Por Leonardo de Almeida Sandes
As microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais com fins econômicos (chamados de “agentes de tratamento de pequeno porte”) tiveram algumas das regras da LGPD flexibilizadas e simplificadas.
Dentre as modificações trazidas pela Resolução ANPD nº 2, de 27 de janeiro de 2022, os agentes de tratamento de pequeno porte estão dispensados da nomeação de encarregado de dados, desde que disponibilizem um canal de comunicação com o titular dos dados para aceitar reclamações e comunicações, prestar esclarecimentos e adotar as providências que venham a ser solicitadas.
Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Da mesma forma, levando em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte, estes poderão cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada.
Outra regra que foi flexibilizada diz respeito aos prazos concedidos para os agentes de tratamento de pequeno porte: seja (i) para o atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, (ii) para comunicar a ANPD e o titular da ocorrência de incidente de segurança ou (iii) para fornecer ao titular dos dados declaração sobre a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, o prazo previsto na Lei foi dobrado.
Por fim, essa simplificação não será aplicada quanto o tratamento de dados for de alto risco, ou seja, quando houver tratamento de dados pessoais em larga escala ou quando esse tratamento possa afetar interesses e direitos fundamentais dos titulares ou versarem sobre dados sensíveis, incluindo dados colhidos para vigilância ou controle de zonas acessíveis ao público.
