Se você tem uma microempresa, EPP, startup ou organização sem fins lucrativos, e está em processo de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD), uma dúvida comum é:
“Sou obrigado a indicar um encarregado de dados (DPO)?”
A resposta é: não necessariamente.
A Resolução CD/ANPD nº 2/2022 trouxe um importante avanço ao prever tratamento jurídico diferenciado para agentes de tratamento de pequeno porte, desonerando essas empresas da obrigação de nomear um encarregado — desde que disponibilizem um canal de comunicação eficiente com os titulares de dados.
Quem são os agentes de tratamento de pequeno porte segundo a ANPD?
A Resolução CD/ANPD nº 2/2022, que estabelece normas sobre o tratamento de dados pessoais por agentes de tratamento de pequeno porte, define de forma clara quem pode ser enquadrado nessa categoria e, portanto, se beneficiar de um regime jurídico mais simplificado no âmbito da LGPD.
Conforme o Art. 2º da Resolução, são considerados agentes de tratamento de pequeno porte:
1 – Microempresas (ME) e Empresas de Pequeno Porte (EPP)
Conforme definidas na Lei Complementar nº 123/2006, essas empresas são classificadas com base em seu faturamento anual e estrutura operacional. São entidades com menor capacidade econômica e estrutural, o que justifica a adoção de medidas regulatórias proporcionais.
2 – Startups
Incluem-se neste grupo as organizações inovadoras enquadradas nos termos da Lei Complementar nº 182/2021 (Marco Legal das Startups). A legislação considera startups aquelas que atuam na inovação aplicada a modelos de negócio ou produtos/serviços, com receita bruta limitada e inscrição no Inova Simples ou enquadramento específico como startup.
3 – Pessoas jurídicas de direito privado sem fins lucrativos
Abrange associações, fundações, cooperativas, organizações da sociedade civil e demais entidades que não visam à distribuição de lucros, desde que tratem dados pessoais para finalidades legítimas, específicas e proporcionais à sua atuação institucional.
4 – Pessoas naturais e entidades privadas que realizem tratamento de dados com fins econômicos
Desde que atendam aos critérios estabelecidos pela ANPD, pessoas físicas (como profissionais autônomos) e entidades privadas que utilizam dados pessoais com objetivo econômico, mas possuem porte reduzido, também podem ser caracterizadas como agentes de pequeno porte. A avaliação considerará, entre outros fatores, o volume de dados tratados, a natureza das atividades e o risco envolvido.
Importante destacar que, apesar de integrarem o regime diferenciado, agentes de tratamento de pequeno porte não estão isentos de todas as obrigações da LGPD. A flexibilização se dá em aspectos específicos — como prazos, formato de registros e, especialmente, a possibilidade de dispensa da nomeação do encarregado de dados, mediante a manutenção de um canal de comunicação ativo com os titulares.
Dispensa da Nomeação do Encarregado de Dados: O que determina a Resolução CD/ANPD nº 2/2022
A Resolução CD/ANPD nº 2/2022, ao estabelecer normas específicas para agentes de tratamento de pequeno porte, introduz a possibilidade de dispensa da nomeação do Encarregado pelo Tratamento de Dados Pessoais — figura prevista no art. 41 da Lei nº 13.709/2018 (LGPD).
De acordo com o art. 11 da Resolução, esses agentes não estão obrigados a indicar formalmente um encarregado de dados, desde que atendam a uma exigência essencial:
Art. 11. Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado previsto no art. 41 da Lei nº 13.709, de 2018.
§ 1º O agente de tratamento de pequeno porte deverá disponibilizar um canal de comunicação com o titular de dados.
Ou seja, a dispensa do DPO (Data Protection Officer) não é automática nem absoluta. Ela está condicionada à manutenção de um canal de comunicação claro, funcional e acessível ao titular dos dados, por meio do qual ele possa exercer seus direitos legalmente garantidos.
Qual é a finalidade do canal de comunicação LGPD?
