Por Caio Gonçalves e Carolina Coelho, advogados do Setor Administrativo em Araúz Advogados.
Em que pese a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei Federal 13.709/18) tenha sido publicada em 2018, a cada ano que passa surgem novidades. Isso porque a Autoridade Nacional de Proteção de Dados - ANPD vem regulamentando, aos poucos, temas de extrema relevância que a LGPD optou por disciplinar em outro momento, como é o caso da aplicação diferenciada da referida legislação aos agentes de tratamento de pequeno porte.
A Resolução CD/ANPD Nº 2, publicada pela ANPD no dia 28/01/2021, aprovou o Regulamento de Aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte, prevendo alguns benefícios como a possibilidade de registro das atividades de tratamento de dados de forma simplificada, uma maior flexibilização na comunicação de incidentes de segurança, a não obrigatoriedade de indicar um encarregado pelo tratamento de dados (DPO), a possibilidade de estabelecer uma política simplificada de segurança da informação, prazo em dobro a depender do caso, dentre outros.
Nesse contexto, vale destacar que cada benefício possui suas peculiaridades e, como o objetivo do texto não é esmiuçar cada um, cumpre destacar essa ressalva, pois os benefícios não são “salvos condutos” ou privilégios que não exigem outras medidas, apesar de menos onerosas.
Enquadram-se no conceito de empresa de pequeno porte, para os fins da citada Resolução, qualquer sociedade empresária, sociedade simples ou limitada unipessoal e o empresário que não realize tratamento de dados de alto risco, e que aufira uma receita bruta anual superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais), tampouco pertença a grupo econômico que ultrapasse o valor citado acima.
O benefício não isenta os agentes de tratamento, as microempresas ou empresas de pequeno porte de suas obrigações e deveres a respeito dos dados pessoais, bem como dos demais dispositivos da LGPD, especialmente no que se refere à definição das bases legais e princípios a serem observados para a proteção da privacidade. Vale dizer, embora a lei preveja benefícios e flexibilizações, a norma não dispensa os agentes de tratamento de adotarem medidas de boas práticas e governança de dados pessoais.
Desse modo, pode-se concluir que o objetivo dessa regulamentação é incentivar a adequação do micro e pequeno empresário com a nova realidade acerca da proteção dos dados pessoais, atenuando eventuais obstáculos nesse momento de adaptação e garantido o exercício dos direitos dos titulares de dados, levando em consideração não apenas o porte econômico dos agentes de tratamento beneficiados como, também, os riscos relacionados ao tratamento dos dados pessoais.