LGPD para Pequenas Empresas e Startups

Em 28 de janeiro de 2022, a Autoridade Nacional de Proteção de Dados do Brasil, a ANPD, aprovou um importante regulamento que alterou a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) em ‘pequenas empresas’. Essa resolução foi aprovada conforme encargo dado à ANPD pelo artigo 55-J (XVIII) da LGPD. Esses novos regulamentos reduziram os requisitos de conformidade e facilitaram a adesão aos princípios de proteção de dados para pequenas empresas, startups e microempresas cobertas pela LGPD.

Essa abordagem contrasta fortemente com a abordagem da UE em relação à conformidade com o GDPR, que aplica os mesmos requisitos de conformidade abrangentes para pequenas empresas e em grandes corporações multinacionais. Isso tem sido alvo de algumas críticas, pois pequenas empresas, start-ups e microempresas não têm recursos para cumprir todo escopo do GPDR em comparação com empresas maiores e corporações multinacionais, tornando o GDPR um e uma medida anticompetitiva que desencoraja o empreendedorismo e a formação de pequenas empresas.

É importante observar que leis abrangentes de privacidade aprovadas por estados dos EUA, como a CCPA (que será substituída pela CPRA em janeiro de 2023) se aplicam automaticamente apenas a empresas que ultrapassam um determinado limite (em termos de receita ou número de pessoas cujos dados pessoais que tratam), excluindo as empresas mais pequenas que não dispõem de recursos para cumprir os rigorosos requisitos de proteção de dados impostos pela lei ou não têm um volume significativo de dados para que seja considerado importante para que o tenham de cumprir.

Detalhamos as mudanças na aplicação da LGPD para pequenas empresas, startups e microempresas de acordo com estes novos regulamentos:

1. Aplicação

De acordo com os Artigos 1 e 2 destes novos regulamentos, eles se aplicam apenas a 'Agentes de Processamento de Pequeno Porte' que são definidos como:

• microempresas, pequenas empresas, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos;
  • microempresas e pequenas empresas: sociedade empresária, sociedade simples, sociedade unipessoal de responsabilidade limitada, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021 e os empresários referidos no art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), inclusive os microempreendedores individuais, devidamente registrados no Registro de Empresas Comerciais ou no Registro Civil de Pessoas Jurídicas, que se enquadram nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006; e pessoas físicas e entidades privadas despersonalizadas que tratam dados pessoais, assumindo obrigações típicas de controlador ou operador;
  • Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação se caracterize pela inovação aplicada a um modelo de negócio ou a produtos ou serviços oferecidos, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho 2021.

Os Agentes Processadores de Pequena Dimensão que não podem beneficiar deste regulamento são aqueles que:

• Sujeitam os dados pessoais dos titulares dos dados a tratamento/processamento de alto risco;
• Auferem receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou
• pertençam a um grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites acima referidos, conforme o caso.

Também é importante observar que:

• A presente regulamentação não se aplica ao tratamento de dados pessoais efetuado por pessoa singular para fins exclusivamente privados e não econômicos, bem como nos demais casos previstos no art. 4º da LGPD.

2. Tratamento/processamento de alto risco

De acordo com o artigo 4.º deste regulamento, para que uma operação de tratamento/tratamento de dados pessoais seja considerada um tratamento/tratamento de alto risco, a operação/tratamento de tratamento deve cumprir um critério geral e um específico:

• Os critérios gerais são definidos como:
  • tratamento de dados pessoais em grande escala: O tratamento de dados pessoais em grande escala caracteriza-se por uma operação de tratamento que comprometa dados pessoais que abranja um número significativo de titulares de dados, considerando também o volume de dados envolvidos, bem como a duração, frequência e extensão geográfica do tratamento realizado; e
  • tratamento de dados pessoais que possam afetar significativamente os interesses e direitos fundamentais dos titulares: O tratamento de dados pessoais que possam afetar significativamente os interesses e direitos fundamentais dos titulares dos dados será caracterizado, entre outras situações, naqueles em atividades de tratamento que possam impedir o exercício de direitos ou a utilização de um serviço pelos titulares dos dados, bem como causar-lhes danos materiais ou morais, tais como discriminação, violação da integridade física, direito à imagem e reputação, fraude financeira ou roubo de identidade.
• Os critérios específicos são:
  • uso de tecnologias emergentes ou inovadoras;
  • vigilância ou controle de áreas acessíveis ao público;
  • decisões tomadas exclusivamente com base no tratamento automatizado de dados pessoais, incluindo aquelas destinadas a definir o perfil pessoal, profissional, de saúde, consumidor e crédito ou aspectos da personalidade do titular; ou
  • uso de dados pessoais sensíveis ou dados pessoais de crianças, adolescentes e idosos.

A ANPD poderá fornecer guias e diretrizes com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco e caberá às entidades de pequeno porte comprovar que são Agentes de Processamento de Pequeno Porte nos termos deste regulamento ou enquadram-se nas cláusulas de exclusão, no prazo de 15 dias contados da notificação da ANPD.

3. Disposições não isentas

De acordo com o artigo 6º do novo regulamento, a dispensa ou flexibilização das obrigações previstas neste regulamento não isenta os pequenos agentes de processamento de cumprir outras disposições da LGPD, incluindo as bases e princípios legais, outras disposições legais, regulamentares e contratuais relativos à proteção de dados pessoais, bem como aos direitos dos titulares dos dados (DSRs).

