A Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº 13.709/2018), já esteja em vigor, sua implantação por muitas empresas ainda não foi concluída e, em alguns casos, sequer iniciada, o que gera um grande risco de sofrerem penalização. A LGPD se aplica a todas as empresas que tratam dados pessoais em território brasileiro, inclusive as Pequenas e Médias Empresas. (PMEs).
A LGPD é aplicada em todas as empresas que fazem tratamento de dados, desde o pré-cadastro, ficha de entrevista, armazenamento e descarte de dados de funcionários, e as Pequenas e Médias empresas não são diferentes. Para colaborar com a regulamentação das empresas, foi publicado pela Agência Nacional de Proteção de Dados (ANPD) um instrumento regulatório.
Trata-se da Resolução CD/ANPD nº 2/2022, que regulamenta o tratamento jurídico diferenciado da LGPD para microempresas, empresas de pequeno porte, startups e pessoas jurídicas sem fins lucrativos, adequando as obrigações previstas às suas possibilidades, porém com algumas flexibilidades.
Vejamos os principais itens dessa resolução que flexibilizam e dispensam obrigações para essas empresas:
- O tratamento de dados pessoais dos titulares por meio eletrônico, impresso, ou qualquer outro que assegure o acesso facilitado às informações pelos titulares.
- Possibilidade de se organizarem por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais, para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
- Procedimento simplificado de elaboração e manutenção de registro das operações de tratamento de dados pessoais.
- Dispensa da obrigação de indicar o encarregado pelo tratamento de dados pessoais (DPO – Data Protection Officer). Ao não indicar, as PMEs devem, no entanto, disponibilizar um canal de comunicação para que titulares dos dados possam exercer seus direitos.
- Prazo em dobro no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais e na comunicação com a ANPD, em casos de incidente de segurança.
No entanto, mesmo flexibilizando algumas regras, o titular dos dados pessoais deve ter a proteção dos dados durante o manuseio pelas PME’s, ou seja, os agentes de tratamento não podem deixar de tomar as medidas administrativas e técnicas de segurança da informação, conforme previsão legal.
A ANPD, emitiu um guia de orientação para as PME’s que de forma resumida auxilia no tratamento de dados. Vejamos:
- As PME’s devem estabelecer uma política de segurança da informação, ainda que simplificada;
- Realização de programas de treinamento incluindo as obrigações e responsabilidades relacionadas ao tratamento de dados pessoais;
- Reformular os contratos de trabalho incluindo os termos de confidencialidade, para evitar a divulgação de informações confidenciais que envolvam dados pessoais obtidos durante o trabalho;
- Implementação de sistema de controle de acesso aplicável a todos os usuários;
- Coletar e processar apenas os dados pessoais que são realmente necessários para atingir os objetivos do tratamento para a finalidade pretendida;
Portanto, a LGDP veio para regulamentar os tratamentos de dados pessoais, e a edição da Resolução CD/ANPD nº2/2022, bem como o guia de orientação, são medidas sugeridas e devem ser complementadas de acordo com a LGDP e outras que venham a ser identificadas pelas PMEs como necessárias para quer as empresas atuem dentro da legalidade e assim, evitar problemas futuros.