A Lei Geral de Proteção de Dados Pessoais (LGPD) sancionada em 2018, com as sanções administrativas em vigor desde agosto de 2021, se aplica a todas as empresas e organizações independente do porte e do setor que atua.
A forma como as empresas coletam, armazenam, tratam e utilizam os dados pessoais tanto em meio físico como digital estão submetidos ao regramento legal.
Frente à Lei, as empresas precisam reavaliar suas políticas de coleta de dados, a segurança das informações tratadas e atualizar os sistemas utilizados para minimizar possíveis vazamentos das informações sigilosas de pessoas físicas.
Os provedores de acesso à internet ou Prestadoras de Telecomunicações de Pequeno Porte (PPPs), como também são conhecidos, coletam dados pessoais perante a Lei, mas resta saber se estão enquadradas como agentes de tratamento de pequeno porte?
Segundo a resolução normativa da Autoridade Nacional de Proteção de Dados - ANPD são considerados agentes de tratamento de pequeno porte as microempresas, empresas de pequeno porte (ver definição no art. 41 da Lei nº 14.195, de 26 de agosto de 2021), startups (ver definição no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021), pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Contudo, a resolução traz restrições ao enquadramento no tratamento jurídico diferenciado disposto nesta, ou seja, não poderão se beneficiar do tratamento jurídico diferenciado os agentes de tratamento de pequeno porte que:
I - Realizem tratamento de alto risco para os titulares, ou seja, o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:
I.I - critérios gerais:
a) tratamento de dados pessoais em larga escala, ou seja, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; ou
b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, entendido como as atividade de tratamento que puderem impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
I.II - critérios específicos:
a) uso de tecnologias emergentes ou inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
A resolução CD/ANPD nº 02 trouxe diversas flexibilizações para os agentes de tratamento de pequeno porte tais como a faculdade concedida aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, a organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados, o que diminui o custo destes.
Outras flexibilizações que irão ajudar nos custos da adequação são os agentes de tratamento de pequeno porte poderem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais de forma simplificada, segundo modelo a ser fornecido pela ANPD e poderem obter, ainda, segundo disposição da ANPD, flexibilização ou procedimento simplificado de comunicação de incidente de segurança nos termos da regulamentação específica.
Os agentes de tratamento de pequeno porte também não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, mas os que assim decidirem fazer, devem disponibilizar um canal de comunicação com o titular de dados.
A referida resolução concedeu, ainda, aos agentes de tratamento de pequeno porte, prazo em dobro no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, na comunicação à ANPD e ao titular da ocorrência de incidente de segurança e no fornecimento de declaração clara e completa.
Os Provedores de Internet precisam se adequar rapidamente a lei, uma vez que possuem inúmeros dados coletados e armazenados em bancos de dados pois sempre que ofertam ou comercializam produtos ou serviços, no Brasil, para uma pessoa física, ele está submetido às regras da LGPD para fins de tratamento de dados pessoais.
Sua empresa provedora de internet já está adequada à LGPD?
Nós podemos ajudar! Fale conosco!
Comentarios