No dia 27 de janeiro de 2022, a Autoridade Nacional de Proteção de Dados publicou a Resolução CD/ANPD Nº 02 que simplifica a aplicação da Lei Geral de Proteção de Dados (LGPD) para Startups, microempresas, empresas de pequeno porte, etc.
Após leitura deste texto, você saberá:
- Como era antes da Resolução;
- Quais as mudanças trazidas pela Resolução; e
- Se sua startup pode se beneficiar do novo regime.
01. COMO ERA ANTES DA RESOLUÇÃO?
Vários empresários ainda buscam escritórios de advocacia ou consultores externos na certeza de que a LGPD se resume à confecção de uma política de privacidade para o site.
Na verdade, para que uma empresa atenda aos requisitos da Lei, é necessário mapear os fluxos de dados, confeccionar o ROPA (Registro de Atividades de Tratamento de Dados), realizar treinamentos, analisar riscos, propor e implementar modificações que incluem, mas não se limitam a: confecção de políticas, contratação de um Encarregado de Dados (DPO – Data Protection Officer), revisão dos contratos, atendimento ao titular de dados, etc.
Antes da normativa, as empresas e seus advogados não possuíam um parâmetro específico para os agentes de tratamento de pequeno porte.
Isso fazia com que, por exemplo, uma startup com pouco fluxo de caixa tivesse que contratar um Encarregado de Dados Pessoais (DPO) para atender aos requisitos de uma lei que se diz “geral”.
02. QUAIS AS MUDANÇAS TRAZIDAS?
A nova resolução traz uma série de mudanças, tais como:
- Registro de Atividades de Tratamento: O Registro de Atividades de Tratamento (ROPA), obrigação constante do art. 37 da LGPD, poderá ser feito de forma simplificada a partir de modelo que será disponibilizado pela própria ANPD.
- Flexibilização do procedimento de comunicação de incidente de segurança: A ANPD disporá sobre a flexibilização do procedimento de comunicação de incidentes de segurança.
- Encarregado de Dados Pessoais (DPO): Aos agentes de tratamento de pequeno porte será facultada a nomeação de um Encarregado, obrigação constante no art. 41 da LGPD.
- Prazos de resposta: As organizações que se beneficiarem da Resolução poderão ter prazo em dobro para, por exemplo, responder o titular de dados pessoais e responder qualquer comunicação do órgão regulador.
- Segurança e Boas Práticas: Possibilidade de confecção de política simplificada de segurança da informação que leve em consideração os custos para se implementar a LGPD, a estrutura da organização e volume de tratamento de dados. Além disso, lembramos que a ANPD já disponibilizou guia orientativo para agentes de tratamento de pequeno porte e o mínimo que se espera sobre a Segurança da Informação dentro de suas operações.
03. SAIBA SE SUA STARTUP PODE SE BENEFICIAR
Após saber como era e o que mudou com a nova normativa, é importante que você entenda se sua Startup se enquadra ou não como beneficiária.
Resumidamente, (i) a empresa deverá ser caracterizada como Startup nos termos do Marco Legal das Startups e (ii) não cumular 1 (um) critério geral e 1(um) critério específico da Resolução.
(i) Enquadramento
O MLS diz que Startups são:
“organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, com faturamento anual de até R$ 16 milhões ou de R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano calendário anterior, quando inferior a 12 meses; com até 10 (dez) anos de inscrição no Cadastro Nacional da Pessoa Jurídica (CNPJ) e que atendam um dos seguintes requisitos: (i) declaração em seu ato constitutivo ou alterador e utilização de modelos de negócios inovadores para a geração de produtos ou serviços; ou (ii) enquadramento no regime especial Inova Simples (art. 4º da Lei Complementar nº 182/2021)”
Mesmo que não se caracterize como Startup, a empresa ainda poderá se beneficiar caso seja uma microempresa ou empresa de pequeno porte.
(ii) Não cumulação de critérios
Após o enquadramento, a empresa deverá analisar se cumpre cumulativamente algum dos critérios gerais e algum dos critérios específicos da resolução, ou seja:
critério geral + critério específico = não poderá se beneficiar da Resolução
Dessa forma, quais são os critérios gerais?
a) tratamento em larga escala: número significativo de titulares, considerado o volume de dados, duração, frequência e extensão geográfica.
a) tratamento que possa afetar interesses e direitos: pode afetar o titular, como a incidência de danos materiais ou morais (ocorrência de fraudes, direito de imagem, discriminação, etc.), impedir a utilização de serviços.
e os critérios específicos?
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos
04. CONCLUSÃO
Esperamos que você tenha entendido um pouco da nova Resolução da ANPD e para revisar ou estruturar seu Programa de Governança em Proteção de Dados.
Dessa forma, é importantíssimo que a empresa esteja bem assessorada para saber se é possível se beneficiar da nova Resolução e, consequentemente, realizar as modificações necessárias dentro das operações da Startup.
Caso queira continuar conversando sobre o tema, não deixe de nos contactar pelo email contato@aguilaradvocacia.com ou pelo Whatsapp clicando aqui.
Leia Também:
Saiba quando e como elaborar um Acordo de Confidencialidade (NDA)
Empreendedor, fugir da burocracia jurídica pode arruinar o seu negócio