Notícias e Artigos

Qual o impacto do novo regulamento da ANPD para as startups?

Entenda a quem se aplica a Resolução nº 02/2022 da Autoridade Nacional de Proteção de Dados (ANPD) e as principais mudanças da LGPD para startups.
Rafael Reis
20 de Junho, 2022

Publicada em janeiro deste ano, a Resolução nº 02/2022 da Autoridade Nacional de Proteção de Dados (ANPD) é fruto de contribuições da comunidade por meio de consultas e audiências públicas ocorridas no ano passado.

O regulamento trouxe algumas mudanças para a aplicação da LGPD a agentes de tratamento de pequeno porte, incluindo startups, microempresas, empresas de pequeno porte, associações de pequeno porte, entre outros, com o intuito de reduzir os ônus e as dificuldades que os requisitos da lei poderiam gerar sobre esses negócios e atividades.

Cabe destacar que a Resolução não dispensa as empresas de menor porte de cumprirem as demais obrigações que determina a LGPD.

Quais os destinatários da Resolução nº 02/2022 da ANPD?

A resolução se aplica a quatro tipos de agentes de tratamento de dados, que podem ser empresas ou pessoas naturais:

Agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;

Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, e o empresário, incluído o microempreendedor individual;

Startups: organizações empresariais ou societárias, com atuação focada em inovação, que atendam às exigências do Marco Legal das Startups;

Zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

Da mesma forma, as flexibilizações não serão aplicáveis – mantendo-se as

 – nos seguintes casos:

1. Quando o tratamento de dados for considerado de alto risco para os titulares;

2. Quando os agentes de tratamento auferirem receita bruta superior a R$ 4,8 milhões por ano, ou, no caso de startups, receita bruta superior a R$ 16 milhões por ano;

3. Quando os agentes de tratamento pertencerem a grupo econômico, de fato ou de direito, cuja receita global ultrapasse os limites referidos acima.

A ANPD poderá solicitar ao agente de tratamento que comprove o seu enquadramento nas situações de aplicação da resolução em prazo de quinze dias.

Em relação ao primeiro item, sobre o tratamento de dados pessoais de alto risco, o regulamento determina que deverá atender a pelo menos um critério geral e um critério específico.

Os critérios gerais são:

● Tratamento de dados pessoais em larga escala, ou seja, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;

● Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, que será caracterizado, entre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, além de ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Já nos critérios específicos são previstas quatro hipóteses:

  • O uso de tecnologias emergentes ou inovadoras;
  • A vigilância ou controle de zonas acessíveis ao público;
  • As decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular;
  • A utilização de dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes e idosos.

Por se tratar de um tema complexo, o regulamento prevê que a ANPD poderá disponibilizar guias e orientações sobre o tema do alto risco no futuro, de modo a auxiliar os agentes de tratamento de pequeno porte na avaliação de suas ações.

Principais pontos da LGPD flexibilizados pelo regulamento para startups

●     Atendimento aos direitos do titular

A transparência sobre os tratamentos de dados pessoais realizados e o atendimento às requisições dos titulares pode ser feito por meio eletrônico, impresso, ou qualquer outro que assegure os direitos dos titulares e o fácil acesso às suas informações.

●     Registros de atividades de tratamento

Entre as obrigações dos agentes de pequeno porte estão o registro de suas atividades de tratamento, assim como outras empresas maiores. Entretanto, startups, microempresas e outras instituições contempladas pela resolução da ANPD poderão fazer o registro de forma simplificada, conforme modelo disponibilizado pelo órgão.

●     Dispensa do Encarregado de Proteção de Dados (DPO)

O regulamento dispensa a obrigação de indicar um encarregado pelo tratamento de dados pessoais, ou seja, um Data Protection Officer (DPO).

No entanto, o texto determina que o agente de tratamento de pequeno porte tenha um canal de comunicação com o titular de dados para atender o princípio de livre acesso aos dados e, caso o tratamento seja realizado com base no consentimento, deverá atender a eventual revogação de consentimento solicitada pelo titular.

Embora não seja obrigatória, será considerada uma boa prática os agentes de pequeno porte que nomearem um DPO.

●     Prazos de resposta

Startups e agentes de pequeno porte têm prazo de 30 dias (o dobro) nas seguintes situações:

● Atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de regulamentação específica;

● Comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica, exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada regulamentação;

● Fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD;

● Em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Além disso, os agentes de tratamento de pequeno porte podem fornecer a declaração simplificada de que trata o art. 19, I, da LGPD no prazo de até 15 dias, contados da data do requerimento do titular.

De acordo com a Resolução, os prazos que não foram dispostos no regulamento serão determinados por regulamentação específica. A resolução menciona ainda que a ANPD irá disponibilizar um procedimento simplificado sobre como as empresas de menor porte devem reportar um incidente de segurança, enquanto isso, é recomendável utilizar o guia geral disponibilizado pelo órgão.

No caso das startups, por possuírem um ambiente de inovação, uma das principais formas de gerenciar os riscos de vazamento de dados é contar com uma assessoria jurídica especializada em proteção de dados. 

Para que possa haver uma análise dos procedimentos, bem como soluções que prezam pela eficiência e inovação em novos produtos e serviços, conte com os serviços da Becker Direito Empresarial, acesse nosso site.

Rafael Reis
Advogado
Head da área de Tecnologia, Inovação Digital e Propriedade Intelectual do escritório Becker Direito Empresarial, Rafael Reis tem experiência como gestor de empresa, é especialista em Direito Empresarial, Proteção de Dados e Tecnologia, atualmente é Membro Relator da Comissão de Direito Digital e Proteção de Dados da OAB/PR, Coordenador da Pós-Graduação em Jurimetria, Legal Hack e Inteligência Artificial da Pós PucPR Digital e Fundador do Instituto Nacional de Proteção de Dados (INPD). Como professor e palestrante já compartilhou sua expertise e experiência prática com milhares de pessoas.
Compartilhar Postagem

Artigos Relacionados

20 de Junho | Notícias
por Rafael Reis

Qual o impacto do novo regulamento da ANPD para as startups?

Entenda a quem se aplica a Resolução nº 02/2022 da Autoridade Nacional de Proteção de Dados (ANPD) e as principais mudanças da LGPD para startups....
13 de Junho | Notícias
por Rafael Reis

Trabalho remoto: de quem é a responsabilidade de vazamento de dados?

Entenda de quem é a responsabilidade em caso de vazamento de dados e o que diz a Lei Geral de Proteção de Dados (LGPD) sobre trabalho remoto....
10 de Junho | Notícias
por Luciana Kishino

A importância de compliance ambiental na empresa

Entenda o que é compliance ambiental e qual a importância de adotar práticas de conformidade na sua organização....

Fale Conosco

Entre em contato pelo telefone (41) 3252.1052 ou envie sua mensagem pelo formulário ao lado.

Apenas arquivos PDF, DOC ou DOCX