Em 27 de janeiro de 2022, a ANPD – Autoridade Nacional de Proteção de Dados aprovou o regulamento para tratamento de dados pessoais realizados por Agentes de Pequeno Porte. Com isso, a legislação passa a ser mais branda para esse tipo de empresa, ou seja, mais simplificada e com menos exigências.
Agentes de Pequeno Porte, segundo a Lei, são microempresas, empresas de pequeno porte, startups e pessoas físicas que realizam tratamento de dados pessoais no dia a dia. Já os conceitos de microempresas e empresas de pequeno porte são definidos como toda sociedade empresária, sociedade simples, sociedade limitada unipessoal e microempresas individuais (MEI). As startups, por sua vez, são todas as empresas que se enquadram nas regras previstas na Lei Complementar nº 182, de 01/06/2021, conhecida como Marco Legal das Startups.
Em todos os casos, empresas que possuam receita bruta anual superior a R$ 4,8 milhões (empresas de pequeno porte) ou de R$ 16 milhões (startups) não podem se valer dos benefícios do novo regulamento. Da mesma forma, empresas que pertençam a grupos econômicos que extrapolam os limites acima informados ou as que realizam tratamentos de dados de alto risco para os titulares também não podem usufruir dessas facilidades.
A nova regra retira a obrigatoriedade de microempresas, empresas de pequeno porte e startups, de nomear um Encarregado de Dados, pessoa física ou jurídica que seria a responsável por todo e qualquer tratamento de dado pessoal realizado.
Para tanto, a organização deverá criar e divulgar canais de acesso para que os titulares dos dados pessoais realizem consultas e eventuais solicitações. Tais canais podem ser um número de telefone ou endereço de e-mail, por exemplo, e devem ser divulgados no site da empresa, de preferência em conjunto com a Política de Segurança de Dados, que poderá mais simples. Isso pode ocorrer desde que haja garantia da proteção contra os principais problemas ocorridos no dia a dia, tais como o acesso não autorizado, destruição, perda ou o compartilhamento indevido de dados pessoais.
Quanto às boas práticas que devem ser implementadas pelas empresas, a ANPD editará informativos e cartilhas que servirão como base e referência quanto as obrigações mínimas que deverão ser seguidas. Tudo leva a crer que serão recomendações mais simples que as previstas em normas técnicas, como ISO 27001, 27002, 27701 e em frameworks como ITIL e COBIT, por exemplo.
O objetivo dessa nova regulamentação é tornar mais simples e menos custosa a adequação de empresas de pequeno porte, de microempresas e de startups à LGPD, o que tornará ainda mais viável a adequação, ao invés de arcar com as pesadas multas e outras sanções administrativas, em caso de descumprimento da legislação.
Autor: Enrico Gutierres Lourenço – Advogado especialista em Lei Geral de Proteção de Dados (LGPD) da Greve Pejon Sociedade de Advogados.
Por: João Paulo Baxega – Dínamus Comunicação