Série “LGPD para Pequenas Empresas” – Parte 1
Em janeiro de 2022, a Agência Nacional de Proteção de Dados (ANPD), publicou um conjunto de novas regras (Resolução CD/ANPD nº 2/2022), para desburocratizar e flexibilizar a adequação à Lei Geral de Proteção de Dados (LGPD) para pequenas e médias empresas.
Nessa série “LGPD para Pequenas Empresas”, iremos abordar a quem se aplicam as novas regras e quais as principais mudanças trazidas a estas empresas, além de dicas práticas para aplicar em seu negócio.
A aplicação das novas regras da LGPD
As novas regras se aplicam aos agentes de tratamento de pequeno porte, que são:
– Microempresas e empresas de pequeno porte;
– Startups;
– Organizações sem fins lucrativos.
E existem exceções?
Não terão os benefícios da flexibilização os agentes de pequeno porte que:
- Realizam tratamento de dados pessoais de alto risco
Um tratamento pode ser considerado de alto risco quando atender, cumulativamente, a pelo menos um critério geral e um critério específico:
Critérios gerais: quando o tratamento de dados pessoais for realizado em larga escala; o tratamento de dados pessoais pode afetar significativamente interesses e direitos fundamentais dos titulares.
Critérios específicos: uso de tecnologias emergentes ou inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Mesmo diante desses critérios, existe considerável margem para interpretação do que pode ou não ser considerado tratamento de alto risco, sendo assim, a própria Resolução menciona que a ANPD, poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.
Para caracterizar um tratamento em larga escala devem ser considerados fatores como: o número de titulares, o volume de dados pessoais envolvidos, duração, frequência e extensão geográfica do tratamento realizado.
Na segunda parte da Série “LGPD para Pequenas Empresas”, abordaremos mais um critério de exceção trazida pela Resolução além da exigência ou não do DPO, prazos em dobro para atender solicitações de titulares entre outros assuntos. Aguarde e confira.
Leia também em nosso Blog, a matéria sobre: “Tenho uma empresa pequena, devo adequá-la à LGPD?”.