Flexibilização da LGPD para startups e pequenas e médias empresas
07 de fevereiro de 2022
A Autoridade Nacional de Proteção de Dados (ANPD) simplificou as regras de proteção de dados pessoais para empresas de pequeno porte e startups, flexibilizando uma série de pontos da Lei Geral de Proteção de Dados Pessoais (LGPD) por meio da Resolução CD nº 2 de 2022, publicada no dia 28 de janeiro.
As microempresas, empresas de pequeno porte e startups (definidos na resolução como “agentes de tratamento de pequeno porte”) estão dispensadas, por exemplo, da obrigatoriedade de nomeação do Data Protection Officer (DPO), mas continua sendo necessária a manutenção de um canal de comunicação para o exercício dos direitos dos titulares dos dados pessoais. A ANPD informou que a nomeação de um DPO, todavia, será considerada boa prática de governança pela Autoridade.
A resolução prevê a simplificação de exigências da LGPD nos seguintes pontos:
(i) do registro de operações de tratamento, conforme modelo a ser fornecido pela ANPD;
(ii) do procedimento de comunicação de incidentes de segurança, que contará com regulamentação específica a ser publicada pela ANPD;
(iii) da versão da Política de Segurança da Informação a ser elaborada por esses agentes, a qual deverá conter apenas os itens essenciais para a proteção de dados pessoais contra incidentes ou violações.
Na definição de agentes de tratamento de pequeno porte, a resolução utilizou os critérios previstos nas Leis Complementares nºs 123 de 2006 e 182 de 2021 que definem microempresas, empresas de pequeno porte e startups e que estabelecem tratamento favorecido e simplificado para as pessoas jurídicas enquadradas. Importante destacar que são consideradas microempresas e empresas de pequeno porte as entidades com faturamento anual de até R$ 4,8 milhões, e como startups as empresas com até 10 anos de inscrição no CNPJ, com faturamento bruto anual máximo de R$ 16 milhões e que utilizam modelos de negócios inovadores para geração de produtos ou serviços.
Não poderão se beneficiar do tratamento jurídico diferenciado da resolução os agentes de tratamento de pequeno porte que pertençam a grupo econômico de fato ou de direito com receita global maior que aquelas indicadas acima, ou aqueles que realizam tratamento de dados pessoais considerado como de alto risco.
Vale destacar que “a dispensa ou a flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares”. (art. 6º da resolução).
A resolução visa criar um ambiente mais favorável ao cumprimento da LGPD, conciliando a viabilidade operacional e de recursos das pequenas empresas e das startups com as regras mínimas de direitos e das liberdades dos titulares de dados pessoais.