As novas regras da LGPD é resultado de alterações recentes no início de 2022, mais especificamente aquelas ligadas às pequenas empresas.
Embora os temas privacidade e vazamento e proteção de dados ainda sejam desconhecidos para algumas empresas e profissionais, o assunto é de extrema relevância e exige atualização constante.
Ao conhecer as novas regras da LGPD, suas exceções e o que muda para organizações de pequeno porte, esperamos combater a ideia equivocada que pequenas empresas não precisam se adequar à Lei.
Isso porque, elas não somente devem cumprir a legislação como estão na mira da fiscalização dos órgãos competentes, como a Autoridade Nacional de Proteção de Dados (ANPD).
Este artigo tem o propósito de tornar mais claras as mudanças aplicadas na Lei Geral de Proteção de Dados (LGPD), que resultaram em uma resolução governamental. Confira!
- O que é a LGPD?
- Novas regras da LGPD para pequenas empresas
- Exceções à nova resolução da ANPD
- O que muda na LGPD para pequenas empresas
- A LGPD ficou mais simples para pequenas empresas
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) foi criada para proteger os direitos de liberdade e privacidade. Para isso, adota normas a serem seguidas por empresas e governos para a coleta e o tratamento de dados pessoais.
Nesse sentido, nome, CPF, endereço e dados sensíveis, como biometria, preferências políticas e religião, ficam protegidos. A LGPD constrói um cenário de segurança jurídica ao padronizar práticas para proteger essas informações.
Essa legislação específica foi criada em 2018, sancionada em 2020 (Lei 13.709/2018) e no ano seguinte começou a punir quem violasse suas regras.
Confira em nosso quadro Me Explica Aí, um pouco mais sobre a LGPD.
Novas regras da LGPD para pequenas empresas
No início de 2022, mais especificamente em 27 de janeiro, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução nº 2.
A norma flexibiliza a LGPD para os agentes de tratamento de pequeno porte, tornando as regras mais simples de serem cumpridas se comparadas àquelas previstas na lei geral. As novas regras se aplicam a:
- microempresas e empresas de pequeno porte (sociedade empresária, simples, limitada unipessoal ou o empresário, inclusive o Microempreendedor Individual – MEI);
- startups (organizações empresariais ou societárias, nascentes ou em operação recente, que a atuação se caracterize pela inovação);
- pessoas jurídicas de direito privado, inclusive sem fins lucrativos;
- pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais (profissionais liberais, condomínios, entre outros).
Vale destacar, no entanto, que a Resolução nº 2 da ANPD não isenta os agentes de pequeno porte da adequação e cumprimento das novas regras da LGPD.
Apenas flexibiliza algumas questões, oferecendo condições especiais e procedimentos diferenciados para simplificar a aplicação da Lei 13.709
Os excessos regulários atrapalham as estratégias das empresas? Esse foi o debate do Tangerino Talks ep. 22. Confira!
Exceções à nova resolução da ANPD
Conforme o documento, os agentes de pequeno porte não terão benefícios de flexibilização em duas situações. Acompanhe!
Tratamento de dados de alto risco
Não haverá flexibilização quando o tratamento de dados for considerado de alto risco para os titulares. Para ser alto risco, um tratamento deve atender, pelo menos, um critério geral e um critério específico.
Os critérios gerais são definidos como tratamento de dados pessoais realizado em larga escala ou que possam afetar interesses e direitos fundamentais dos titulares.
Enquanto os critérios específicos englobam o uso de tecnologias emergentes ou inovadoras e a vigilância ou controle de zonas acessíveis ao público.
Além das decisões tomadas com base em tratamento automatizado de dados pessoais (para definir perfil pessoal, profissional, de saúde, de consumo, de crédito ou aspectos da personalidade do titular).
Ainda, é considerado critério específico a utilização de dados sensíveis ou pessoais de crianças, adolescentes e idosos.
Conforme a própria resolução, em casos de dificuldade para interpretar o que pode ou não ser considerado tratamento de alto risco, a ANDP poderá disponibilizar orientações nesse sentido.
