O fundamento dessa reflexão parte da Resolução de comunicação de incidente de segurança n°2/22 da ANPD e da Lei Geral de Proteção de Dados Lei n°13.709/18 Art. 55-J no inciso XVIII que determina como dever – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se auto declarem startups ou empresas de inovação, possam adequar-se a Lei;
O tratamento de de dados pessoais de alto risco regulado pela ANPD (Agência Nacional de Proteção de Dados) flexibiliza para as microempresas e empresas de pequeno porte que, nem sempre, tem coleta de dados com grande volume ou dados que prejudicam o titular dos dados. Dessa forma é preciso fazer uma dosimetria para identificar o grau de risco no tratamento de dados para que essas empresas não tenham deveres que na prática, não seria necessário.
Destaca-se que, é obrigação dos agentes de tratamento de pequeno porte disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares, em conformidade com a elaboração da forma simplificada e com a manutenção de registro das operações de tratamento de dados pessoais. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
As definições para Agentes de tratamento de pequeno porte e microempresa e empresa de pequeno porte, que recebem tratamento diferenciado são:
Agente de tratamento de pequeno porte são: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como, pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Microempresa e empresa de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, e o empresário que exerce profissionalmente atividade econômica organizada para produção ou a circulação de bens ou de serviços. Não se considera empresário quem exerce profissão intelectual, de natureza científica, literária ou artística, ainda com o concurso de auxiliares ou colaboradores, salvo se o exercício da profissão constituir elemento de empresa.
- Não podem se beneficiar do tratamento diferenciado às empresas que: realizam tratamento de alto risco. fica facultado aos agentes de tratamento de pequeno porte, inclusive aqueles que realizam tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
- Será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico. A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.
- Os critérios gerais são: os tratamentos de dados pessoais em larga escala ou tratamento de dados pessoais que possa afetar significativamente os direitos fundamentais dos titulares. O critérios específicos são: aqueles que usam de tecnologias emergentes ou inovadoras ou vigilância ou controle de zonas acessíveis ao público, que trata as decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular ou utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
- O tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado. A ANPD disponibilizou o guia e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco. Sobre as definições dos agentes de tratamento de pequeno porte caberá ao agente provar que ele enquadra nas hipóteses de benefícios em até 15 dias.
- As dispensas ou flexibilização das obrigações dispostas não isenta os agentes de tratamento de pequeno porte do cumprimento dos deveres dos dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.