Norma de aplicação da LGPD para microempresas e empresas de pequeno porte

Órgão: Autoridade Nacional de Proteção de Dados

Setor: Secretaria-Geral (SG/ANPD)

Status: Encerrada

Publicação no DOU:  30/08/2021  Acessar publicação

Abertura: 30/08/2021

Encerramento: 14/10/2021

Contribuições recebidas: 1428

Resumo

A Agenda Regulatória da Autoridade Nacional de Proteção de Dados (ANPD), aprovada para o biênio 2021-2022 por meio da Portaria nº 11, de 27 de janeiro de 2021, prevê, dentre as ações a serem priorizadas pela Autoridade para o período, a regulamentação do art. 55, XVIII da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), no que se refere a sua aplicação para microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação e pessoas físicas que tratam dados pessoais com fins econômicos.

Consoante contribuições recebidas durante a Tomada de Subsídios realizada por essa Autoridade, a baixa maturidade e cultura de proteção de dados dos agentes de pequeno porte pode dificultar em grande medida a adequação desses agentes à LGPD, onerando-os de tal forma, eventualmente inviabilizando sua existência.

Reconhece-se, que a redução de carga regulatória e o estímulo à inovação são fatores fundamentais para o desenvolvimento das microempresas e empresas de pequeno porte e, consequentemente, o desenvolvimento do país.

Entretanto, é certo dizer, que o porte de uma empresa não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais, nos termos do art. 17 e seguintes da LGPD, nem desobriga que as atividades de tratamentos de dados observem a boa-fé e princípios elencados no art. 6º do mesmo normativo, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

Assim, o normativo proposto busca facilitar a adaptação à LGPD pelas microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação e outras entidades incluídas na minuta, que nomeou esse grupo como agentes de tratamento de pequeno porte.

A opção regulatória utilizada além de adotar o critério de porte do agente considera o risco que o tratamento de dados possa causar ao titular. Além disso, prevê a flexibilização e dispensa de obrigações previstas na LGPD, bem como o estabelecimento de prazos diferenciados para o cumprimento destas.

Nesse sentido, a minuta da Resolução submetida à consulta pública visa garantir os direitos dos titulares de dados, ao mesmo tempo que traz equilíbrio entre as regras constantes da LGPD e o porte do agente de tratamento de dados.

Assim sendo, a ANPD, seguindo o disposto no art. 55-J, § 2º da LGPD e no art. 6º, § 1º e no art. 51, inc. V e parágrafo único de seu Regimento Interno, bem como buscando uma participação social mais efetiva, entende que a consulta pública deste normativo é essencial para coletar contribuições da sociedade no que tange à aplicação da LGPD para microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação e pessoas físicas que tratam dados pessoais com fins econômicos.


Por fim, ressalta-se que a Consulta Pública foi prorrogada até 14/10/2021, nos termos do Despacho nº 41/2021/SG/ANPD.


Conteúdo

- Clique no balão ou no parágrafo que deseja contribuir -

Contribuir em:
Realize o login para contribuir e ver as contribuições
Envie sua contribuição
Informe o título da contribuição
Informe o resumo da contribuição (até 2000 caracteres)
Escolha o arquivo da contribuição. Somente PDF.
 
Contribuições recebidas
PRESIDÊNCIA DA REPÚBLICA
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS


MINUTA DE RESOLUÇÃO XXX DE 2021


1

Regulamenta a aplicação da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.


2

O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), com base nas competências previstas no art. 55-J, inciso XVIII, da Lei nº 13.709, de 14 de agosto de 2018, no art. 2º, inciso XVIII, do Anexo I do Decreto nº 10.474, de 26 de agosto de 2020, no art. 5º, inciso I do Regimento Interno da ANPD, tendo em vista a deliberação tomada em sua Reunião Deliberativa nº xxxx, realizada em xx de xxx de 2021 e pelo que consta no processo 00261.000054/2021-37,


RESOLVE:
TÍTULO I
DISPOSIÇÕES GERAIS

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES

3

Art. 1º Esta resolução regulamenta a aplicação da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.


CAPÍTULO II
DAS DEFINIÇÕES


4

Art. 2º Para efeitos desta resolução são adotadas as seguintes definições:

5

I - microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, empresa individual de responsabilidade limitada e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006;

6

II - startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no § 1º do art. 4º da Lei Complementar nº 182, de 1º de junho de 2021;

7

III - pessoas jurídicas sem fins lucrativos: associações, fundações, organizações religiosas e partidos políticos;

8

IV - agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;

9

V - zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

10

Parágrafo único. Para fins desta resolução, consideram-se, ainda, agentes de tratamento de pequeno porte, os que possuem receita bruta máxima estabelecida no art. 4º, §1º, inciso I, da Lei Complementar nº 182, de 1º de junho de 2021.

11

Art. 3º   A dispensa e a flexibilização das obrigações previstas nesta resolução não são aplicáveis a agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares, ressalvada a hipótese prevista no art. 13, Parágrafo único.

12

§1º Para fins desta resolução, será considerado tratamento de alto risco para os titulares, entre outras hipóteses, o tratamento que envolva:

13

I - dados sensíveis ou dados de grupos vulneráveis, incluindo crianças e adolescentes e idosos;

14

II - vigilância ou controle de zonas acessíveis ao público;

15

III - uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade; ou

16

IV - tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

17

§ 2º O tratamento de dados será caracterizado como de larga escala quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

18

§ 3º Para fins deste artigo não será considerado tratamento de larga escala o tratamento de dados de funcionários ou para fins exclusivos de gestão administrativa do agente de tratamento de pequeno porte.

