Informamos que foi publicada a Resolução CD/ANPD nº 2/2022, que regulamenta o tratamento jurídico diferenciado da LGPD (Lei Geral de Proteção de Dados) para agentes de tratamento de pequeno porte, incluindo startups.  

Para o tema, são considerados agentes de pequeno porte: microempresas e empresas de pequeno porte, nos termos da Lei Complementar 123/2006; startups, nos termos da Lei Complementar 182/2021; pessoas jurídicas de direito privado sem fins lucrativos, pessoas naturais que realizam tratamento de dados pessoais para fins econômicos, bem como entes privados despersonalizados.

Entre os principais pontos de flexibilização e dispensa das obrigações para agentes de pequeno porte, encontram-se:

  • A simplificação do Registro de Operações de Tratamento (ROPA ou Inventário), para o qual a ANPD fornecerá modelo padrão;
  • Procedimento simplificado de comunicação de incidentes de segurança, que contará com regulamentação específica a ser publicada pela ANPD;
  • Dispensa da obrigatoriedade de nomeação do Encarregado (Data Protection Officer ou DPO), devendo manter apenas canal de comunicação para o exercício dos direitos dos titulares. Ainda assim, caso o agente de pequeno porte opte pela nomeação do DPO, a indicação será considerada boa prática de governança pela ANPD;
  • Possibilidade de simplificação da Política de Segurança da Informação, contendo apenas os itens essenciais para a proteção de dados pessoais contra incidentes ou violações;
  • Prazo em dobro para resposta às requisições dos titulares de dados e realização de comunicações em caso de incidentes de segurança, observada a regulamentação própria a ser publicada sobre o tema pela ANPD;
  • Possibilidade de agentes de tratamento de pequeno porte, inclusive aqueles que realizam tratamento de alto risco, se organizarem por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados (artigo 8º).

Lembramos que a dispensa ou a flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.

Não poderão se beneficiar das regras simplificadas os agentes de tratamento de pequeno porte que:

  • Realizam de tratamento de alto risco para os titulares, segundo a cumulação dos parâmetros previstos na Resolução;
  • Detém receita bruta superior ao limite previsto na Lei Complementar nº 123/2006 ou na Lei Complementar nº 182/2021; e
  • Pertencem a grupo econômico de fato ou de direito com receita global superior à prevista na Lei Complementar nº 123/2006 ou na Lei Complementar nº 182/2021.

Por fim, o artigo 5º da Resolução prevê a possibilidade de a ANPD solicitar ao agente de pequeno porte comprovação, em até 15 dias, do devido enquadramento nas condições necessárias para gozar dos benefícios do regulamento.

Nossa equipe está à disposição para maiores esclarecimentos sobre o assunto.