Desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, em setembro de 2020, as micro e pequenas empresas (MPEs) aguardavam regras específicas que viriam para adequar a norma ao porte dessas organizações. A flexibilização veio no início de 2022, com a publicação da resolução elaborada pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), que atenua algumas exigências da lei, mas requer bastante atenção a detalhes e conceitos importantes. Por isso, antes de implantar ou reformular as políticas de proteção de dados na sua empresa, vale a pena conferir os pontos principais relacionados às novas regras da ANPD.
O ponto central é identificar se a empresa, de fato, pode ser beneficiada pelas regras flexibilizadas. A resolução também delimita melhor esse perfil, conforme descrevemos a seguir.
A flexibilização das regras se aplica a quais empresas?
O regulamento da Autoridade Nacional de Proteção de Dados (ANPD) é destinado aos agentes de tratamento de pequeno porte. Nesse perfil, se enquadram:
- microempreendedores individuais;
- startups;
- microempresas;
- empresas de pequeno porte;
- pessoas jurídicas de direito privado (inclusive, sem fins lucrativos); e
- qualquer um (pessoa natural ou ente despersonalizado) que tenha assumido funções típicas de controle e operação relativas ao tratamento de dados pessoais.
Quais empresas não podem ser beneficiadas pela flexibilização?
A flexibilização não vale para empresas que realizam tratamento de dados de alto risco. Ou seja, não basta apenas que a organização esteja enquadrada em algum dos portes citados anteriormente — é preciso avaliar, ainda, de que forma ela utiliza dados pessoais em seus processos.
O que configura tratamento de dados de alto risco?
O tratamento de dados de alto risco ocorre quando a empresa atende, cumulativamente, a pelo menos um critério geral e um critério específico, conforme descritos a seguir.
| Critérios gerais: | Critérios específicos: |
| • tratamento de dados pessoais em larga escala; ou • tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares. | • uso de tecnologias emergentes ou inovadoras; • vigilância ou controle de zonas acessíveis ao público; • decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou • utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos. |
Outra dica importante para pequenas empresas que estão em processo de adequação à LGPD é acessar materiais específicos desenvolvidos pela ANPD para organizações desse porte. O órgão já elaborou, por exemplo, um guia com orientações para agentes de tratamento de pequeno porte e um checklist com medidas de segurança.
A proteção dos dados entrou na lista de preocupações dos brasileiros após o megavazamento que expôs 223 milhões de CPFs, Leia mais