19

§ 4º A ANPD disponibilizará guias e orientações que auxiliem os agentes de tratamento de pequeno porte a avaliar se realizam tratamento com alto risco e em larga escala.

20

Art. 4º   Caberá ao agente de tratamento de pequeno porte avaliar e, quando solicitado pela ANPD, comprovar o seu enquadramento nas disposições do art. 2º e do art. 3º.

21

Parágrafo único. A ANPD poderá alterar o enquadramento apresentado pelo agente de tratamento de pequeno porte em sua atividade fiscalizatória.

TÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS PELOS AGENTES DE TRATAMENTO DE PEQUENO PORTE

CAPÍTULO I
DAS DISPOSIÇÕES GERAIS

22

Art. 5º   A dispensa ou flexibilização das obrigações dispostas nesta resolução não isenta, em qualquer caso, os agentes de tratamento de pequeno porte do cumprimento de outras disposições legais e regulamentares relativas à proteção de dados pessoais.

CAPÍTULO II
DAS OBRIGAÇÕES DO AGENTE DE TRATAMENTO DE PEQUENO PORTE

Seção I
Das obrigações relacionadas aos direitos do titular

23

Art. 6º   Os agentes de tratamento de pequeno porte podem atender às requisições dos titulares de dados pessoais, descritas no art. 18 da LGPD, por meio eletrônico ou impresso.

24

§1º Os agentes de tratamento de pequeno porte estão dispensados de conferir portabilidade dos dados do titular a outro fornecedor de serviço ou produto, nos termos do inciso V do art. 18 da LGPD.

25

§2º É facultado ao agente de tratamento de pequeno porte, quando solicitado pelo titular de dados, optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD, na forma do art. 18, inciso IV, da LGPD.

26

Art. 7º   Os agentes de tratamento de pequeno porte ficam dispensados de fornecer a declaração clara e completa de que trata o art. 19, inciso II, da LGPD.

27

Art. 8º   A disponibilização das informações sobre o tratamento de dados pessoais, nos termos do art. 9º da LGPD, pode ocorrer por meio eletrônico ou por qualquer outra forma que assegure o acesso facilitado às informações pelo titular dos dados pessoais.

28

Art. 9º   Fica facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que realizam tratamento de alto risco e em larga escala, fazerem-se representar por entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

29

Parágrafo único. A assessoria também poderá ser prestada por pessoas jurídicas sem fins lucrativos e pessoas naturais.

Seção II
Do Registro das Atividades de Tratamento

30

Art. 10.   Os agentes de tratamento de pequeno porte ficam dispensados da obrigação de manutenção de registros das operações de tratamento de dados pessoais constante do art. 37 da LGPD.

31

Parágrafo único. A ANPD fornecerá modelos para o registro voluntário e simplificado das atividades de tratamento por agentes de tratamento de pequeno porte, e considerará a existência de tais registros para fins do disposto no art. 6º, inciso X e no art. 52, §1º, incisos VIII e IX da LGPD.

Seção III
Do Relatório de Impacto à Proteção de Dados Pessoais


32

Art. 11.   Os agentes de tratamento de pequeno porte podem apresentar o relatório de impacto à proteção de dados pessoais de forma simplificada quando for exigido, nos termos da resolução específica.

Seção IV
Das Comunicações dos Incidentes de Segurança


33

Art. 12.   A ANPD poderá dispor sobre dispensa, flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, nos termos da resolução específica.

Seção V 
Do Encarregado pelo Tratamento de Dados Pessoais

34

Art. 13.   Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.

35

Parágrafo único. O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados.

Seção VI
Da Segurança e das Boas Práticas


36

Art. 14.   Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

37

Parágrafo único. A ANPD disponibilizará guia orientativo sobre segurança da informação para agentes de tratamento de pequeno porte.

38

Art. 15.   Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

39

§1º A política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte, bem como a sensibilidade e a criticidade dos dados tratados diante dos direitos e liberdades do titular.

40

§2º A ANPD considerará a existência das políticas simplificadas de segurança da informação para fins do disposto no art. 6º, inciso X e no art. 52, §1º, incisos VIII e IX da LGPD.

TÍTULO IV
DOS PRAZOS DIFERENCIADOS

41

Art. 16.   Aos agentes de tratamento de pequeno porte será concedido prazo em dobro:

42

I - no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, parágrafos 3º e 5º, nos termos da resolução específica;

43

II - na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos da resolução específica, exceto quando houver potencial comprometimento à integridade dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento, conforme os termos da mencionada resolução;

44

III - em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

45

Parágrafo único. Os prazos não especificados nesta resolução para agentes de tratamento de pequeno porte serão determinados por resoluções específicas.

TÍTULO V 
DISPOSIÇÕES FINAIS


46

Art. 17. A ANPD divulgará guias orientativos de aplicação da LGPD para agentes de tratamento de pequeno porte.

47

Art. 18. Resoluções específicas poderão dispor sobre outras normas de tratamento simplificado a agentes de tratamento de pequeno porte.

48

Art. 19.  A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento de obrigações dispensadas ou flexibilizadas nesta Resolução, considerando as circunstâncias relevantes da situação, tais como a natureza e o volume das operações, os riscos para os titulares e a sensibilidade e a criticidade dos dados tratados.

49

Parágrafo único. A decisão de que trata o caput será motivada, assegurado o direito ao contraditório e à ampla defesa.

50

Art. 20.   Esta resolução entra em vigor no dia 1º de XXXXX de XXXX.


WALDEMAR GONÇALVES ORTUNHO JÚNIOR
Diretor-Presidente da Autoridade Nacional de Proteção de Dados


Participe!

Para participar deve estar logado no portal.

Acessar

Contribuições Recebidas

1428 contribuições recebidas
Para ver o teor das contribuições deve estar logado no portal