ADEQUAÇÃO à LGPD: Aplicação da LGPD em empresas de pequeno porte
Grande parte das empresas que se adequou à LGPD são multinacionais ou de grande porte.
A explicação para tal fenômeno está embasada, em primeiro lugar, a exigência de infraestrutura e capital, eis que o processo engloba múltiplos setores da empresa.
Apesar disso, temos que a LGPD não se limita a regular a proteção de dados coletados, processados e armazenados por grandes empresas, mas, também, aquelas enquadradas como empresas de pequeno porte.
Nesse sentido, tal como as grandes empresas, as de pequeno porte que não se adequarem aos termos dispostos na Lei n.º 13.709/2018 (LGPD) podem estar suscetíveis as punições previstas, tais como sanções administrativas, multas etc.
Dessa forma, a fim de regulamentar a situação das empresas de pequeno porte (agentes de tratamento de pequeno porte), a Autoridade Nacional de Proteção de Dados (ANPD) aprovou, em 27 de janeiro de 2022, a Resolução de n.º 2, a qual prevê uma aplicação distinta da LGPD.
Assim, a Resolução nº 02/2022 indica algumas flexibilizações e/ou dispensas em certos aspectos, vejamos.
Temos que a ANPD definiu, em seu Artigo 2º da Resolução de nº 2, como agente de tratamento de pequeno porte aquelas conhecidas como: microempresas; empresas de pequeno porte; startups; pessoas jurídicas de direito privado, inclusive sem fins lucrativos; bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Afere-se, pois, que após a definição daqueles beneficiados, a ANPD disciplinou, por meio da Resolução, as flexibilizações, sendo algumas relacionadas a direitos; registros de atividades; comunicações de problemas; dispensas, segurança etc., as quais passaremos a analisar.
Do Acesso facilitado a informação
As empresas que se enquadrem como agentes de tratamento de pequeno porte (Artigo 2º da Resolução nº2/2022) devem atender ao disciplinado nos artigos 9 e 18 da LGPD, ou seja, serão obrigadas a liberar as informações sobre o tratamento dos dados pessoais, bem como atender a pedido dos titulares.
Neste ponto, toda e qualquer obrigação que seja em relação aos titulares de dados precisam ser disponibilizadas, isto é, por qualquer meio (físico ou eletrônico) desde que assegurados todos os benefícios dispostos na LGPD.
Do Lançamento Simplificado das Atividades
Tem-se que a LGPD dispõe que todos os agentes de tratamento de dados possuem como obrigação registrar as operações que realizarem; notadamente quando houver o que se chama de interesse legítimo. Contudo, não há indicação do modo que esse registro deve ser feito.
Assim, a ANDP, quando da confecção da Resolução de nº 02/2022, apontou que a execução da obrigação pode ser feita por modelo próprio da entidade; o que possibilitará o registro simplificado das operações.
Comunicação de Ocorrências
Em relação a comunicação de ocorrências de falha de segurança, não houve a manifestação da ANPD acerca de eventual flexibilização ou simplificação do procedimento.
Portanto, é necessário observar o prazo estipulado pela ANPD, isto é, pelo período que não há regulamentação específica sobre o tema; para a comunicação do incidente, ou seja, dois dias úteis.
Encarregado pelo tratamento de dados
A definição de encarregado (DPO) pelo tratamento de dados está prevista no Artigo 5º, inciso VIII da LGPD que dispõe que será uma:
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Nesta baila, o papel do encarregado é importantíssimo no processo de adequação da LGPD nas atividades da empresa, tendo em vista que sua atuação é indispensável para a organização de processos necessários na rotina empresarial.
Contrariamente ao entendimento acerca da presença crucial do DPO nas atividades empresariais, a Resolução nº 02/2022 trouxe a flexibilização do Artigo 41 da LGPD, ou seja, tornou-se dispensável a presença de uma pessoa para atuar neste canal de comunicação.
Contudo, apesar da possibilidade de dispensa do DPO, a presença do profissional é uma boa prática para empresas.
Ademais, porquanto haja a possibilidade da dispensa, é certo que se abriu a possibilidade da criação do DPO terceirizado, que pode ser uma pessoa física ou jurídica, que desenvolverá o papel externo de agente de tratamento.
Desse modo, a adequação a LGPD e a Resolução n.º 02/2022 da ANDP são necessárias a todos os tipos de empresa; que devem se pautar em orientações especializadas para cumprimento de forma integral.
Por fim, a LegalBr conta com profissionais habilitados para apoiar em todos os passos da adequação da sua empresa aos novos parâmetros trazidos pela LGPD. Entre em contato conosco.