De acordo com o artigo 16, a ANPD poderá exigir dos Agentes Processadores de Pequeno Porte o cumprimento das obrigações originárias da LGPD, que podem ter sido dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, como a natureza ou volume de operações, bem como os riscos para o titular dos dados.

4. Direitos do Titular dos Dados

• Nos termos do artigo 7.º do presente regulamento, os Agentes de Tratamento de Pequena Dimensão devem prestar informação sobre o tratamento de dados pessoais e dar resposta às solicitações dos titulares dos dados (preenchimento do pedido de DSR) de acordo com o disposto nos arts. 9º e 18º da LGPD, por meio eletrônico, impresso ou qualquer outro meio que facilite o acesso às informações.
• Nos termos do artigo 8.º do novo regulamento, os Pequenos Agentes de Processamento, mesmo os abrangidos pela cláusula de exclusão da realização de atividades/tratamentos de alto risco, podem organizar-se através de entidades representativas da atividade empresarial, pessoas jurídicas ou pessoas físicas para efeitos de negociação, mediação e conciliação das reclamações apresentadas pelos titulares dos dados.

5. ROPAs simplificados

De acordo com o artigo 9º da nova regulamentação, a ANPD fornecerá um modelo simplificado aos Agentes Processadores de Pequeno Porte para a elaboração e manutenção de relatórios ROPA (registro de atividades de processamento de dados pessoais), conforme exigido pelo artigo 37 da LGPD.

6. Notificações de violação simplificadas

De acordo com o artigo 10 da nova regulamentação, a ANPD deverá aprovar novas regulamentações de flexibilidade ou procedimento simplificado para comunicação de incidentes de segurança para Agentes de Processamento de Pequeno Porte.

7. Isenção da Nomeação do Diretor de Proteção de Dados (DPO)

De acordo com o artigo 11 deste regulamento, os Agentes de Processamento de Pequeno Porte não são obrigados a indicar o responsável pelo processamento de dados pessoais (ou seja, o Data Protection Officer - DPO) conforme exigido pelo artigo 41 da LGPD. No entanto, aquelas entidades que não designarem um responsável devem disponibilizar um canal de comunicação com o titular dos dados para cumprir o disposto no artigo 41, § 2º, inciso I, da LGPD.

8. Segurança e Boas Práticas

• Nos termos do artigo 12.º deste regulamento, os Pequenos Agentes de Tratamento devem adotar as medidas administrativas e técnicas essenciais e necessárias com base em requisitos mínimos de segurança da informação para a proteção de dados pessoais.
  • Os Agentes de Processamento de Pequeno Porte devem considerar o nível de risco para a privacidade dos titulares de dados e suas circunstâncias particulares.
  • A observância das recomendações e boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias de orientação, será considerada como atendimento ao disposto no artigo 52, § 1º, VIII, da LGPD.
• Nos termos do artigo 13.º do presente regulamento, os Agentes de Processamento de Pequeno Porte devem estabelecer uma política simplificada de segurança da informação, que inclua requisitos essenciais e necessários à proteção do tratamento de dados pessoais, de forma a protegê-los contra acessos não autorizados e de ataques acidentais ou de situações ilegais.
  • A política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, escala e volume de operações da entidade.
  • Por fim, a ANPD considerará a existência de uma política simplificada de segurança da informação para fins de apuração de multa por descumprimento, conforme obriga o art. IX) da LGPD.

9. Cronogramas Estendidos

De acordo com o artigo 14.º do novo regulamento, foram prorrogados os seguintes prazos, concedendo-se um prazo duplo aos Agentes Processadores de Pequena Dimensão:

• Para atender às solicitações de DSRs relativas ao tratamento de dados pessoais do titular dos dados, conforme previsto no artigo 18(§3º) e (§5º) da LGPD;
• Para notificar os titulares dos dados afetados e a ANPD da ocorrência de um incidente de segurança que possa causar risco ou dano significativo, a menos que haja um potencial comprometimento à integridade física ou moral dos titulares dos dados ou à segurança nacional devido à violação;
• Por fornecer declaração clara e completa, conforme exigido pelo artigo 19(II) da LGPD.
• Para apresentação de informações, documentos, relatórios e registros solicitados pela ANPD aos demais agentes de processamento.

Nos termos do art. 15 deste regulamento, os Agentes de Processamento de Pequeno Porte poderão prestar a declaração simplificada a que se refere o art. 19(I) da LGPD dentre do prazo de até 15 dias, contados a partir da data do requerimento do titular.

Nota: O regulamento também estabelece que os prazos não previstos neste regulamento para Agentes Processadores de Pequeno Porte serão determinados por regulamento específico.

Como a Securiti pode ajudar

A dinâmica mundial de acesso, proteção e compartilhamento de dados pessoais está evoluindo rapidamente, exigindo que as empresas se tornem mais conscientes da privacidade de seus processos e dos guardiões responsáveis pelos dados de seus clientes, ao mesmo tempo em que automatizam as operações de privacidade e segurança para que cumpram os direitos dos titulares dos dados e tenham conformidade perfeita.

Com um banco de dados de usuários cada vez maior, as empresas devem adotar a automação robótica para operacionalizar a conformidade e evitar ficar para trás na automação de seus processos.

A Securiti é uma renomada solução de inteligência de dados, conformidade de dados e governança baseada em IA. Devido à sua plataforma PrivacyOps, organizações grandes ou pequenas podem cumprir perfeitamente as leis e regulamentos globais de proteção de dados com um único clique.

Solicite uma demonstração hoje para descobrir como a Securiti pode operacionalizar a conformidade com a LGPD.