Products
By Use Cases By Roles
Data Command Center
View
Learn more

AI Security & Governance

Discover, assess, and safeguard AI usage

Learn more

Asset and Data Discovery

Discover dark and native data assets

Learn more

Data Access Intelligence & Governance

Identify which users have access to sensitive data and prevent unauthorized access

Learn more

Data Privacy Automation

PrivacyCenter.Cloud | Data Mapping | DSR Automation | Assessment Automation | Vendor Assessment | Breach Management | Privacy Notice

Learn more

Sensitive Data Intelligence

Discover & Classify Structured and Unstructured Data | People Data Graph

Learn more

Data Flow Intelligence & Governance

Prevent sensitive data sprawl through real-time streaming platforms

Learn more

Data Consent Automation

First Party Consent | Third Party & Cookie Consent

Learn more

Data Security Posture Management

Secure sensitive data in hybrid multicloud and SaaS environments

Learn more

Data Breach Impact Analysis & Response

Analyze impact of a data breach and coordinate response per global regulatory obligations

Learn more

Data Catalog

Automatically catalog datasets and enable users to find, understand, trust and access data

Learn more

Data Lineage

Track changes and transformations of data throughout its lifecycle

Learn more

Compliance Management

Automate Compliance with Global AI and Data Frameworks using Common Controls and Tests
Data Controls Orchestrator
View
Data Command Center
View
Sensitive Data Intelligence
View

Asset Discovery
Data Discovery & Classification
Sensitive Data Catalog
People Data Graph
Learn more

Privacy

Automate compliance with global privacy regulations

Data Mapping Automation

View

AI Security & Governance

View

Data Subject Request Automation

View

People Data Graph

View

Assessment Automation

View

Cookie Consent

View

Universal Consent

View

Vendor Risk Assessment

View

Breach Management

View

Privacy Policy Management

View

Privacy Center

View

Learn more

Security

Identify data risk and enable protection & control

Data Security Posture Management

View

AI Security & Governance

View

Data Access Intelligence & Governance

View

Data Risk Management

View

Data Breach Analysis

View

Learn more

Governance

Optimize Data Governance with granular insights into your data

Data Catalog

View

Data Lineage

View

Data Quality

View

AI Security & Governance

View

Compliance Management

View
Data Controls Orchestrator
View
Solutions
Technologies

Covering you everywhere with 1000+ integrations across data systems.

Snowflake

View

AWS

View

Microsoft 365

View

Salesforce

View

Workday

View

GCP

View

Azure

View

Oracle

View

Databricks

View

Learn more

Regulations

Automate compliance with global privacy regulations.

US California CCPA

View

CPRA
California Privacy Rights Act

View

European Union GDPR

View

Thailand’s PDPA

View

China PIPL

View

Canada PIPEDA Compliance Solution

View

Brazil's LGPD

View

+ More

View

Learn more

Roles

Identify data risk and enable protection & control.

Privacy

View

Security

View

Governance

View

Marketing

View
Resources

Blog

Read through our articles written by industry experts

Collateral

Product brochures, white papers, infographics, analyst reports and more.

Knowledge Center

Learn about the data privacy, security and governance landscape.

Securiti Education

Courses and Certifications for data privacy, security and governance professionals.
Company

About Us

Learn all about Securiti, our mission and history

Partner Program

Join our Partner Program

Contact Us

Contact us to learn more or schedule a demo

News Coverage

Read about Securiti in the news

Press Releases

Find our latest press releases

Careers

Join the talented Securiti team

Blog » Automação de privacidade de dados

LGPD para Pequenas Empresas e Startups

By Equipe de Pesquisa de Privacidade

Publicadas fevereiro 21, 2022

Em 28 de janeiro de 2022, a Autoridade Nacional de Proteção de Dados do Brasil, a ANPD, aprovou um importante regulamento que alterou a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) em ‘pequenas empresas’. Essa resolução foi aprovada conforme encargo dado à ANPD pelo artigo 55-J (XVIII) da LGPD. Esses novos regulamentos reduziram os requisitos de conformidade e facilitaram a adesão aos princípios de proteção de dados para pequenas empresas, startups e microempresas cobertas pela LGPD.

Essa abordagem contrasta fortemente com a abordagem da UE em relação à conformidade com o GDPR, que aplica os mesmos requisitos de conformidade abrangentes para pequenas empresas e em grandes corporações multinacionais. Isso tem sido alvo de algumas críticas, pois pequenas empresas, start-ups e microempresas não têm recursos para cumprir todo escopo do GPDR em comparação com empresas maiores e corporações multinacionais, tornando o GDPR um e uma medida anticompetitiva que desencoraja o empreendedorismo e a formação de pequenas empresas.

