Na primeira parte da Série “LGPD para Pequenas Empresas”, abordamos a quem se aplicam as novas regras e algumas exceções.
Nesta segunda parte, será retomada as exceções trazidas pela Resolução além do tema DPO e prazos, seguimos:
Receita bruta superior ao limite permitido
Também não estão incluídas nas novas regras as empresas que auferirem receita bruta superior ao limite permitido:
- para empresas de pequeno porte: receita bruta superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais), em cada ano-calendário;
- para startups: receita bruta superior a R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior;
- ou também no caso de a empresa pertencer a grupo econômico cuja receita global ultrapasse os limites referidos acima.
Encarregado de Proteção de Dados (DPO)
Os agentes de pequeno porte não precisarão mais indicar um encarregado de Proteção de Dados. Até então, a indicação de um encarregado era obrigatória independente do porte da empresa. Apesar da mudança, a ANPD informa que a nomeação deste profissional, mesmo que não obrigatória, é vista como uma boa prática de governança.
Importante destacar que a empresa de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
Prazos
A partir de agora, os agentes de pequeno porte passam a gozar de flexibilizações também em relação aos prazos. Vejamos dois exemplos:
- prazo em dobro para atender às solicitações dos titulares sobre o tratamento de seus dados pessoais. A LGPD prevê, como regra geral, um prazo de 15 dias. A partir das com as novas regras, os agentes de pequeno porte podem atender a estas solicitações em até 30 dias;
- prazo em dobro para comunicar a ocorrência de incidente de segurança (desde que não tenha risco de comprometer a integridade dos titulares ou a segurança nacional).
A definição de alguns prazos ainda segue pendente de regulamentação pela ANPD.
Na terceira parte da série, será abordado a forma de Registro de atividades de tratamento e os requisitos de segurança da informação. Acompanhe!