Em 27 de janeiro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 2/2022, aprovando as disposições aplicáveis da Lei nº 2/2022.
Na referida resolução, as microempresas, os pequenos negócios, as start-ups, as pessoas colectivas de direito privado, incluindo as entidades sem fins lucrativos nos termos da legislação em vigor, bem como as entidades privadas naturais e impessoais que tratem dados pessoais, assumem operador de controle ou obrigações do operador.
De um modo geral, o objetivo desta resolução é flexibilizar as regras e prazos para se adequarem à real situação dos pequenos agentes de tratamento de dados pessoais, como as start-ups, pelo que entre as principais alterações destacamos a nomeação facultativa do chefe de /DPO, a possibilidade de elaborar registros das atividades de tratamento de forma simplificada, bem como fornecer prazos duplos para atendimento de solicitações do titular dos dados e comunicação de incidentes à ANPD e ao titular dos dados.
Portanto, a ANPD possui grande flexibilidade na aplicação da LGPD às start-ups, principalmente em termos de custo e estrutura, para atender às exigências legais, processuais e burocráticas da LGPD.
No entanto, de acordo com o especialista em privacidade de dados da Bonuz, Marcelo Brisolla, é importante observar que, como em qualquer regra, há exceções para titulares do número da Resolução CD/ANPD (por exemplo, grande escala, uso de dados pessoais sensíveis ou crianças, uso emergente ou tecnologias inovadoras, monitoram ou controlam áreas de acesso público e utilizam tecnologias que processam dados pessoais por meio de tomadas de decisão automatizadas) e/ou entidades que auferem receita bruta individual ou por meio de grupos econômicos acima dos limites estabelecidos no art. 3º, II, da Lei Complementar nº 123 de 2006, ou no caso de start-ups, no art. Lei Complementar nº 182 de 2021, Seção 4, Seção 1.
Portanto, tendo em vista que a flexibilidade proporcionada pela nova resolução da ANPD não se aplica a tais entidades, é importante que as startups que atendam aos requisitos das exceções acima tenham mais cautela na análise e implementação do cumprimento da LGPD.
No entanto, mesmo aquelas startups que se enquadram no escopo da resolução devem ser estruturadas em conformidade com a LGPD, pois a Resolução 2/2022 CD/ANPD não as exime da obrigação de cumprir outras disposições da LGPD, incluindo base legal e princípios e pessoais Outras leis, regulamentos e disposições contratuais relativas à proteção de dados, bem como os direitos dos titulares.
Além disso, embora a resolução preveja uma dispensa da obrigação de nomear um Principal/DPO para pequenos agentes, será considerada política de boas práticas e governança para os fins do Art Clause. 52, §1º, IX da LGPD nomeia os DPOs dessas entidades.
Dessa forma, para Marcelo Brisolla, recomenda-se que, antes de tomar qualquer decisão, as entidades que atendam aos requisitos da resolução da ANPD consultem especialistas em privacidade e proteção de dados pessoais para que possam orientá-los da melhor forma. A governança de proteção de dados e o GDPR levam em consideração sua estrutura e atividades atuais para o processamento de dados pessoais.