É importante observar que leis abrangentes de privacidade aprovadas por estados dos EUA, como a CCPA (que será substituída pela CPRA em janeiro de 2023) se aplicam automaticamente apenas a empresas que ultrapassam um determinado limite (em termos de receita ou número de pessoas cujos dados pessoais que tratam), excluindo as empresas mais pequenas que não dispõem de recursos para cumprir os rigorosos requisitos de proteção de dados impostos pela lei ou não têm um volume significativo de dados para que seja considerado importante para que o tenham de cumprir.

Detalhamos as mudanças na aplicação da LGPD para pequenas empresas, startups e microempresas de acordo com estes novos regulamentos:

1. Aplicação

De acordo com os Artigos 1 e 2 destes novos regulamentos, eles se aplicam apenas a 'Agentes de Processamento de Pequeno Porte' que são definidos como:

microempresas, pequenas empresas, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos;
- microempresas e pequenas empresas: sociedade empresária, sociedade simples, sociedade unipessoal de responsabilidade limitada, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021 e os empresários referidos no art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), inclusive os microempreendedores individuais, devidamente registrados no Registro de Empresas Comerciais ou no Registro Civil de Pessoas Jurídicas, que se enquadram nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006; e pessoas físicas e entidades privadas despersonalizadas que tratam dados pessoais, assumindo obrigações típicas de controlador ou operador;
- Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação se caracterize pela inovação aplicada a um modelo de negócio ou a produtos ou serviços oferecidos, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho 2021.

Os Agentes Processadores de Pequena Dimensão que não podem beneficiar deste regulamento são aqueles que:

Sujeitam os dados pessoais dos titulares dos dados a tratamento/processamento de alto risco;
Auferem receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou
pertençam a um grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites acima referidos, conforme o caso.

Também é importante observar que:

A presente regulamentação não se aplica ao tratamento de dados pessoais efetuado por pessoa singular para fins exclusivamente privados e não econômicos, bem como nos demais casos previstos no art. 4º da LGPD.

2. Tratamento/processamento de alto risco

De acordo com o artigo 4.º deste regulamento, para que uma operação de tratamento/tratamento de dados pessoais seja considerada um tratamento/tratamento de alto risco, a operação/tratamento de tratamento deve cumprir um critério geral e um específico:

Os critérios gerais são definidos como:
- tratamento de dados pessoais em grande escala: O tratamento de dados pessoais em grande escala caracteriza-se por uma operação de tratamento que comprometa dados pessoais que abranja um número significativo de titulares de dados, considerando também o volume de dados envolvidos, bem como a duração, frequência e extensão geográfica do tratamento realizado; e
- tratamento de dados pessoais que possam afetar significativamente os interesses e direitos fundamentais dos titulares: O tratamento de dados pessoais que possam afetar significativamente os interesses e direitos fundamentais dos titulares dos dados será caracterizado, entre outras situações, naqueles em atividades de tratamento que possam impedir o exercício de direitos ou a utilização de um serviço pelos titulares dos dados, bem como causar-lhes danos materiais ou morais, tais como discriminação, violação da integridade física, direito à imagem e reputação, fraude financeira ou roubo de identidade.
Os critérios específicos são:
- uso de tecnologias emergentes ou inovadoras;
- vigilância ou controle de áreas acessíveis ao público;
- decisões tomadas exclusivamente com base no tratamento automatizado de dados pessoais, incluindo aquelas destinadas a definir o perfil pessoal, profissional, de saúde, consumidor e crédito ou aspectos da personalidade do titular; ou
- uso de dados pessoais sensíveis ou dados pessoais de crianças, adolescentes e idosos.

A ANPD poderá fornecer guias e diretrizes com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco e caberá às entidades de pequeno porte comprovar que são Agentes de Processamento de Pequeno Porte nos termos deste regulamento ou enquadram-se nas cláusulas de exclusão, no prazo de 15 dias contados da notificação da ANPD.

3. Disposições não isentas

De acordo com o artigo 6º do novo regulamento, a dispensa ou flexibilização das obrigações previstas neste regulamento não isenta os pequenos agentes de processamento de cumprir outras disposições da LGPD, incluindo as bases e princípios legais, outras disposições legais, regulamentares e contratuais relativos à proteção de dados pessoais, bem como aos direitos dos titulares dos dados (DSRs).

De acordo com o artigo 16, a ANPD poderá exigir dos Agentes Processadores de Pequeno Porte o cumprimento das obrigações originárias da LGPD, que podem ter sido dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, como a natureza ou volume de operações, bem como os riscos para o titular dos dados.

4. Direitos do Titular dos Dados

Nos termos do artigo 7.º do presente regulamento, os Agentes de Tratamento de Pequena Dimensão devem prestar informação sobre o tratamento de dados pessoais e dar resposta às solicitações dos titulares dos dados (preenchimento do pedido de DSR) de acordo com o disposto nos arts. 9º e 18º da LGPD, por meio eletrônico, impresso ou qualquer outro meio que facilite o acesso às informações.
Nos termos do artigo 8.º do novo regulamento, os Pequenos Agentes de Processamento, mesmo os abrangidos pela cláusula de exclusão da realização de atividades/tratamentos de alto risco, podem organizar-se através de entidades representativas da atividade empresarial, pessoas jurídicas ou pessoas físicas para efeitos de negociação, mediação e conciliação das reclamações apresentadas pelos titulares dos dados.

