As pequenas empresas têm flexibilizadas as regras de implementação da LGPD

Marcelo Barsotti – 

Informar o número do CPF para obter um desconto ou cadastrar a biometria para entrar em um prédio comercial. Essas são ações que muitos de nós realizamos com frequência, mas, na maioria das vezes, sem nos questionarmos sobre o que é feito das nossas informações pessoais. A resposta a esse questionamento é importante, afinal, os dados pessoais nunca foram tão valiosos quanto agora.

A fim de criar as bases legais para o tratamento de dados pessoais, foi criada a Lei Geral de Proteção de Dados (LGPD) (Lei 13.709/2018), que equivale à General Data Protection Regulation (GDPR) da União Europeia (EU). Ela garante segurança jurídica no que se refere ao uso de dados pessoais de todas as pessoas que estejam no território brasileiro. Em vigor desde agosto de 2020, a LGPD trouxe uma série de obrigações para todas as empresas que tratam dados pessoais.

Desde o investimento em segurança de dados, treinamento de funcionários, até a nomeação de um encarregado de dados, ou Data Protection Officer (DPO). É importante ressaltar que as multas e sanções em caso de descumprimento das regras são onerosas.

A princípio, as empresas eram igualmente obrigadas a respeitar as determinações da LGPD. Mas foi publicada a Resolução CD/ANPD Nº 2, no dia 27 de janeiro de 2022, no Diário Oficial da União (DOU), que trata da aplicação da Lei Geral de Proteção de Dados para micros e pequenas empresas. Essa nova resolução objetiva flexibilizar a implementação de determinados aspectos da lei e facilitar a adequação das pequenas empresas.

Dentre as principais simplificações trazidas pela resolução se destacam: os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD; eles também não precisam indicar um encarregado para disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD. Assim, devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

Precisam também cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada. A Autoridade Nacional de Proteção de Dados (ANPD) fornecerá um modelo para o registro simplificado de que trata o caput. É importante ressaltar que a nova resolução não isenta as empresas do cumprimento da LGPD, conforme o Art. 6º.

Trata-se apenas de uma flexibilização das obrigações dispostas neste regulamento e não isenta as pequenas empresas da necessidade de cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares. Esta é uma boa notícia para as pequenas empresas porque elas ganham tempo e são dispensadas de terem recursos humanos exclusivos para tratar da lei, mas Independentemente das flexibilizações, assim como as grandes e médias, continuam tendo de proteger corretamente os dados de funcionários, parceiros comerciais e clientes.

Marcelo Barsotti é CCO da Pryor Global - clezia.gomes@inkcomunicacao.com.br