ANPD publica minuta que regulamenta aplicação da LGPD para pequenas empresas

Foi publicado hoje (30) a minuta inicial do regulamento da aplicação da LGPD para agentes de tratamento de pequeno porte, direcionado à microempresas, empresas de pequeno porte, startups, pessoas jurídicas sem fins lucrativos que tratam dados pessoais, e pessoas naturais e entes despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

O documento conta com diversas flexibilizações – muito esperadas pelo mercado – do texto da LGPD visando uma regulamentação e adequação factível de empresas menores à Lei geral de proteção de dados.

Veja o que muda para as empresas diante do texto original da LGPD:

Liberdade formal:

Os agentes de tratamento de pequeno porte podem escolher como atender às solicitações dos titulares, por meio eletrônico, ou por meio impresso. Ficam livres, também, do fornecimento de declaração completa de confirmação de existência dos dados pessoais solicitado pelo titular exigido pelo artigo 19, II da LGPD:

Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.

Como estabelecido no caso das solicitações dos titulares, também fica a critério do agente de tratamento a forma que ocorrerá a disponibilização das informações sobre o tratamento de dados pessoais, nos termos do art. 9º da LGPD, – por meio eletrônico ou impresso – desde que o acesso facilitado seja garantido ao titular requerente.

Além disso, as empresas menores ficam livres da necessidade de indicação de um Encarregado, bem como disponibilizar a portabilidade dos dados do titular.

Relatório de Impacto – RIPD e Comunicações de Incidentes

Documentos-chave de projetos de implementação dos requisitos da Lei, como o relatório de impacto, também foram liberados de uma formalidade equiparada à grandes empresas. O mesmo ocorre com a comunicação oficial de incidentes de segurança, que poderá ser apresentado a ANPD de forma simplificada.

Isenção da obrigatoriedade de manter registros de operação

A tão conhecida obrigatoriedade de manter registros das operações de tratamento de dados pessoais pelo controlador e operador, em observância, principalmente, ao princípio de transparência e accountability, também foi flexibilizada pela minuta. Em contrapartida, a própria ANPD cita que fornecerá modelos para o registro voluntário e simplificado das atividades de tratamento de empresas menores.

Boas práticas e segurança

Foi mencionado que a ANPD publicará um guia orientativo sobre segurança da informação, focado no público alvo da minuta;

Ademais, fica obrigado aos agentes de tratamento de pequenas empresas a adoção de medidas mínimas de segurança da informação para a proteção de dados pessoais; O documento ainda informa que políticas internas de SI simplificadas e menos abrangentes serão permitidas sob a realidade das pequenas empresas frente à LGPD.

Prazos são dobrados à pequenas empresas

Por fim, o artigo 16 do documento traz, ainda, o estabelecimento de prazos maiores para respostas e comunicações oficiais – a contagem será o dobro do previsto no texto original da LGPD. Os casos aplicáveis do prazo extendido são:

• No atendimento das solicitações dos titulares;
• Na comunicação à ANPD e ao titular em caso de incidente de segurança;
• Em relação aos prazos estabelecidos para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento;

 O documento aguarda inscrições e se submeterá, ainda, a audiência e consulta pública .