5. ROPAs simplificados

De acordo com o artigo 9º da nova regulamentação, a ANPD fornecerá um modelo simplificado aos Agentes Processadores de Pequeno Porte para a elaboração e manutenção de relatórios ROPA (registro de atividades de processamento de dados pessoais), conforme exigido pelo artigo 37 da LGPD.

6. Notificações de violação simplificadas

De acordo com o artigo 10 da nova regulamentação, a ANPD deverá aprovar novas regulamentações de flexibilidade ou procedimento simplificado para comunicação de incidentes de segurança para Agentes de Processamento de Pequeno Porte.

7. Isenção da Nomeação do Diretor de Proteção de Dados (DPO)

De acordo com o artigo 11 deste regulamento, os Agentes de Processamento de Pequeno Porte não são obrigados a indicar o responsável pelo processamento de dados pessoais (ou seja, o Data Protection Officer - DPO) conforme exigido pelo artigo 41 da LGPD. No entanto, aquelas entidades que não designarem um responsável devem disponibilizar um canal de comunicação com o titular dos dados para cumprir o disposto no artigo 41, § 2º, inciso I, da LGPD.

8. Segurança e Boas Práticas

Nos termos do artigo 12.º deste regulamento, os Pequenos Agentes de Tratamento devem adotar as medidas administrativas e técnicas essenciais e necessárias com base em requisitos mínimos de segurança da informação para a proteção de dados pessoais.
- Os Agentes de Processamento de Pequeno Porte devem considerar o nível de risco para a privacidade dos titulares de dados e suas circunstâncias particulares.
- A observância das recomendações e boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias de orientação, será considerada como atendimento ao disposto no artigo 52, § 1º, VIII, da LGPD.
Nos termos do artigo 13.º do presente regulamento, os Agentes de Processamento de Pequeno Porte devem estabelecer uma política simplificada de segurança da informação, que inclua requisitos essenciais e necessários à proteção do tratamento de dados pessoais, de forma a protegê-los contra acessos não autorizados e de ataques acidentais ou de situações ilegais.
- A política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, escala e volume de operações da entidade.
- Por fim, a ANPD considerará a existência de uma política simplificada de segurança da informação para fins de apuração de multa por descumprimento, conforme obriga o art. IX) da LGPD.

9. Cronogramas Estendidos

De acordo com o artigo 14.º do novo regulamento, foram prorrogados os seguintes prazos, concedendo-se um prazo duplo aos Agentes Processadores de Pequena Dimensão:

Para atender às solicitações de DSRs relativas ao tratamento de dados pessoais do titular dos dados, conforme previsto no artigo 18(§3º) e (§5º) da LGPD;
Para notificar os titulares dos dados afetados e a ANPD da ocorrência de um incidente de segurança que possa causar risco ou dano significativo, a menos que haja um potencial comprometimento à integridade física ou moral dos titulares dos dados ou à segurança nacional devido à violação;
Por fornecer declaração clara e completa, conforme exigido pelo artigo 19(II) da LGPD.
Para apresentação de informações, documentos, relatórios e registros solicitados pela ANPD aos demais agentes de processamento.

Nos termos do art. 15 deste regulamento, os Agentes de Processamento de Pequeno Porte poderão prestar a declaração simplificada a que se refere o art. 19(I) da LGPD dentre do prazo de até 15 dias, contados a partir da data do requerimento do titular.

Nota: O regulamento também estabelece que os prazos não previstos neste regulamento para Agentes Processadores de Pequeno Porte serão determinados por regulamento específico.

Como a Securiti pode ajudar

A dinâmica mundial de acesso, proteção e compartilhamento de dados pessoais está evoluindo rapidamente, exigindo que as empresas se tornem mais conscientes da privacidade de seus processos e dos guardiões responsáveis pelos dados de seus clientes, ao mesmo tempo em que automatizam as operações de privacidade e segurança para que cumpram os direitos dos titulares dos dados e tenham conformidade perfeita.

Com um banco de dados de usuários cada vez maior, as empresas devem adotar a automação robótica para operacionalizar a conformidade e evitar ficar para trás na automação de seus processos.

A Securiti é uma renomada solução de inteligência de dados, conformidade de dados e governança baseada em IA. Devido à sua plataforma PrivacyOps, organizações grandes ou pequenas podem cumprir perfeitamente as leis e regulamentos globais de proteção de dados com um único clique.

Solicite uma demonstração hoje para descobrir como a Securiti pode operacionalizar a conformidade com a LGPD.