Ao contrário do que foi alardeado, equivocadamente, por alguns portais de notícias conhecidos, os agentes de tratamento de Pequeno Porte NÃO ESTÃO DISPENSADOS de realizarem a adequação à Lei Geral de Proteção de Dados em suas empresas, mas sim, terão prazos diferenciados e processos simplificados.
Primeiramente temos que entender quem são os Agentes de Tratamento de Pequeno Porte
- I - microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
- II - microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;
- III -startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021.
Além do critério financeiro de enquadramento, é importante destacar que existem outros critérios que desqualificam as empresas, ou seja, essas não poderão se beneficiar da flexibilização e são aquelas que:
- I - realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º;
- II - aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021;
- III - pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.
Além disso NÃO ESTÃO inclusas na flexibilização agentes que tratem dados sensíveis a saber: dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural e, também, as que tratem dados de crianças e adolescentes.
Assim, Contador, antes de informar a seus clientes sobre a flexibilização analise todos os aspectos para verificar se a empresa pode ou não se beneficiar das flexibilizações.
Lembrando que flexibilização não é dispensa de cumprimento da lei, muito menos que as empresas não devem se adequar, ao contrário, a Resolução n. 02/2022 – ANPD, não dispensou NENHUM CNPJ de se adequar à LGPD.
Então por que a mídia disse isso?
Porque há uma dispensa que é a dispensa de nomeação do Encarregado pelo Tratamento de Dados Pessoais ou o conhecido DPO (Data Protection Officer), somente isso não é obrigatório para as empresas que se enquadrarem.
Mas, em contrapartida, determina que haja um canal de comunicação para o titular dos dados exerça seus direitos previstos no artigo 18, da LGPD.
E quem será qualificado para fazer esse atendimento senão um profissional que seja conhecedor profundo da LGPD?
Assim, na opinião desta colunista, trocaram seis por meia dúzia, já que não precisa indicar o encarregado mas tem que haver alguém na empresa para fazer o trabalho dele.
Lembrando sempre que as demais obrigações da LGPD devem ser cumpridas integralmente!