Quais são as regras da LGPD para pequenas empresas?
Em janeiro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) oficializou a Resolução nº 2, que flexibilizou inúmeras regras da LGPD para startups e micro e pequenas empresas.
O objetivo dessa ação era facilitar a adequação de empresas de pequeno porte às normas da LGPD e, ao mesmo, garantir a segurança e a proteção dos dados dos titulares.
Neste artigo, vamos apresentar as regras da LGPD que são flexíveis para pequenas empresas, além de mostrar quais são as exceções à Resolução da ANPD. Confira!
Regras da LGPD para pequenas empresas
A Resolução nº 2 da ANPD flexibilizou uma série de regras para os agentes de tratamento de pequeno porte, tornando-as mais simples quando comparadas àquelas previstas na LGPD.
As novas normas se aplicam a:
- Microempresas e empresas de pequeno porte;
- Microempreendedor Individual (MEI);
- Startups (organizações empresariais e societárias, nascentes ou em operação recente, que a atuação se caracterize pela inovação);
- Pessoas jurídicas de direito privado, inclusive sem fins lucrativos;
- Pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou operador.
A seguir, trouxemos algumas das regras que foram flexibilizadas para facilitar o processo de adequação dessas empresas:
Direitos dos titulares
No que diz respeito aos direitos dos titulares, a Resolução da ANPD prevê que os agentes de tratamento poderão atender aos pedidos dos titulares e disponibilizar as informações solicitadas de forma impressa, digital ou qualquer outra que garanta os direitos previstos aos titulares pela LGPD.
Além disso, o documento também assegura que as empresas de pequeno porte possam se organizar para negociar, mediar e conciliar as reclamações dos titulares por meio de entidades de representação ou através de pessoas físicas ou jurídicas.
Registro de tratamento de dados
Outra das regras da LGPD que foram flexibilizadas para atender pequenas empresas e garantir a adequação à Lei é a simplificação do registro das operações de tratamento de dados pessoais.
Assim, de acordo com a Resolução nº 2, as atividades de tratamento de dados de startups e empresas de pequeno porte podem ser elaboradas e realizadas de uma maneira mais inteligível, seguindo o modelo fornecido pela própria ANPD.
Comunicação dos Incidentes de Segurança
A flexibilização das regras da LGPD para pequenas empresas também prevê que a comunicação realizada pelas marcas em casos de Incidentes de Segurança também pode ser feita de forma simplificada, a partir de procedimento definido pela ANPD.
Indicação de DPO
Diferente da medida original da LGPD, que faz com que as empresas sejam obrigadas a indicar alguém para o cargo de Encarregado ou DPO (Data Protection Officer), a Resolução nº 2 desobriga os pequenos negócios de indicarem esse profissional.
Porém, a Resolução reforça que escolher alguém para ocupar esse cargo continua sendo uma boa prática de proteção de dados e que mesmo que a empresa não tenha um Encarregado, ela deve disponibilizar um canal de comunicação entre a empresa e os titulares dos dados.
Segurança da informação
Empresas de pequeno porte e startups podem estabelecer políticas simplificadas de segurança da informação para garantir a proteção dos dados dos titulares e evitar incidentes de segurança.
Essas políticas devem levar a realidade da empresa e os riscos existentes em seu processo de tratamento de dados.
Além disso, é preciso considerar também os custos de implementação das medidas técnicas e administrativas necessárias para assegurar a proteção de dados, assim como a estrutura, a escala e o volume dos procedimentos realizados.
Prazos diferenciados
Por fim, a última regra da LGPD que é flexível para startups e pequenas empresas está relacionada aos prazos para realização de certos procedimentos e medidas exigidos pela Lei.
Empresas de pequeno porte têm o dobro do prazo estabelecido pela legislação para:
- Atender às requisições dos titulares;
- Comunicar os titulares e a ANPD a respeito de incidentes de segurança;
- Fornecer declaração ao titular que exigir a confirmação de existência ou o acesso aos seus dados pessoais;
- Apresentar informações, documentos, relatórios e registros solicitados pela ANPD ou por outros agentes de tratamento.
Exceções às regras da LGPD para pequenas empresas
Além de apontar as regras que são flexíveis para pequenas empresas, a Resolução nº 2 da ANPD também prevê duas exceções para a aplicação dessas medidas.
São elas:
Tratamento de dados de alto risco
No caso de pequenas empresas ou startups que realizam tratamento de dados de alto risco, não haverá flexibilização das regras estabelecidas pela LGPD.
Receita bruta superior ao limite previsto
As regras previstas pela Resolução nº 2 também não contemplam empresas que tenham receita bruta superior ao limite previsto.
Assim, não podem se beneficiar das flexibilizações da Resolução, pequenas empresas que tenham receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021.
Além disso, as regras também não contemplam negócios que pertençam a grupo econômico de fato ou de direito cuja receita global ultrapasse os limites referidos acima.
Conclusão
Agora que você já conhece as regras da LGPD que são flexíveis para pequenas empresas, é hora de aproveitá-las para se adequar à Lei.
E para isso, você pode contar com a DocBuilder!
Nossa consultoria oferece soluções completas para garantir a segurança da informação em sua empresa e garantir a proteção dos dados pessoais de seus clientes.
Acesse o site da DocBuilder e saiba mais!
Se você gostou deste artigo, continue acompanhando o Blog da DocBuilder. Nos siga também no Instagram e no Facebook e fique por dentro de todas as novidades sobre a LGPD.
