Flexibilizações e dispensas na adequação à LGPD para agentes de
tratamento de pequeno porte, segundo a Resolução CD/ANPD nº 2/2022.

É uma grande preocupação das micro e pequenas empresas a adequação à Lei
Geral de Proteção de Dados.

A LGPD já previa uma regulamentação especial para os agentes de pequeno
porte, que, conforme a lei, são “microempresas, empresas de pequeno porte,
startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos
termos da legislação vigente, bem como pessoas naturais e entes privados
despersonalizados que realizam tratamento de dados pessoais, assumindo
obrigações típicas de controlador ou de operador”.

Esta Resolução entrou em vigor no dia 28 de janeiro de 2022, que flexibiliza e
dispensa algumas obrigações, porém não isenta a empresa de observar a LGPD,
pois o direito fundamental do titular de dados não se altera conforme o porte da
empresa que trata seus dados.

Para a adequação dos agentes de pequeno porte, foram “facilitados” os
seguintes itens, que terão seus procedimentos simplificados:

1) o registro das operações de tratamento;
2) as comunicações dos incidentes de segurança;
3) políticas de segurança da informação;
4) políticas de boas práticas;
5) não será necessário indicar o encarregado dos dados pessoais (DPO),
mas apenas disponibilizar um canal de comunicação com o titular, como
e-mail ou telefone;
6) os agentes de pequeno porte terão prazos em dobro para cumprir
determinadas questões, como por exemplo, o atendimento a demandas
dos titulares ou comunicação à ANPD de incidentes de segurança;

Estas facilidades trazem alívio aos micro e pequenos empresários, que temiam
ter um custo elevado para realizar a adequação como previa a lei inicialmente.

Entretanto, é válido lembrar que todas as empresas, independentemente do seu
porte, precisam se adequar à Lei.

Isto porque a adequação não depende do porte, mas sim da atividade da
empresa e do volume e do tipo de dados pessoais que manipula.
Esta resolução abrange as sociedades empresárias, sociedades simples, sociedades
limitadas unipessoais e microempreendedores individuais devidamente registrados
no órgão competente, segundo os critérios da Lei Complementar nº 123/2006. Da
mesma forma, se aplica às startups, cuja regulação é definida pelo Marco Legal das
Startups.

Importante frisar que estas facilidades não se aplicam às empresas que:

a) realizem tratamento de alto risco para os titulares;
b) aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei
Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I,
da Lei Complementar nº 182, de 2021; ou
c) pertençam grupo econômico de fato ou de direito, cuja receita global
ultrapasse os limites referidos acima, conforme o caso.

Segundo a Regulamentação, são consideradas de alto risco as operações de
tratamento de dados que atenderem pelo menos a um critério geral e um
específico, cumulativamente, dentre estes:

1) critérios gerais:
a. tratamentos de dados pessoais em larga escala; ou
b. tratamento de dados que possam afetar os interesses e direitos
fundamentais dos titulares;
2) critérios específicos:
a. uso de tecnologias emergentes ou inovadoras;
b. vigilância ou controle de zonas acessíveis ao público;
c. decisões tomadas unicamente com base em tratamento
automatizados de dados; ou
d. utilização de dados pessoais sensíveis ou de crianças,
adolescentes e de idosos.

Importante esclarecer o que são as zonas acessíveis ao público: “são espaços
abertos ao público, como praças, centros comerciais, vias públicas, estações de
ônibus, de metrô e de tem, aeroportos, portos, bibliotecas públicas, entre outros”.

Os artigos 6º e 7º da LGPD, que se referem aos princípios e hipóteses de
tratamento devem ser obrigatoriamente observados por qualquer pessoa
jurídica ou pessoa física que obtenha lucro, independentemente do porte ou
forma de tratamento de dados, porque não há como flexibilizar o direito
fundamental que o titular de dados tem à proteção de seus dados pessoais.

Portanto, mesmo se beneficiando de algumas facilidades, todo agente de
tratamento de dados pessoais precisa estar adequado à Lei a fim de evitar
diversos riscos à sua atividade e à sua imagem, perante seus titulares.

Além disso, a ANPD, sempre que entender necessário, poderá determinar o
cumprimento de obrigações dispensadas ou flexibilizadas no regulamento.

Por isso, é aconselhável uma análise jurídica a fim de identificar as obrigações a
que a empresa está sujeita, bem como aproveitar as facilidades das quais podem
se beneficiar.

Na dúvida, consulte o Sebrae (www.sebrae.com.br), que é uma entidade privada
sem fins lucrativos, criado para apoiar os pequenos negócios.

Bibliografia:

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.
Acesso em: 10/02/2022.
BRASIL. Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022. Disponível em:
https://in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019.
Acesso em 10/02/2022.
SILVA, Emerson Neves. Conheça a Resolução CD/ANPD nº 2/2022, que regulamenta o
tratamento jurídico diferenciado da LGPD. Administradores.com. Disponível em:
https://administradores.com.br/artigos/conhe%C3%A7a-a-resolu%C3%A7%C3%A3o-cd-anpdn%C2%BA-2-2022-que-regulamenta-o-tratamento-jur%C3%ADdico-diferenciado-da-lgpd-leigeral-de-prote%C3%A7%C3%A3o. Acesso em: 10/02/2022.
REGO, Maria Beatriz T. Resolução CD/ANPD 2: reforço da necessidade de adequação à LGPD.
Disponível em: https://www.migalhas.com.br/depeso/359509/resolucao-cd-anpd-2-reforco-danecessidade-de-adequacao-a-lgpd. Acesso em: 10/02/2022

Por: Ana Claudia Clausen Chaves