Precisando testar sua segurança digital?
Fale com a gente!

BLOG

A flexibilização da LGPD para microempresas, empresas de pequeno porte e startups

POR:

Haline Farias

No dia 30 de agosto de 2021, a ANPD publicou minuta que disciplina a aplicação da Lei nº 13.709/2018 para microempresas, empresas de pequeno porte e startups. A medida prestigia o inciso XVIII do artigo 55-J da LGPD, que atribui à ANPD a competência para editar e flexibilizar normas e procedimentos simplificados para essas empresas.

As recomendações vêm da Tomada de Subsídios 1/2021, realizada em janeiro do mesmo ano. Esse processo permitiu a participação de diversos agentes privados na discussão de pontos importantes. Os pontos discutidos incluíram a conceituação de risco aos titulares e o tratamento de dados em larga escala.

A proposta visa permitir que agentes de tratamento de pequeno porte adotem procedimentos para flexibilizar, sendo eles: menor oneração econômica e procedimental. No entanto, isso ajuda essas empresas a se manterem competitivas em seus modelos de negócio.

Inicialmente, em seu artigo 3º, a minuta exclui a aplicação dos processos simplificados para agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala.

Tratamento de Alto Risco pela

Entende-se como tratamento de alto risco aquele que envolve dados sensíveis, grupos vulneráveis, vigilância pública ou controle de zonas acessíveis. Além disso, inclui o uso de tecnologias emergentes que possam causar danos aos titulares.

Também é considerado alto risco o tratamento automatizado de dados pessoais que afete os interesses dos titulares, podendo ocasionar danos materiais ou morais.

O tratamento de larga escala abrange um número significativo de titulares e considera o volume de dados envolvidos, a duração, a frequência e a extensão geográfica da operação.

Tratamento Pequeno Porte

Nos termos da minuta, os agentes de tratamento de pequeno porte ficam dispensados do fornecimento da portabilidade de dados do titular a outro fornecedor de serviços. Essa dispensa refere-se à situação prevista pelo artigo 18, inciso V da LGPD.

Os agentes de tratamento de pequeno porte podem optar entre anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos. Além disso, são dispensados da declaração clara e completa.

Outro ponto relevante é que entidades empresariais podem representar agentes de pequeno porte, mesmo quando eles tratam dados de alto risco ou grandes volumes.

Isso facilita negociações e mediações entre titulares e empresas, promovendo uma comunicação mais eficiente e a resolução de questões relacionadas ao tratamento de dados.

Registro de Atividades de Tratamento

O ponto de maior impacto da minuta da ANPD é o registro de atividades de tratamento. Assim, agentes de pequeno porte estão dispensados de manter registros dessas operações.

Essa dispensa afeta diretamente a implantação do programa de governança de dados, simplificando a gestão para esses agentes.

Entretanto, a Autoridade Nacional disponibilizará modelos simplificados para que tais empresas possam utilizar, caso julguem pertinente a realização do registro.

Além disso, concede-se aos agentes de tratamento de pequeno porte a possibilidade de apresentar uma versão simplificada do RIPD.

Também são desobrigados da nomeação de um encarregado de dados e há possibilidade de flexibilização ou dispensa na comunicação de incidentes de segurança.

Em referência à segurança e às boas práticas, a Autoridade Nacional de Proteção de Dados proporciona aos agentes de tratamento considerados de pequeno porte, facilitando a simplificação na adoção de medidas técnicas e de boas práticas, desde que se tome por base requisitos mínimos de segurança da informação referentes aos dados pessoais. O capítulo ainda apresenta um forte viés educativo, com a promessa de elaboração de uma série de cartilhas educativas acerca do tema.

No mesmo sentido, faculta-se aos agentes de tratamento a elaboração de políticas de segurança simplificadas. Isso deve observar a estrutura, custos de implementação e natureza dos dados tratados.

Prazos Estabelecidos

Por fim, ficam estabelecidos prazos em dobro para o atendimento das solicitações dos titulares, comunicação de incidentes de segurança que possam acarretar danos ao titular, bem como aos demais prazos estabelecidos pela ANPD para os demais agentes de proteção de dados. 

Ademais, a minuta representa um avanço significativo para microempresas e empresas de pequeno porte, pois flexibiliza e reduz os custos de implementação e manutenção da governança.

Ocasionalmente, ela permite que mais empresas estabeleçam um padrão aceitável de segurança da informação.

Entretanto, se faz necessário levar em conta o quanto tais medidas impactarão de forma negativa à proteção de dados dos titulares, de forma que não se privilegie riscos com o único objetivo de fomentar o desenvolvimento de um modelo de negócios.

Por Caio Henrique de Moraes Cintra

RESH

Compartilhe:

Artigos Relacionados

IoT: A Revolução Conectada e os Riscos Cibernéticos
Vulnerabilidades no Wi-Fi: Entenda Como Funcionam e Se Proteja
Pentest Automatizado: Mito ou Realidade?
IoT: A Revolução Conectada e os Riscos Cibernéticos
Vulnerabilidades no Wi-Fi: Entenda Como Funcionam e Se Proteja
Pentest Automatizado: Mito ou Realidade?