Em 27 de janeiro de 2022, a ANPD – Autoridade Nacional de Proteção de Dados aprovou o regulamento para tratamento de dados pessoais realizados por Agentes de Pequeno Porte. Com isso, a legislação passa a ser mais branda para esse tipo de empresa, ou seja, mais simplificada e com menos exigências.
Agentes de Pequeno Porte, segundo a Lei, são microempresas, empresas de pequeno porte, startups e pessoas físicas que realizam tratamento de dados pessoais no dia a dia.
Já os conceitos de microempresas e empresas de pequeno porte são definidos como toda sociedade empresária, sociedade simples, sociedade limitada unipessoal e microempresas individuais (MEI).
As startups, por sua vez, são todas as empresas que se enquadram nas regras previstas na Lei Complementar nº 182, de 01/06/2021, conhecida como Marco Legal das Startups.
Em todos os casos, empresas que possuam receita bruta anual superior a R$ 4,8 milhões (empresas de pequeno porte) ou de R$ 16 milhões (startups) não podem se valer dos benefícios do novo regulamento.
Da mesma forma, empresas que pertençam a grupos econômicos que extrapolam os limites acima informados, ou as que realizam tratamentos de dados de alto risco para os titulares, também não podem usufruir dessas facilidades.
A nova regra retira a obrigatoriedade de microempresas, empresas de pequeno porte e startups, de nomear um Encarregado de Dados, pessoa física ou jurídica que seria a responsável por todo e qualquer tratamento de dado pessoal realizado.
Para tanto, a organização deverá criar e divulgar canais de acesso para que os titulares dos dados pessoais realizem consultas e eventuais solicitações. Tais canais podem ser um número de telefone e endereço de e-mail, por exemplo, e devem ser divulgados no site da empresa, de preferência em conjunto com a Política de Segurança de Dados.
A própria Política de Segurança de Dados poderá mais simples, mas desde que garanta a proteção contra os principais problemas ocorridos no dia a dia, tais como o acesso não autorizado, destruição, perda ou o compartilhamento indevido de dados pessoais.
Quanto às boas práticas que devem ser implementadas pelas empresas, a ANPD editará informativos e cartilhas que servirão como base e referência quanto as obrigações mínimas que deverão ser seguidas. Tudo leva a crer que serão recomendações mais simples que as previstas em normas técnicas, como ISO 27001, 27002, 27701, e em frameworks como ITIL e COBIT, por exemplo.
O objetivo dessa nova regulamentação é tornar mais simples e menos custosa a adequação de empresas de pequeno porte, de microempresas e de startups à LGPD, o que tornará ainda mais viável a adequação, ao invés de arcar com as pesadas multas e outras sanções administrativas, em caso de descumprimento da legislação.
Enrico Gutierres Lourenço – Greve Pejon Sociedade de Advogados