Consideram-se agentes de tratamento de dados de pequeno porte as microempresas e as empresas de pequeno porte que se enquadrem nos termos do art. 3º e § 1º do art. 18-A da Lei Complementar (LC) nº 123/06 e as startups que atendam aos critérios previstos na LC nº 182/21; exceto quando realizarem tratamento de alto risco, ultrapassarem os limites de receita bruta estipulados pela LC nº 123/06 ou, no caso das startups, o limite previsto na LC nº 182/21; ou pertencerem a grupo econômico que ultrapassar os limites da receita bruta da LC nº 123/06.
O tratamento é a operação realizada com dados pessoais, tais como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração e no processo de tratamento dos dados pessoais, sensíveis e crianças e de adolescentes os agentes devem observar os requisitos para cada tipo de dados até que se realize o término desse tratamento.
Os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares, por meio eletrônico; impresso; ou qualquer outro que assegure os direitos previstos na Lei nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais) e o acesso facilitado às informações. Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, de forma simplificada, mediante modelo para o registro simplificado fornecido pela Autoridade Nacional de Proteção de Dados (ANPD), que também disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança.
Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, hipótese em que deverão disponibilizar um canal de comunicação com o titular de dados. Caso indiquem um encarregado, estarão desenvolvendo uma política de boas práticas e governança. Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.
O atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos, será considerado como adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados. Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Base legal: arts. 6º, 9º, 18, 37, 41 e 52 da Lei nº 13.709/18 e Anexo I da Resolução CD/ANPD nº 2/22.
Comentários recentes