O canal de comunicação previsto pela Resolução da ANPD tem como principal objetivo viabilizar o exercício dos direitos do titular, conforme estabelecido no art. 18 da LGPD, tais como:
- Confirmação da existência de tratamento de seus dados pessoais:
Permite ao titular saber se seus dados estão sendo coletados, processados ou armazenados por determinada organização. - Acesso aos dados coletados:
Garante transparência, possibilitando que o titular visualize quais informações pessoais foram coletadas e como estão sendo utilizadas. - Correção de dados incompletos, inexatos ou desatualizados:
Assegura que os dados armazenados estejam corretos e atualizados, evitando erros ou impactos negativos decorrentes de informações incorretas. - Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos:
Garante ao titular o direito de solicitar medidas sobre dados que não sejam essenciais para a finalidade do tratamento. - Portabilidade dos dados:
Permite a transferência dos dados pessoais a outro fornecedor de serviço ou produto, conforme regulamentação da autoridade. - Eliminação de dados tratados com base no consentimento:
O titular pode solicitar a exclusão dos dados quando o tratamento se basear apenas no consentimento e este for revogado. - Informação sobre compartilhamento com terceiros:
O titular tem direito de saber com quais entidades, públicas ou privadas, seus dados foram compartilhados. - Revogação do consentimento:
Garante ao titular a possibilidade de retirar seu consentimento para o uso dos dados, interrompendo o tratamento, salvo nas hipóteses legais de manutenção.
Além disso:
- Mesmo sem a presença formal de um encarregado de dados (DPO), o agente de tratamento de pequeno porte deve manter o canal de comunicação ativo e funcional.
- O canal é essencial para garantir a transparência, a responsabilidade e o atendimento ágil às solicitações dos titulares.
- É um mecanismo que reforça o cumprimento dos princípios da LGPD, como finalidade, adequação, necessidade, livre acesso e prestação de contas.
A manutenção desse canal é uma obrigação mesmo para pequenos agentes de tratamento, conforme previsto pela ANPD, destacando que o porte da empresa não isenta da responsabilidade quanto aos direitos dos titulares.
Considerações práticas
A criação de um canal de comunicação não se resume à publicação de um e-mail de contato. O canal deve ter:
- Clareza e acessibilidade: com instruções objetivas para o exercício dos direitos;
- Segurança da informação: para preservar a confidencialidade e a integridade dos dados;
- Organização e rastreabilidade: permitindo registrar e controlar as interações com os titulares;
- Eficiência no atendimento: com observância dos prazos legais.
Assim, ao possibilitar que a indicação de um Encarregado de Dados seja substituída pela implantação de um canal de comunicação LGPD, a Resolução CD/ANPD nº 2/2022 busca balancear a proteção dos direitos dos titulares com a realidade operacional das pequenas empresas, permitindo que cumpram a LGPD de forma proporcional à sua estrutura, mas sem comprometer os fundamentos da lei.
Riscos e Penalidades pelo Descumprimento da LGPD por Agentes de Pequeno Porte
Embora a Resolução CD/ANPD nº 2/2022 permita que agentes de tratamento de pequeno porte sejam dispensados da nomeação de um Encarregado de Dados (DPO), essa flexibilização não isenta a organização das demais obrigações previstas na Lei Geral de Proteção de Dados Pessoais (LGPD).
O não cumprimento das exigências mínimas, como a manutenção de um canal de comunicação efetivo com o titular de dados, pode resultar em infrações administrativas e sanções legais expressivas. As consequências podem comprometer não apenas a continuidade das operações de tratamento, mas também a reputação e a viabilidade financeira da organização.
Principais penalidades previstas no Art. 52 da LGPD:
- Advertência formal, com prazo determinado para correção da irregularidade;
- Multa simples de até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões por infração;
- Multa diária, aplicada enquanto persistir a não conformidade;
- Publicização da infração, após sua apuração e confirmação, afetando a imagem da empresa no mercado;
- Bloqueio dos dados pessoais a que se refere a infração, impedindo seu uso até a regularização;
- Eliminação definitiva dos dados pessoais envolvidos na infração, o que pode comprometer serviços, cadastros e históricos operacionais.
Além das sanções administrativas aplicadas pela ANPD, o descumprimento da LGPD pode gerar responsabilidade civil em ações judiciais individuais ou coletivas movidas por titulares de dados ou órgãos de defesa do consumidor.
Conclusão
A Resolução nº 2/2022 representa um avanço ao estabelecer proporcionalidade na aplicação da LGPD, permitindo que pequenas organizações possam se adequar sem onerar excessivamente suas estruturas. Contudo, isso não reduz a responsabilidade legal quanto ao tratamento de dados pessoais.
A adoção de um canal de comunicação eficaz e seguro não é apenas uma alternativa viável – é uma exigência normativa que deve ser tratada com o mesmo rigor de outras obrigações legais.
Evite riscos desnecessários e garanta a conformidade da sua empresa com a LGPD. Conheça nossa solução especializada de canal de comunicação LGPD, desenvolvida especialmente para atender às exigências da Resolução CD/ANPD nº 2/2022. Com tecnologia segura, fluxos automatizados e suporte jurídico, ajudamos sua organização a cumprir a legislação com eficiência e tranquilidade.
Fale com um especialista e descubra como simplificar sua adequação à LGPD — sem complicações e com total respaldo legal.