Receita bruta superior ao limite permitido
As novas regras não atendem empresas com receita bruta superior ao limite permitido:
- empresas de pequeno porte: receita bruta superior a R$ 4,8 milhões em cada ano-calendário;
- startups: receita bruta superior a R$ 16 milhões no ano-calendário anterior;
- no caso de a empresa pertencer a grupo econômico cuja receita global ultrapasse os limites referidos acima.
O que muda na LGPD para pequenas empresas
A Resolução nº 2 criou regras mais brandas para o tratamento de dados nas pequenas empresas.
No entanto, a definição de alguns prazos ainda aguarda regulamentação da ANPD. Destacamos as principais a seguir.
Encarregado de Proteção de Dados (DPO)
Antes da nova resolução, era obrigatório indicar um encarregado de Proteção de Dados, independente do porte da organização. Com a mudança, os agentes de pequeno porte não têm mais essa exigência.
No entanto, a ANPD recomenda que nomear um profissional encarregado é uma boa prática de gestão, apesar de não ser obrigatória.
Outro detalhe importante é: mesmo que a empresa de pequeno porte não indique um encarregado de Proteção de Dados, ela deve viabilizar um canal de comunicação com o titular.
Nesse caso, a estratégia serve para receber reclamações, sugestões, prestar esclarecimentos e adotar providências.
Confira esses artigos em nosso blog:
? LGPD no RH: Em Que os Gestores Precisam Ficar de Olho
? Business Intelligence: a Importância do Uso de Dados no RH
? Digitalização do RH: Qual a Importância Para a Sua Empresa?
? Supremo Valida Acordo Coletivo Que Prevalece Sobre Lei — Entenda
Prazos
A flexibilização proporcionada pela ANDP engloba também os prazos. Entenda pelos exemplos:
- como uma das novas regras da LGPD, o prazo de 15 dias para atender às solicitações de titulares sobre o tratamento de seus dados pessoais. A partir da Resolução nº 2, os agentes de pequeno porte têm até 30 dias para prestar esse atendimento;
- a comunicação de ocorrências relacionadas a incidentes de segurança agora tem prazo em dobro para ocorrer. Desde que não exista risco de comprometer a integridade dos titulares ou a segurança nacional. Antes, pela lei original, o prazo era de dois dias úteis.
Registro de atividades de tratamento
Pelas novas regras da LGPD, os agentes de tratamento devem guardar registros de todas as operações realizadas com dados pessoais. Na prática, essa obrigatoriedade torna-se um grande desafio.
Afinal, trata-se de registros de todo o ciclo de vida dos dados pessoais, considerando ainda a finalidade do tratamento, a descrição de categorias de dados pessoais, entre outros fatores.
Com a nova resolução, o registro das atividades de tratamento ocorre a partir de um modelo que será disponibilizado. Mas até o momento da publicação deste artigo, essa questão ainda não estava totalmente definida e carece de regulamentação para o modelo a ser adotado.
Segurança
A flexibilização para agentes de tratamento de pequeno porte também afeta a questão da segurança da informação:
- as empresas podem criar uma Política de Segurança da Informação simplificada;
- os agentes de pequeno porte não estão isentos de adotar medidas administrativas e técnicas essenciais e eficazes para a segurança das informações. Para tanto, a ANPD disponibiliza um guia de orientação sobre segurança da informação, voltado a agentes de tratamento de pequeno porte;
- sobre a comunicação de incidentes de segurança, a ANPD ainda deve regulamentar procedimentos simplificados.
Nesse infográfico, você consegue entender como aplicar a LGPD no RH de sua empresa. Confira!
A LGPD ficou mais simples para pequenas empresas
Em geral, a LGPD contribui para aprimorar as questões de segurança de informações pessoais e também da privacidade.
O cuidado com esses fatores fortalece a cultura de proteção de dados. O que é bom para as empresas e para a sociedade.
A Lei Geral de Proteção de Dados ajuda a aproximar e fidelizar clientes, aumentando a confiança na marca e fortalecendo a imagem da empresa no mercado. Outro benefício dessa legislação é a possibilidade de organizar e melhorar a eficiência dos processos.
