?? Enfim, saiu o tão esperado regulamento! Foi publicado hoje (28/01/2022), no Diário Oficial da União, na data em que se comemora o Dia Internacional da Proteção de Dados, a resolução CD/ANPD nº 2, da Autoridade Nacional de Proteção de Dados (ANPD) que visa flexibilizar processos internos de adequação e governança de dados para agentes de tratamento de pequeno porte.
A novidade, certamente, uma das mais aguardadas em torno dos pontos previstos na LGPD e que dependiam da manifestação da ANPD, não dispensam a adoção de pontos que poderiam trazer o implemento de obrigações desmedidas, a considerar a real capacidade de investimentos em critérios técnicos e legais, por parte das empresas beneficiadas. ??
?️ Quase a totalidade dos pontos não traz aspectos que isentam os agentes de tratamento de pequeno porte, com exceção, da nomeação de um encarregado de proteção de dados (DPO), mas, o novo regulamento cria mecanismos que facilitam a implementação de controles em torno da coleta dos dados, o registro do tratamento de operações, e, a forma como os incidentes devem ser reportados, sem deixar de mencionar, que, considerando as exíguas capacidades de operação tecnológica e seus processos, os prazos previstos para o atendimento as solicitações dos titulares de dados e as comunicações a ANPD, por parte dos agentes favorecidos, passam a ser tratados de forma diferenciada, com lapso temporal concedido em dobro. ⏳
Confira os destaques do regulamento:
ART. 9
Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constantes do art.
37 da LGPD, de forma simplificada.
Parágrafo único: A ANPD fornecerá modelo para o registro simplificado de que trata o caput.
Mas, atenção, “podem” cumprir não significa que a empresa beneficiada possa escolher entre executar ou não a exigência de registro de operações, mas faculta entre o modelo simplificado, ou, o mais detalhado e complexo.
ART. 10
A ANPD disporá sobre a flexibilização ou procedimento simplificado de comunicação de incidentes de segurança para agentes de tratamento de pequeno porte, nos termos da regulamentação específica.
ART. 11
Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigidos no art. 41 da LGPD.
ART. 12
Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para a proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
ART. 13
Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito
Novamente, atenção ao “podem”, pois tem a empresa alcançada pela resolução o poder de facultar entre o modelo tradicional ou o simplificado, mas, não a dispensa da adoção de critérios de segurança previsto em frameworks consagrados, como a ISO 27001 e 27002.
ART. 14
Aos agentes de tratamento de pequeno porte será concedido prazo em dobro:
I – no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
II – na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
III – no fornecimento de declaração clara e completa
Os novos contornos, sobre a temática, beneficiam milhares de pequenos negócios, como microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, e, que, neste cenário, passam a investir seus recursos no desenvolvimento de suas próprias atividades fins, bem como criando e gerando empregos.
Por fim, a nova resolução apresenta segurança jurídica e técnica para os agentes de tratamento de pequeno porte, que se viam na obrigação do cumprimento da Lei, mas sem reservas financeiras para tal.
Por Alexandre Medeiros
Fonte: Diário Oficial da União
