El 28 de enero de 2022, se fue aprobado por el Consejo Directivo de la Autoridad Nacional de Protección de Datos Brasileña – ANPD, por medio de la Resolución CD/ANPD n. 02, la Regulación de la aplicación de la Ley General de Protección de Datos Personales Brasileña – LGPD para los agentes de tamaño pequeño.
La Regulación dispone como agentes de tamaño pequeño las microempresas y empresas de tamaño pequeño y los startups, de acuerdo con las definiciones de la Ley Complementaria n. 123, de 2006 y de la Ley Complementaria n. 182, de 2021, respectivamente, con excepción de los agentes que traten datos de alto riesgo para los titulares. La Regulación también define como de alto riesgo las actividades de tratamiento de datos que sean de gran escala o que pueden afectar derechos fundamentales de los titulares. Estas actividades también deben ser contempladas en una de las hipótesis abajo:
(i) El agente se utiliza de tecnologías nuevas o innovadoras;
(ii) Las actividades del Agente tienen relación con actividades de vigilancia o control de sitios accesibles al público;
(iii) Las decisiones tomadas en el tratamiento son exclusivamente basadas en tratamiento automatizado de datos personales; o
(iv) El tratamiento sea de datos personales sensibles o de niños, jóvenes o ancianos.
La Regulación también dispone que los agentes de tamaño pequeño podrán cumplir las obligaciones de registro de actividades y notificación de violación de la seguridad de los datos personales de manera simplificada, que van a ser establecidas por la ANPD en el futuro.
Los plazos para respuesta a solicitudes de los titulares, notificación de violación de la seguridad de los datos personales a la ANPD y a los titulares de datos y para presentar declaración completa de confirmación de existencia de datos personales serán duplicados para los agentes de tamaño pequeño. Además, el plazo para presentar declaración simplificada de confirmación de existencia de datos personales para estos agentes va a ser 15 días.
La Regulación dispensa los agentes de tamaño pequeño de la obligación de nombrar un delegado de protección de datos, pero la nominación será considerada como un indicativo de gobernanza y buenas prácticas. Aún más, la Regulación permite que los agentes de tamaño pequeño se organicen en entidades de representación para negociaciones con los titulares de datos.
Por fin, la Regulación también dispone que la ANPD podrá solicitar la comprobación de que la empresa es un agente de tamaño pequeño y solicitar el cumplimiento de las obligaciones dispensadas por la Regulación, acaso quiera.
Nuestro equipo está a disposición para cualquier aclaración adicional, así como para ayudar con los procedimientos de cumplimiento de las obligaciones reglamentarias de la LGPD ante la ANPD.
Gustavo Flausino Coelho – gustavo@bastilhocoelho.com.br
Fernando Naegele – fernando@bastilhocoelho.com.br