Além disso, a legislação específica aumenta a segurança jurídica em relação ao tratamento de dados pessoais, despertando uma nova cultura empresarial.
A questão é saber se a flexibilização da LGPD nas pequenas empresas realmente tornou os procedimentos mais simples.
Nesse sentido, a menor rigidez das regras em determinados requisitos tem um papel importante para desburocratizar processos e viabilizar a adequação dos agentes de tratamento de pequeno porte.
Um fator positivo proporcionado pela flexibilização é a redução de custos operacionais e financeiros, que com a LGPD são maiores.
Por outro lado, mesmo com a Resolução nº 2, ainda existem questões pendentes dependendo de definição, principalmente em relação ao tratamento de alto risco, à simplificação dos registros das atividades e dos processos de comunicação de incidentes.
Sem contar na questão dos prazos, pois muitos ainda aguardam definição.
Sendo assim, embora a LGPD tenha ficado mais simples para empresas pequenas, ainda há pontos a serem analisados. Além disso, alguns temas precisam de maior discussão e deliberação. Do contrário, o assunto acaba gerando dúvidas e incertezas.
Mas quando tais lacunas forem resolvidas, a flexibilização das regras da LGPD trará mais benefícios do que riscos, afastando a insegurança jurídica do colo das organizações.
Conclusão
Aqui, observamos como as novas regras da Lei Geral de Proteção de Dados trouxeram mudanças às pequenas empresas. A maioria delas foi positiva. Mas ainda percebemos pontos que necessitam atenção.
A Resolução nº 2, também chamada flexibilização da LGPD, tornou a legislação mais simples para os agentes de tratamento, agilizando processos e tornando-os mais adequados às realidades de cada organização.
Apesar de algumas normas estarem menos brandas para as pequenas empresas, as novas resoluções não as dispensam de cumprirem com as regras gerais da LGPD.
Além disso, os princípios e fundamentos estabelecidos na lei para proteger direitos de liberdade e privacidade devem seguir sendo respeitados.
A conclusão geral é que as novas normas vêm para reforçar a obrigação que os agentes de pequeno porte têm no sentido de se adequarem à legislação. Lembrando que eles não estão isentos de cumprir a lei.
Nesse sentido, eles devem atuar conforme as regras da LGPD. Do contrário, arriscam sofrer as penalidades previstas pela legislação.
Quer receber novidades e conteúdos exclusivos sobre gestão de pessoas? Acesse o RH Portal e assine a newsletter.
Esse material foi produzido pelo RH Portal.
Leandro é gerente jurídico da Sólides Tangerino. Formado em direito (2009) e mestre em Desenvolvimento, Regulação, Concorrência, ambos pela Universidade Cândido Mendes RJ (2017). É Sócio-Fundador da CCSJ - Soluções Jurídicas. Há 6 anos atua e é especialista em direito trabalhista, empresarial e digital (LGPD), lidando com as rotinas legais do Departamento Pessoal e de Recursos Humanos, sobretudo aquelas que envolvem controle de ponto eletrônico, jornada de trabalho, tecnologia e proteção de dados. No Blog da Sólides, escreve sobre legislação trabalhista e a legalidade do controle de ponto.
Artigos Relacionados
Como implementar um código de conduta do colaborador
Tempo de Leitura: 6 minutos A implementação de um código de conduta ético para colaboradores é um investimento fundamental para qualquer organização que deseja construir um ambiente de trabalho positivo, produtivo e sustentável. Saiba mais.
Isabella Furbino 
Aumento das demissões por justa causa: o que está acontecendo?
Tempo de Leitura: 8 minutos No pós-pandemia as pessoas começaram a voltar à rotina “normal”, com seu trabalho presencial, até mesmo híbrido. Ao mesmo tempo, as demissões por justa causa começaram a acontecer em grande escala. É importante entender a ...
Leandro Cazeiro
Deixe seu comentário
Seu e-mail não será publicado. Os campos com * são obrigatórios.