Qual o impacto do novo regulamento da ANPD para as startups?

Publicada em janeiro deste ano, a Resolução nº 02/2022 da Autoridade Nacional de Proteção de Dados (ANPD) é fruto de contribuições da comunidade por meio de consultas e audiências públicas ocorridas no ano passado.

O regulamento trouxe algumas mudanças para a aplicação da LGPD a agentes de tratamento de pequeno porte, incluindo startups, microempresas, empresas de pequeno porte, associações de pequeno porte, entre outros, com o intuito de reduzir os ônus e as dificuldades que os requisitos da lei poderiam gerar sobre esses negócios e atividades.

Cabe destacar que a Resolução não dispensa as empresas de menor porte de cumprirem as demais obrigações que determina a LGPD.

Quais os destinatários da Resolução nº 02/2022 da ANPD?

A resolução se aplica a quatro tipos de agentes de tratamento de dados, que podem ser empresas ou pessoas naturais:

● Agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;

● Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, e o empresário, incluído o microempreendedor individual;

● Startups: organizações empresariais ou societárias, com atuação focada em inovação, que atendam às exigências do Marco Legal das Startups;

● Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

Da mesma forma, as flexibilizações não serão aplicáveis – mantendo-se as

 – nos seguintes casos:

1. Quando o tratamento de dados for considerado de alto risco para os titulares;

2. Quando os agentes de tratamento auferirem receita bruta superior a R$ 4,8 milhões por ano, ou, no caso de startups, receita bruta superior a R$ 16 milhões por ano;

3. Quando os agentes de tratamento pertencerem a grupo econômico, de fato ou de direito, cuja receita global ultrapasse os limites referidos acima.

A ANPD poderá solicitar ao agente de tratamento que comprove o seu enquadramento nas situações de aplicação da resolução em prazo de quinze dias.

Em relação ao primeiro item, sobre o tratamento de dados pessoais de alto risco, o regulamento determina que deverá atender a pelo menos um critério geral e um critério específico.

Os critérios gerais são:

● Tratamento de dados pessoais em larga escala, ou seja, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;

● Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, que será caracterizado, entre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, além de ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Já nos critérios específicos são previstas quatro hipóteses:

• O uso de tecnologias emergentes ou inovadoras;
• A vigilância ou controle de zonas acessíveis ao público;
• As decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular;
• A utilização de dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes e idosos.

Por se tratar de um tema complexo, o regulamento prevê que a ANPD poderá disponibilizar guias e orientações sobre o tema do alto risco no futuro, de modo a auxiliar os agentes de tratamento de pequeno porte na avaliação de suas ações.

Principais pontos da LGPD flexibilizados pelo regulamento para startups

●     Atendimento aos direitos do titular

A transparência sobre os tratamentos de dados pessoais realizados e o atendimento às requisições dos titulares pode ser feito por meio eletrônico, impresso, ou qualquer outro que assegure os direitos dos titulares e o fácil acesso às suas informações.

●     Registros de atividades de tratamento

Entre as obrigações dos agentes de pequeno porte estão o registro de suas atividades de tratamento, assim como outras empresas maiores. Entretanto, startups, microempresas e outras instituições contempladas pela resolução da ANPD poderão fazer o registro de forma simplificada, conforme modelo disponibilizado pelo órgão.

●     Dispensa do Encarregado de Proteção de Dados (DPO)

O regulamento dispensa a obrigação de indicar um encarregado pelo tratamento de dados pessoais, ou seja, um Data Protection Officer (DPO).

No entanto, o texto determina que o agente de tratamento de pequeno porte tenha um canal de comunicação com o titular de dados para atender o princípio de livre acesso aos dados e, caso o tratamento seja realizado com base no consentimento, deverá atender a eventual revogação de consentimento solicitada pelo titular.

Embora não seja obrigatória, será considerada uma boa prática os agentes de pequeno porte que nomearem um DPO.

●     Prazos de resposta

Startups e agentes de pequeno porte têm prazo de 30 dias (o dobro) nas seguintes situações:

● Atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica;

● Comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação;

● Fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD;

● Em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Além disso, os agentes de tratamento de pequeno porte podem fornecer a declaração simplificada de que trata o art. 19, I, da LGPD no prazo de até 15 dias, contados da data do requerimento do titular.

De acordo com a Resolução, os prazos que não foram dispostos no regulamento serão determinados por regulamentação específica. A resolução menciona ainda que a ANPD irá disponibilizar um procedimento simplificado sobre como as empresas de menor porte devem reportar um incidente de segurança, enquanto isso, é recomendável utilizar o guia geral disponibilizado pelo órgão.

No caso das startups, por possuírem um ambiente de inovação, uma das principais formas de gerenciar os riscos de vazamento de dados é contar com uma assessoria jurídica especializada em proteção de dados. 

Para que possa haver uma análise dos procedimentos, bem como soluções que prezam pela eficiência e inovação em novos produtos e serviços, conte com os serviços da Becker Direito Empresarial, acesse nosso site.