Em 27 de janeiro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu a Resolução CD/ANPD nº 2/2022, a qual aprovou o regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018 (LGPD) para agentes de tratamento de pequeno porte.
Na referida Resolução são considerados como agentes de tratamento de pequeno porte as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
De modo geral, o objetivo da Resolução é flexibilizar as normas e prazos para a realidade de agentes de tratamento de dados pessoais de pequeno porte, como Startups, de modo que dentre as principais alterações destacamos a não obrigatoriedade de nomeação de Encarregado/DPO, a possibilidade de elaboração do Registro de Atividades de Tratamento de forma simplificada, bem como a previsão de prazo em dobro para atendimento de solicitações de titulares e comunicações de incidentes para ANPD e titulares.
Assim, percebe-se uma clara flexibilização da ANPD com relação à aplicação da LGPD para startups, principalmente no que diz respeito a custos e estrutura para atendimento dos requisitos legais, procedimentais e burocráticos da LGPD.
No entanto, de acordo com Marcelo Brisolla, especialista de Data Privacy na Bonuz, é importante ressaltar que como toda regra, existem exceções de aplicação previstas na Resolução CD/ANPD nº 2/2022, que são: as entidades que realizam tratamento de alto risco para os titulares (e.g., larga escala, utilização de dados pessoais sensíveis ou de crianças, uso de tecnologias emergentes ou inovadoras, vigilância ou controle de zonas acessíveis ao público, e emprego de tecnologias de tratamento de dados pessoais via tomada de decisões automatizadas) e/ou as entidades que, de forma individual ou através de grupo econômico, aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021.
Portanto, é muito importante que as startups que se enquadrem dentro dos requisitos de exceção indicados acima tomem maior cuidado na análise e implementação da conformidade com a LGPD, haja visto que as flexibilizações previstas pela nova Resolução da ANPD não se aplicam para tais entidades.
Não obstante, mesmo aquelas startups que se enquadram nos parâmetros da Resolução devem se estruturar para atendimento da LGPD, haja visto que a Resolução CD/ANPD nº 2/2022 não as isenta da obrigação de cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
Na mesma linha, muito embora a Resolução preveja a dispensa da obrigação de indicação do Encarregado/DPO para agentes de pequeno porte, será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD o apontamento do DPO por tais entidades.
Dessa forma, para Marcelo Brisolla é recomendado que, antes de qualquer tomada de decisão, aquelas entidades que se enquadram nos requisitos da Resolução da ANPD consultem especialistas em privacidade e proteção de dados pessoais para que possam orientá-los a estruturar da melhor forma seu programa e governança de proteção dados e LGPD levando em consideração sua atual estrutura e atividades de tratamento de dados pessoais.
Artigo elaborado por Arthur Braga Nascimento, CEO e Fundador da Bonuz.