mas a eles se flexibilizou o regramento, a dosagem dos procedimentos e a aplicação de sanções administrativas.

Assim, a ANPD atribui aos agentes de pequeno porte as seguintes obrigações diferenciadas: atendimento das requisições dos titulares, de forma mais simples, mediante o uso de meios eletrônico, impresso ou outra forma que assegure o exercício desses direitos e facilite o acesso ao interessado; registros simplificados, tanto na implementação como na manutenção; políticas simplificadas; indicação facultativa de Encarregado, porém recomendada por ser considerada uma medida de boas práticas e governança nos casos de possíveis sanções; disponibilização de um canal de comunicação com o titular, com vistas a atender as finalidades do art. 42, § 2º, I, da LGPD; bem como, prazo em dobro e estendido nas situações pontuais elencadas no Regulamento, conforme quadro abaixo:

Dito isto, vê-se que o regulamento reconhece a condição especial dos agentes de pequeno porte e flexibiliza as regras atinentes à proteção de dados em relação a eles, possibilitando a elaboração de políticas mais simples e objetivas e recomendando a adoção de guias orientativos, sempre com o objetivo de conscientizar os envolvidos no tratamento, nos processos e nos procedimentos.

_____

1 ANPD abre consulta pública e inscrições para audiência pública sobre norma de aplicação da LGPD para microempresas e empresas de pequeno porte. Disponível em: https://bityli.com/UnVZi.

2 Resolução CD/ANPD Nº 2, de 27 de Janeiro de 2022. Disponível em: https://bityli.com/UdnEb.