Portanto, teriam obrigações mais flexíveis as seguintes entidades:
- Microempresas (receita bruta de até R$ 360.000,00);
- Empresas de pequeno porte (receita bruta entre R$ 360.000,00 e R$ 4.800.000,00);
- MEI devidamente registrado;
- Startups (definidas pelos critérios do Marco Legal das Startups); e
- Pessoas jurídicas sem fins lucrativos;
Porém, essas entidades não poderão valer-se das regras flexibilizadas, caso realizem tratamento que envolva:
- Dados sensíveis ou de grupos vulneráveis (incluindo crianças adolescentes e idosos);
- Vigilância ou controle de zonas públicas;
- Uso de tecnologias emergentes que possam gerar danos aos titulares;
- Tratamento automatizado de dados pessoais que afetem os interesses dos titulares; e
- Tratamento em larga escala
As principais medidas de flexibilização são as seguintes:
- Não precisa fornecer a portabilidade de dados aos titulares;
- Não precisa manter registro das operações de tratamento;
- Pode apresentar Relatório de Impacto simplificado;
- Não precisa nomear DPO (mas precisa ter um canal de comunicação oficial para questões de privacidade e proteção de dados); e
- Prazo em dobro para atender às solicitações dos titulares e providências junto à ANPD.
Lembramos que trata-se apenas de uma minuta submetida à consulta pública e, portanto, essas regras não estão valendo, porém nos ajudam a entender a visão da ANPD e esperar que, no futuro, sejam confirmadas regras parecidas com essas.
Escrito por:
g.belmudes@alvesoliveira.adv.br
Veja mais artigos: