A dispensa ou flexibilização das obrigações dispostas no Regulamento de Aplicação da Lei Geral de Proteção de Dados Pessoais, não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.

Curso LGPD Aplicação para Agentes de Tratamento de Pequeno Porte

Obrigações Relacionadas aos Direitos do Titular
O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

I - Finalidade específica do tratamento;
II - Forma e duração do tratamento, observados os segredos comercial e industrial;
III - Identificação do controlador;
IV - Informações de contato do controlador;
V - Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - Responsabilidades dos agentes que realizarão o tratamento; e
VII - Direitos do titular, com menção explícita aos direitos contidos no art. 18 da LGPD.

Curso LGPD – Lei Geral de Proteção de Dados – Aplicações e Boas Práticas 

Os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio:

I - Eletrônico;
II - Impresso; ou
III - Qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.

Então, as empresas que não possuem “site”, por exemplo, não são obrigadas a terem um endereço eletrônico somente para o cumprimento das previsões contidas na LGPD.

Fica facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

A Autoridade Nacional de Proteção de Dados (ANPD)  poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas no regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.

Curso LGPD Prevenção de Ataques e Protocolos ee Segurança ea Informação

Registro das Atividades de Tratamento
Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, constante do art. 37 da LGPD, de forma simplificada.

O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

A Autoridade Nacional de Proteção de Dados (ANPD) fornecerá modelo para o registro simplificado das operações de tratamento de dados pessoais.

Comunicações dos Incidentes de Segurança
A Autoridade Nacional de Proteção de Dados (ANPD) disporá sobre flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, nos termos da regulamentação específica.

Encarregado pelo Tratamento de Dados Pessoais
Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.

O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender e aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

A indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança.

O certo é que, dessa forma, os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais, sendo que, em não havendo indicação, o agente deverá disponibilizar um canal de comunicação com o titular de dados para atender e aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências,  receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Segurança e Boas Práticas
Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

O atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos, será considerado como observância ao disposto no art. 52, §1º, VIII da LGPD.

Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

A política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte.

A Autoridade Nacional de Proteção de Dados (ANPD) considerará a existência de política simplificada de segurança da informação para fins do disposto no art. 6º, X e no art. 52, §1º, VIII e IX da LGPD.

Quer saber mais sobre o tema? Você pode participar de diversas maneiras: Fazendo parte de nosso Corpo Docente; enviando suas perguntas e sugestões de novos Cursos, Seminários, Palestras e Workshops; e propondo novas ações de Educação a Distância. Envie-me por e-mail sua opinião sobre o que podemos fazer para melhorar nossas ações na Educação a Distância.

Prof. Dr. Juracy Soares
É professor fundador da Unieducar. Fundador e Editor Chefe da Revista Científica Semana Acadêmica. Graduado em Direito e Contábeis. Especialista em Auditoria, Mestre em Controladoria e Doutor em Direito. Possui Certificação em Docência do Ensino Superior. É pesquisador em novas tecnologias para EaD/E-Learning. Escritor e autor do livro Enriqueça Dormindo.