A nova Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022 traz mudanças e tratamentos diferenciados da LGPD para empresas de pequeno porte. Se enquadram na categoria:
- sociedade empresária
- sociedade simples
- sociedade limitada unipessoal
- microempreendedor individual
- startups
- zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
Vamos às principais mudanças.
NÃO OBRIGATORIEDADE DE INDICAR ENCARREGADO À PROTEÇÃO DE DADOS
Assim como acontece na Europa, não haverá a obrigação de ter um encarregado de dados dentro da organização de pequeno porte. No entanto, não é só isso. A empresa que não indicar este encarregado, deverá disponibilizar um canal de comunicação com o titular dos dados para:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Ou seja, a obrigação de ter um encarregado passou a não mais existir, mas o exercício das funções básicas de um encarregado ainda continua obrigatório dentro da organização.
Caso a organização decida por ter um encarregado de dados, essa medida será considerada boa prática pela ANPD. Caso ocorra algum caso de sanção, seja ela administrativa ou judicial, tal atitude da empresa de pequeno porte será levada em consideração.
ORGANIZAÇÃO POR MEIO DE ENTIDADES DE REPRESENTAÇÃO DA ATIVIDADE EMPRESARIAL
A resolução dá a opção para que as empresas de pequeno porte se organizem por meio de entidades de representação, ou seja, poderão ter um representante, seja ele pessoa física ou jurídica, para aquela atividade empresarial específica.
As empresas de pequeno porte poderão unir forças para negociar, mediar e conciliar as reclamações realizadas pelos titulares de dados. Assim, facilitando a sua atuação e fornecendo suporte, umas às outras, para preencher todos os requisitos legais necessários e pedidos pela LGPD.
REGISTRO DAS ATIVIDADES DE TRATAMENTO SIMPLIFICADO
O inventário de dados, ou mais conhecido como ROPA (Record of Processing Activities) poderá ser realizado de forma simplificada pelas organizações de pequeno porte. A própria Agência Nacional de Proteção de Dados disponibilizará um modelo para que esses registros sejam realizados da melhor forma possível.
FLEXIBILIZAÇÃO DA COMUNICAÇÃO DE INCIDENTES
Foi flexibilizada / simplificada a comunicação de incidentes de segurança para agentes de tratamento de pequeno porte;
ADOÇÃO DE MEDIDAS DE SEGURANÇA ESSENCIAIS
Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento. Serão emitidos guias orientativos pela ANPD.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO SIMPLIFICADA
Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
PRAZOS DIFERENCIADOS
Prazo em dobro para os agentes de pequeno porte para:
- atender solicitações de titulares referentes ao tratamento de seus dados pessoais
- comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares
- fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD
✅ Obrigações dispensadas pelo regulamento poderão ser determinadas ao agente de pequeno porte pela ANPD, caso haja necessidade, considerando a natureza, volume das operações de tratamento, bem como os riscos para os titulares.
