Já falamos aqui sobre a proposta de uma resolução para agentes de tratamento de pequeno porte que estava em análise após consulta pública pela Autoridade Nacional de Proteção de Dados – ANPD, e no último dia 04/02, foi publicada pela ANPD a Resolução nº 2, que regulamenta aplicação da Lei Geral de Proteção de Dados para estes. A resolução traz proposta de uma adequação mais simplificada e flexibiliza algumas obrigações, como a de se nomeação de um encarregado de dados, por exemplo.

Mas será que essa resolução se aplica a sua empresa?

O regulamento se destina à Agentes de tratamento de pequeno porte, que são as empresas consideradas conforme algumas definições, sendo:

a) Microempresas e empresas de pequeno porte, que são: Sociedades empresárias, sociedades simples, sociedades limitadas unipessoais, e o empresário, incluído o microempreendedor individual, mas, desde que devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas.

b) Startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados.

c) Pessoas jurídicas de direito privado, inclusive sem fins lucrativos, pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais.

Mas ATENÇÃO, NÃO poderão se beneficiar do tratamento jurídico diferenciado previsto no Regulamento os agentes de tratamento de pequeno porte que realizarem tratamento de dados pessoais que sejam de alto risco para os titulares, que são:

(i) Tratamento de dados pessoais em larga escala (quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica)

(ii) Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares (situações em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade)

(iii) Além de tratamento de dados pessoais que façam uso de tecnologias emergentes ou inovadoras, que façam vigilância ou controle de zonas acessíveis ao público, ou que realizem decisões unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular e que faça utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

(iv) Também é considerado tratamento de alto risco se a empresa de pequeno porte tenha receita bruta superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais).

(v) Startups com receita bruta de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário anterior ou de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada, também não se enquadram.

(vi) E, por fim, empresas que pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse R$ 4.800.000,00 (quatro milhões e oitocentos mil reais).

E então? Sua empresa se enquadra no novo regulamento?

Ainda ficou na dúvida? Clique aqui e entre em contato conosco!