A Autoridade Nacional de Proteção de Dados – ANPD, por meio da Resolução nº 2/2022, estabeleceu regime diferenciado para as microempresas, empresas de pequeno porte e startups, quanto ao cumprimento de mandamentos legais relativos ao tratamento de dados pessoais.
A ANPD, órgão federal vinculado à Presidência da República, tem, dentre suas atribuições, fiscalizar e editar atos normativos sobre o tema.
A Resolução em questão, trata esse grupo de empresas, como “agentes de pequeno porte”. Assim, parte-se da ideia que existiu, por parte do legislador, compatibilização entre porte da empresa, e realização de tratamento de dados de empregados, clientes, parceiros de negócios, e etc, em menor escala, o que justificou regras especiais.
Algumas das principais disposições da Resolução são: determinação de prazos em dobro, como no caso de atendimento/resposta de requerimentos feitos pelos titulares, ou para comunicar a ANPD sobre ocorrência de incidente de segurança; dispensa de indicação de pessoa física ou jurídica para operar como seu encarregado de dados (responsável por atuar como canal de comunicação entre todos os envolvidos na cadeia de tratamento); e estabelecimento de política simplificada de segurança da informação.
Importante destacar, que a mesma Resolução prevê algumas exceções quanto à sua aplicação, como quando constatado ocorrência de tratamento de "alto risco" pelos agentes de pequeno porte. A nosso ver, tal previsão poderá trazer futuras discussões jurídicas por ser carregada de subjetivismo.
Conclui-se que a Resolução reforça a adequação como algo imprescindível, independentemente do tamanho do agente de tratamento. Conforme palavras da própria ANPD “o porte de uma empresa não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais, nem desobriga que as atividades de tratamentos de dados observem a boa-fé e os princípios da lei”.