PMEs e startups não são obrigadas a contratar DPO

PMEs e startups não são obrigadas a contratar DPO

dispensa de DPO para PME

Em 28/01, dia internacional da Proteção de Dados, a Autoridade Nacional de Proteção de Dados (ANPD) bateu o martelo sobre uma questão que vinha afligindo pequenas e médias empresas e startups. Estava em jogo a obrigatoriedade de contratação do encarregado pelo tratamento de dados pessoais, mais conhecido como DPO (Data Protection Officer, como é chamado na GDPR, a lei de proteção de dados da União Europeia). Agora, PMEs e startups estão oficialmente livres da obrigação de contratar um DPO.

A decisão, anunciada pela resolução CD/ANPD nº 2, não é exatamente uma novidade, uma vez que a ANPD tinha tomado a iniciativa de lançar, em 30 de agosto de 2021, uma consulta pública para facilitar a adoção da Lei em empresas de pequeno porte. No documento da consulta pública, a ANPD já levantava o debate em defesa da dispensa dessa obrigatoriedade para PMEs e startups.

A posição da ANPD caminha na direção de um processo mais ágil e menos dispendioso para as empresas de menor porte adotarem a Lei Geral de Dados Pessoais (LGPD). Segundo o documento publicado pela ANPD, em agosto de 2021: “os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD”. 

Essa dispensa, porém, não exime a empresa de manter comunicação com o titular de dados. A minuta que foi para audiência pública deixava claro que “o agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados”.

Boas práticas e governança

Agora, a resolução CD/ANPD nº 2 deixa bem claro que “os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD”. Embora, na prática, isso signifique que não há qualquer obrigação de indicar um DPO, a presença do encarregado pelo tratamento de dados pessoais é considerada uma evidência de boas práticas e governança.  

No texto da resolução CD/ANPD nº 2, está bem claro que “a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD”.

Para reduzir custos e facilitar a adoção de boas práticas, a ANPD deu ainda sinal verde à formação de consórcios para o tratamento de dados. Essa liberação está expressa no Art. 8º da resolução:  “Fica facultado aos agentes de tratamento de pequeno porte, inclusive àqueles que realizem tratamento de alto risco, organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados”.

Mas nunca é demais lembrar que não há isenções com relação ao cumprimento dos demais dispositivos da LGPD, conforme definido no Art. 6º da resolução CD/ANPD nº 2. Isso inclui bases legais e princípios, outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.

Compartilhe:

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no telegram
Compartilhar no whatsapp
Compartilhar no email
Compartilhar no pinterest
Fique por dentro da plataforma pioneira em infraestrutura de tecnologia financeira e bancária

Ficou interessado em nossas soluções?

Envie uma mensagem!