Em 28 de janeiro de 2022 – Dia Internacional da Proteção de Dados -, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução nº 2, que trata sobre a aplicação da Lei Geral de Proteção de Dados Pessoais (“LGPD”) para os agentes de tratamento de pequeno porte.

A Resolução define que os agentes de tratamento de pequeno porte são: (i) microempresas; (ii) empresas de pequeno porte (ou seja sociedade empresária, sociedade simples, sociedade limitada unipessoal, empresário e microempreendedor individual); (iii) startups; (iv) pessoas jurídicas de direito privado, inclusive sem fins lucrativos; e (v) pessoas naturais e entes despersonalizados que realizam o tratamento de dados pessoais para fins econômicos.

Destacamos, abaixo, alguns dos principais pontos dessa Resolução, em relação aos agentes de tratamento de pequeno porte:

• Simplificação na elaboração e na manutenção do registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD (também chamado de “Data Mapping” ou “ROPA”), o qual a ANPD irá fornecer um modelo específico para tanto
• Simplificação no processo de comunicação de incidentes de segurança, nos termos da regulamentação específica que ainda será divulgada
• Desobrigação da indicação de encarregado pelo tratamento de dados pessoais, conforme exigido no art. 41 da LGPD

– Entretanto, apesar de não ser mais obrigatória para os agentes de pequeno porte, a existência de encarregado será considerada uma boa prática para fins de redução de eventual penalidade aplicada pela ANPD;

– Além disso, os agentes de tratamento de pequeno porte ainda devem possuir um canal específico de comunicação com o titular de dados (art. 41, § 2º, I da LGPD).

• Terão prazo em dobro para atendimento de solicitação de titulares, para apresentação de informações ou documentos solicitados pela ANPD e, também, para realização das comunicações devidas em caso de incidentes.

Por outro lado, a Resolução nº 2 da ANPD não beneficiará os agentes de tratamento de pequeno porte que realizem atividades de tratamento de dados pessoais de alto risco, assim consideradas quando o respectivo tratamento atender, concomitantemente, a um critério geral e a um critério específico, conforme detalhados abaixo:

• Critérios gerais: (i) tratamento em larga escala; ou (ii) que possa afetar interesses e direitos fundamentais dos titulares.
• Critérios específicos: (i) utilização de tecnologias inovadoras; (ii) que constitua vigilância ou controle de zonas acessíveis ao público; (iii) que produza decisões automatizadas; ou (iv) que se valha de dados sensíveis ou de crianças, de adolescentes e de idosos.

Por fim, destacamos que a referida Resolução poderá ser complementada pelo Guia Segurança da Informação para Agentes de Tratamento de Pequeno Porte, com atenção aos parâmetros de normas de segurança da informação exigidas e esperadas pela ANPD aos agentes de tratamento de pequeno porte.