De acordo com a Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022, são considerados agentes de tratamento de pequeno porte: Microempresas; Empresas de pequeno porte; Startups; Pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente; Pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
A referida Resolução estabeleceu algumas regras diferenciadas para esses agentes. São elas:
– Obrigação de elaborar e manter registro das operações de tratamento de dados pessoais, de forma simplificada;
– Não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, mas devem manter um canal de comunicação com o titular de dados;
– Devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação;
– Podem estabelecer política simplificada de segurança da informação;
– Possuem prazo em dobro para as seguintes providências:
a) atendimento das solicitações dos titulares; b) Comunicação à ANPD e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; c) Fornecimento de declaração clara e completa ao titular de dados sobre o tratamento que realiza; d) Para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD.
No entanto, as flexibilizações não são aplicadas automaticamente em razão do porte da empresa. Além de se enquadrar como um agente de pequeno porte definido pela Resolução, outros requisitos também devem ser preenchidos para incidência das regras.
Ainda que sejam de pequeno porte, alguns agentes estão impedidos de se beneficiar das flexibilizações, conforme o artigo 3º da Resolução, que dispõe:
Art. 3º Não poderão se beneficiar do tratamento jurídico diferenciado previsto neste Regulamento os agentes de tratamento de pequeno porte que:
I – realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º;
II – aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou
III – pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.
Isso significa que não basta ser um agente de tratamento de pequeno porte para ter direito às flexibilizações. É necessário verificar outros critérios previstos pela ANPD.
Por isso a adequação à LGPD é específica. As regras a serem adotadas devem observar as peculiaridades do negócio e a realidade de tratamento de cada organização.
Por Maria Gabriela de Assis Souza