LGPD: Como saber se sou um agente de tratamento de pequeno porte?
No final de Janeiro de 2022, a ANPD publicou a Resolução CD/ANPD nº. 2 flexibilizando algumas regras da LGPD para Agentes de Pequeno Porte. Leia neste artigo uma descrição detalhada sobre quem poderá se beneficiar efetivamente dessas novas regras.
Você muito provavelmente está antenado às notícias relacionadas à LGPD e à nova Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022 que flexibiliza ou dispensa algumas das exigências da Lei quanto ao processo de adequação das empresas – se ainda não sabe da novidade, acesse nosso artigo“Proteção de Dados, LGPD e as novas regras para agentes de pequeno porte”.
O que talvez não esteja claro é quem se beneficiará dessas novas regras. No intuito de auxiliar, escrevemos breves considerações sobre o assunto.
Assim, conforme o texto normativo, artigo 2º, inciso I, são agentes de pequeno porte:
- Microempresas, aquelas cuja receita bruta anual seja igual ou inferior a R$ 360.000 – art. 3 da Lei Complementar 123/06;
- Empresas de pequeno porte, aquelas cuja receita bruta anual seja superior a R$ 360.000,00 e igual ou inferior a R$ 4.800.000,00 – art. 3 da Lei Complementar 123/06;
- Startups, àquelas organizações que atendam aos critérios do Artigo 4 da Lei Complementar 182/21, tendo no máximo 10 anos de inscrição no CNPJ, limites de R$ 16.000.000,00 de faturamento no ano-calendário anterior (ou fracionado, ver a respectiva lei e seus critérios), estar inscrito no Inova Simples ou possuir em seu contrato social referências à utilização de modelos de negócios inovadores para a geração de produtos ou serviços;
- Pessoas jurídicas de direito privado, inclusive as sem fins lucrativos, categoria esta que incorpora, por exemplo, as associações, as sociedades, as fundações, as organizações religiosas, os partidos políticos e as empresas individuais de responsabilidade limitada;
- Pessoas naturais (com objetivo comercial) e entes privados despersonalizados que realizam tratamento de dados pessoais (por exemplo, os órgãos públicos).
Ainda que você se enquadre no rol elencado acima, ATENÇÃO (!): não necessariamente será alcançado pelo regulamento. A ANPD se resguarda expressamente – no artigo 16 – ao direito de desconsiderar as dispensas e flexibilizações conforme critérios específicos como, por exemplo, a natureza ou o volume das operações, e os riscos para os titulares de dados.
Ficam excluídos da nova norma aqueles que:
- Realizam tratamento de alto risco. Para saber se sua empresa realiza, perceba que deverá atender ao menos a um critério geral e outro específico, cumulativamente. São eles:
-
- Critérios gerais:
- Tratamento de dados pessoais em larga escala e, portanto, “quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado” (§1º); ou
- Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares como, por exemplo, indicações algorítmicas em sites de compras que possam induzir comportamentos contrários àqueles interesses primários do visitante do site/sistema/aplicativo.
- Critérios específicos:
- Uso de tecnologias emergentes ou inovadoras – Dependendo da situação, Analytics, Big Data, Machine Learning/IA e IoT, por exemplo;
- Vigilância ou controle de zonas acessíveis ao público;
- Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
- Utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
- Critérios gerais:
-
- Aufiram receita bruta anual superior a R$ 4.800.000,00, caso seja empresa de pequeno porte; ou,
- Pertençam a grupo econômico cuja receita global anual ultrapasse o valor de R$ 16.000.000,00 – ou de R$ 1.333.334,00, multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses – se for uma startup.
Sua empresa se enquadra às novas regras?
-
- Se sim, saiba que a ANPD já publicou um Guia orientativo de segurança da informação aos agentes de pequeno porte, junto de um check list para facilitar a visualização das sugestões.
- Se ainda estiver com dificuldades de classificação ou aplicação das regras, contate nossa equipe consultiva. Será um prazer ajudar!
Precisa de ajuda?
Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!
Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.
Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO
- Consultoria e projetos de adequação
- Treinamento EXIN PDPE
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD
- Revisão ou auditoria pontual em projetos / processos