LGPD: quais empresas não são obrigadas a indicar um DPO/Encarregado de proteção de dados?

LGPD: quais empresas não são obrigadas a indicar um DPO/Encarregado de proteção de dados?

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020 e trouxe consigo uma série de obrigações para as empresas, com o intuito de assegurar o uso ético e seguro de dados pessoais no Brasil. Um das principais dúvidas é: quando é obrigatório DPO?

A partir do do texto original da LGPD, todas empresas que tratam dados pessoais deveriam indicar um Encarregado de Proteção de Dados – também conhecido como Data Protection Officer (DPO), por ser a nomenclatura utilizada pelo Regulamento Geral de Proteção de Dados da UE, que muito inspirou a LGPD. 

Lembrando que tratamento de dados pessoais quer dizer qualquer ação que envolve dados que possam identificar uma pessoa, sendo exemplo a coleta, compartilhamento, comercialização, armazenamento, análise, etc. 

Praticamente todas as empresas do Brasil realizam o tratamento de dados pessoais, sendo assim, todas eram obrigadas a indicar alguém para executar essa função. 

Contudo, a ANPD publicou a Resolução CD/AND nº 2/2022, que propõe um tratamento diferenciado na aplicação da LGPD para agentes de tratamento de pequeno porte e dispensou a necessidade de indicação de um DPO para determinados perfis de empresas.

Neste artigo você vai conferir quais empresas são dispensadas dessa obrigatoriedade legalmente. 

Mas, antes…

Afinal, o que é um DPO?

De maneira geral, o DPO é um especialista responsável por monitorar e garantir que uma empresa esteja em compliance com as regras e boas práticas do seu setor quando o assunto é proteção de dados e privacidade. 

Essa figura será responsável também por representar e intermediar os interesses das empresas e dos titulares de dados nesta temática. 

Propondo uma analogia, o DPO é como se fosse um “contador”, só que focado em dados pessoais e privacidade. Na era da informação, não é à toa que essa função tem recebido cada vez mais importância. 

A obrigação de indicar um encarregado de proteção de dados é mencionada no art. 41 da LGPD. A legislação também menciona a necessidade de tornar essa nomeação pública, preferencialmente no site da empresa. 

Devido às novas regras promovidas pela LGPD que as empresas precisam se adaptar para garantir a privacidade e segurança dos dados dos seus clientes e usuários, o DPO não apenas é o profissional mais qualificado para orientar e auxiliar uma empresa em todo seu processo de conformidade, mas é também a peça central do processo de adequação à LGPD.

Quais empresas não são legalmente obrigadas a indicar um DPO? 

A Resolução da ANPD que dispensa a necessidade de indicação da figura do DPO  poderá ser aplicada a microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado sem fins lucrativos, pessoas físicas e entes privados despersonalizados (como condomínios).

Considera-se Startup: (I) as empresas com até 10 anos de inscrição no cadastro nacional de pessoa jurídica (CNPJ); (II) com faturamento bruto anual máximo de R$ 16 milhões; e (III) que utilizem modelos de negócios inovadores para geração de produtos ou serviços.
Definição baseada no Marco Legal das Startups.
Considera-se empresa de pequeno porte: entidade com faturamento anual de até R$ 4,8 milhões e até 99 funcionários. 
Considera-se microempresa: entidade com faturamento anual de até R$ 360 mil e 19 funcionários, sendo que o microempreendedor individual poderá ter faturamento anual máximo de R$ 81 mil e 1 funcionário.
Definição baseada no Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte.

Contudo, se sua empresa é de pequeno porte ou uma startup, por exemplo, mas preenche algum dos critérios abaixo, você possui a obrigação legal de indicar um DPO:

  1. Realiza tratamento de dados de alto risco para os titulares, conforme os critérios que serão expostos no próximo tópico; 
  1. Obtêm receita bruta superior aos limites de faturamento estipulados pelo Marco Legal das Startups e Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte, mencionados anteriormente; 
  1. Pertence a um grupo econômico de fato ou de direito, cuja receita global ultrapassa os limites de faturamento também mencionados anteriormente. 

Essa exceção busca impedir que grandes empresas busquem um possível desmembramento, de modo a serem caracterizadas como pequenas empresas e obterem os benefícios da Resolução.   

O que é considerado um “tratamento de alto risco”? 

Os critérios para identificação de um tratamento de alto risco estão divididos em duas classificações: gerais e específicas.

Será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico.

Critérios gerais:

  • a) tratamento de dados pessoais em larga escala; ou

De acordo com a Resolução, tratamento em larga escala será caracterizado quando abranger número significativo de titulares, considerando também o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado. Contudo, não há um critério objetivo para definir essa característica, abrindo margem para interpretações. 

  • b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares.

Esse tratamento será caracterizado, dentre outras situações, quando a atividade puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade. 

Critérios específicos: 

  • a) uso de tecnologias emergentes ou inovadoras;
Exemplos de tecnologias emergentes ou inovadoras: AR/VR, Inteligência Artificial, Drones, Blockchain e Criptomoedas, IoT, Cleantechs e SmartCities, IoT e Big Data e Analytics.(Obs.: esses exemplos não foram mencionados na Resolução, então aqui mencionados para maior entendimento da aplicação prática do critério).   
  • b) vigilância ou controle de zonas acessíveis ao público;
  • c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
  • d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Cuidado para não errar no seu enquadramento 

Isto pois, a  ANPD poderá solicitar a provas de que sua empresa realmente se enquadra nas condições necessárias para gozar dos benefícios do regulamento, sendo que você terá o prazo de até 15 dias para apresentar a comprovação. 
Peço uma cuidadosa análise jurídica do seu enquadramento para o seu jurídico ou fale com um dos nossos especialistas sem compromisso.