LGPD: nova resolução define os próximos passos para pequenas e micro empresas

Em meio a complexidade e as dúvidas que envolvem a Lei Geral de Proteção de Dados (LGPD), uma parte importante da Lei foi regulamentada pela Autoridade Nacional de Proteção de Dados (ANPD), e deve impactar milhões de brasileiros.

A Resolução CD/ANPD Nº2/2022, visa regulamentar a aplicação da LGPD para as consideradas empresa de pequeno porte.

Qual é o cenário da adaptação entre as pequenas empresas?

De acordo com um levantamento feito pela RD Station que entrevistou 997 participantes (sendo 60% microempresas e 24% empresas de pequeno porte), 77% das sociedades estão atrasadas para lidar com as punições previstas na LGPD.

A pesquisa também mostra que apenas 7% finalizaram a adequação à LGPD, enquanto 8% estão na etapa final do processo. A maior parte parece estar engatinhando no processo, já que 69% dos entrevistados disseram não possuir ou ainda estar iniciando a construção de uma política própria de proteção de dados.

No cenário das micro e pequenas empresas o desafio é ainda maior, uma vez que os recursos de implementação da Lei e gerenciamento de dados tendem a ser bem mais escassos.

O que muda com a Resolução CD/ANPD Nº2/2022?

Publicada pelo Diário Oficial da União no fim do mês janeiro (28/01/2022), a norma determina quais medidas as pequenas e microempresas, incluindo startups, devem tomar para se adequarem à LGPD. Entre as mudanças, algumas obrigações foram dispensadas e outras simplificadas. Conheça as algumas das obrigações flexibilizadas ou dispensadas:

1. A não obrigatoriedade de nomeação de um encarregado na proteção de dados (Data Protection Officer-DPO), devendo a sociedade manter apenas um canal de atendimento para o exercício dos direitos dos titulares dos dados.
2. Dispensa na obrigação de deletar e/ou eliminar dados excessivos.
3. Comunicação de incidente de segurança: As empresas enquadradas terão um processo simplificado publicado pela ANPD.
4. Requisições dos dados por meio dos titulares: o prazo para entrega será o dobro do padrão exigido pela ANPD.
5. Simplificações na ROPA (Registro de Operações de Tratamento) dos dados.
6. Política de Segurança da Informação: muito menos complexo, apenas com medidas base essenciais para a proteção dos dados contra violações e vazamentos.

A Elaboração da Resolução contou com a parceria do Sebrae e outras entidades para auxiliar o processo de adequação à Lei de agentes de tratamento de pequeno porte, inclusive  Microempreendedores individuais.

Vale ressaltar, embora a Resolução CD/ANPD Nº2/2022 tenha flexibilizado e simplificado algumas obrigações, as pequenas empresas não estão dispensadas do cumprimento dos demais dispositivos da LGPD.

Quais empresas se enquadram na categoria?

Segundo a ANPD, a falta de cultura na proteção de dados no Brasil e as dificuldades naturais que as empresas de pequeno porte têm em se ajustar às normas determinadas pela entidade, viabilizou essa resolução para as seguintes condições:

• Pequenas empresas: máximo de 99 funcionários e faturamento anual de até R$ 4,8 milhões;
• Microempresa: Até 19 funcionários e faturamento anual de R$ 360 mil;
• Startups com no máximo 10 anos e um faturamento inferior a R$ 16 milhões por ano;
• Microempreendedor individual com 1 funcionário e faturamento anual de R$ 81 mil.

Portanto, uma grande proporção de empresas, principalmente prestadores de serviço, se enquadram nessa nova resolução.

Não há distinção com relação ao tipo de atividade exercida. Assim, consultórios e clínicas podem se enquadrar nos termos da Resolução.

“Não devemos pedir aos nossos clientes que façam um equilíbrio entre privacidade e segurança. Precisamos oferecer-lhes o melhor de ambos. Em última análise, proteger os dados de outra pessoa é proteger a todos nós.” – Tim Cook, CEO da Apple.

Caso não haja adequação, quais são os riscos?

É importante ressaltar que as punições e multas não tiveram a mesma flexibilidade para as empresas enquadradas na nova resolução. Portanto, em caso de infração às normas de proteção de dados, ficará o transgressor sujeito às penalidades previstas, vide os artigos 52, 53 e 54 da Lei Geral de Proteção de Dados que já estão em vigor.

Entre elas, destacam-se a advertência com possibilidade de medidas corretivas; multa de até 2% do faturamento, com limite de até R$ 50 milhões; o bloqueio ou a eliminação dos dados pessoais relacionados à irregularidade, a suspensão parcial do funcionamento do banco de dados ou a proibição parcial ou total da atividade de tratamento.

Área médica exige maior cuidado

Fique atento. A atividade médica que lida com dados sensíveis, fora os convencionais, de modo que precisam estar sempre atentos às medidas regulatórias aplicáveis ao setor, sejam elas do Conselho Federal de Medicina ou da ANPD. Cotar com o apoio de uma assessoria e orientação adequada podem ajudar tanto no processo de adequação, quanto na manutenção da observância dos regulamentos.

Em caso de dúvidas, procure uma assessoria ou consultoria de confiança e veja quais são as medidas necessárias para garantir que a sua empresa, seja ela micro, pequena, média ou grande, esteja atuando de acordo com o que determina a Lei Geral de Proteção de Dados.