Resolução ANPD - Empresas Pequeno Porte

Encaminhamos para conhecimento a RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022 – que Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte, publicada no DOU em 28/01/2022. ​

Destacamos que a FIESP participou da tomada de subsídios da ANPD para a elaboração da Norma de aplicação da LGPD para microempresas e empresas de pequeno porte com diversas contribuições incorporadas ao texto final do Regulamento. Confira abaixo os principais pontos do Regulamento: A QUAIS EMPRESAS SE APLICA? São participantes dos benefícios da resolução os agentes de tratamento de pequeno porte. Conforme a definição da lei, os agentes de pequeno porte são: · Microempresas; · Empresas de Pequeno Porte; · Startups; · Microempreendedor individual – MEI. QUEM NÃO PODERÁ SE BENEFICIAR DO TRATAMENTO JURÍDICO DIFERENCIADO PREVISTO NO REGULAMENTO? Empresas, que mesmo que se enquadrem nos termos da lei como Microempresas, Empresas de Pequeno Porte, Startups ou MEI, mas que realizem tratamento de alto risco para os titulares, ou aufiram receita bruta superior ao limite estabelecido em lei. · Para Microempresa e EPP: Valor superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais); · Para Startups: Valores superior a R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior. · Pertencimento a grupo econômico de fato ou de direito com receita global superior à prevista na Lei O QUE É O TRATAMENTO DE ALTO RISCO? Há dois critérios de análise para que se caracterize o tratamento de alto risco, sendo preciso que a empresa tenha uma hipótese de cada critério, de forma cumulativa, para que o tratamento de alto risco esteja presente, são eles: 1. Critérios Gerais: · Grande volume de dados: tratamento de dados pessoais em larga escala; · Danos ao titular dos dados: tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares; 2. Critérios específicos: · Novas tecnologias: uso de tecnologias emergentes ou inovadoras; · Vigilância de área públicas: vigilância ou controle de zonas acessíveis ao público, Exemplo: praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas; · Quando a máquina ou um software decide: decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; · Dados Sensíveis: utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos. A ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco. Havendo a solicitação da ANPD, quanto ao tratamento ou não de dados de alto risco, o agente de tratamento de pequeno porte, terá 15 (quinze) dias para responder. QUAIS SÃO AS OBRIGAÇÕES DO AGENTE DE TRATAMENTO DE PEQUENO PORTE? Comunicação com os titulares de dados ​Os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio: · Eletrônico; · Impresso; ou · Qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares. Conflitos com os titulares de dados Em caso de conflitos com os titulares dos dados, onde seja preciso negociação, mediação e conciliação de reclamações, os agentes de tratamentos de pequeno porte, mesmo os que realizem tratamento de alto risco, podem organizar-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais. Registro das atividades de tratamento (ROPA ou Inventário) Os agentes de pequeno porte podem, de forma simplificada, realizar o registro das operações de tratamento de dados pessoais (ROPA ou Inventário) por meio de um modelo a ser fornecido pela ANPD. Registros das operações de tratamento de dados pessoais, são os registros do ciclo de vida dos dados pessoais, as bases legais e como estão sendo tratados os dados pessoais do titular pela empresa. Segurança e das boas práticas Os agentes de tratamento de pequeno porte, podem possuir uma Política de Segurança Simplificada, como requisitos mínimos necessários, levando em consideração o porte da empresa, os recursos e volume de dados a serem tratados. Devem observar as boas práticas de prevenção a segurança, seguindo as orientações da ANPD, com medidas administrativas e técnicas. As boas práticas, o atendimento as recomendações, serão levados em consideração pela ANPD. Encarregado pelo tratamento de dados pessoais / DPO Os agentes de tratamento de pequeno porte não são obrigados a indicar ou contratar um encarregado responsável pelo tratamento de dados pessoais, mas devem disponibilizar um canal de comunicação com o titular de dados. A indicação de encarregado será considerada política de boas práticas de governança, o que beneficiará em uma eventual avaliação por parte da ANPD. Prazos diferenciados Os agentes de tratamento de pequeno porte terão prazo em dobro para: · Para respostas a requisições do titular dos dados; · Em caso de incidente de segurança, comunicação à ANPD e ao titular, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional; · Em relação aos prazos estabelecidos ou solicitados pela ANPD a outros agentes de tratamento. · No fornecimento de declaração clara e completa sobre os dados tratados, quando requisitado pelo titular (30 dias); · Para requisições, previstas no artigo 19, I da LGPD, o agente de tratamento de pequeno porte terá o prazo já estabelecido de 15 dias. OBS.: Os prazos acimas que não estão apontados na resolução, serão determinados por regulamentação específica pela ANPD. Comunicações dos incidentes de segurança A ANPD disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, nos termos da regulamentação específica. Disposições Gerais A dispensa ou flexibilização das obrigações não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, devendo respeitar as bases legais, os princípios, bem como direitos dos titulares. QUADRO RESUMO COM AS PRINCIPAIS MUDANÇAS A QUAIS EMPRESAS SE APLICA Microempresas, Empresas de Pequeno Porte, Startups e Microempreendedor Individual – MEI QUEM NÃO PODERÁ SE BENEFICIAR Empresas realizem tratamento de alto risco para os titulares, ou aufiram receita bruta, ou global superior ao limite estabelecido em lei. Para Microempresa e EPP: Valor superior a R$ 4.800.000,00 Para Startups: Valor superior a R$ 16.000.000,00 TRATAMENTO DE ALTO RISCO São utilizados 2 (dois) critérios de forma cumulativa (é preciso ao menos um item de cada critério) Critérios Gerais: larga escala, dados que possam causar danos ao titular dos dados Critérios específicos: Novas tecnologias, vigilância publica, decisões automatizadas, dados sensíveis. OBRIGAÇÕES RELACIONADAS AOS DIREITOS DO TITULAR Disponibilizar informações sobre o tratamento de dados pessoais por meios eletrônicos; impresso ou qualquer outro meio. Organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados. REGISTRO DAS OPERAÇÕES (FLUXOS DE DADOS - RELATÓRIOS) O Agente de pequeno porte, pode realizar um relatório simplificado (será fornecido pela ANPD) COMUNICAÇÃO DE INCIDENTE DE SEGURANÇA Procedimento simplificado (será fornecido pela ANPD) ENCARREGADO DE TRATAMENTO DE DADOS PESSOAIS / DPO Os agentes de pequeno porte NÃO são obrigados a indicar ou contratar (Devem disponibilizar um canal de comunicação com titular) A indicação de um DPO será considerada como boa prática de governança. SEGURANÇA E BOAS PRÁTICAS O agente de pequeno porte deve adotar medidas de segurança, conforme sua realidade (porte, econômica), mas considerando o nível de risco a privacidade dos titulares. Políticas de segurança simplificada, considerando, estrutura, custo, volume da operação. PRAZOS DIFERENCIADOS - Prazos em dobro para atendimento as solicitações dos titulares; - Prazos em dobro para a comunicação a ANPD em caso de incidentes; - Prazos em dobro para fornecimento de declaração completa ao titular;

- Prazos em dobro para apresentação de relatórios, documentos ou informações a ANPD;

- Declaração simplificada no prazo de 15 dias, quando requerida pelo titular.

Fonte: Federação das Indústrias do Estado de São Paulo (Fiesp)