Em tempos de LGPD, se sabe a importância de que as empresas se adequem e estejam regulamentadas. Mas e quando se trata de empresa sem fins lucrativos, a lei se aplica da mesma forma?
É comum que empresas do terceiro setor, ou empresas sem fins lucrativos, possuam limitações tecnológicas pelo fato de não gerarem lucro, porém é importante lembrar que entre essas empresas também é muito comum grandes quantidades de dados armazenados. Neste caso, como fica a adequação à LGPD?
Algumas atividades sem fins lucrativos dessas instituições podem representar um risco devido a uma quantidade de dados pessoais que podem conter desde dados sensíveis a dados de crianças e adolescentes.
A Resolução que permite maior flexibilização depende de alguns fatores
O fato é que, toda empresa, sem exceção, precisa estar adequada à Lei Geral de Proteção de Dados, porém a Resolução n° 02/2022 da Autoridade Nacional de Proteção de Dados (ANPD), trouxe para o cenário de privacidade, uma flexibilização.
Porém, essa flexibilização depende do enquadramento da empresa nos requisitos:
– Empresas que realizam tratamento de dados pessoais de alto risco;
– Empresas que tenham ganho superior a 4,8 milhões de reais por ano;
– Empresas que pertençam a um grupo econômico que tenha ganho superior ao valor acima;
Muitas vezes acontece de uma empresa sem fins lucrativos não gerar renda suficiente para se manter ativa, porém ainda assim possuir um banco de dados muito robusto. Nesse caso, essa empresa é considerada um alto risco pelo potencial de afetar os direitos e garantias fundamentais dos titulares.
Empresas que realizem o tratamento de dados através do uso de tecnologias inovadoras sem interferência humana também podem ser consideradas de alto risco.
Por fim, empresas sem fins lucrativos que tratem dados sensíveis, dados de crianças, adolescentes e idosos, também não se beneficiam da flexibilização.
A empresa sem fins lucrativos, para se enquadrar na flexibilização da Resolução nº 02/2022, deve comprovar estar incluída nos requisitos mencionados.
Mas quais são essas flexibilizações?
As flexibilizações permitidas pela Resolução são:
- A possibilidade de apresentar o registro de manutenção e de operações conforme solicita o artigo 37 da LGPD de uma forma mais simplificada, através de modelo fornecido pela ANPD;
- A possibilidade de uma comunicação simplificada quando há ocorrência de incidente de segurança com dados pessoais, através de modelo a ser fornecido pela ANPD;
- A possibilidade de não necessitar de um encarregado pelo tratamento de dados pessoais (DPO), porém, sendo ainda assim obrigatória a presença de uma pessoa que entenda profundamente da Lei Geral de Proteção de Dados;
- A possibilidade de uma elaboração de política simplificada de segurança da informação.
Importante destacar que incidente de dados se refere a todo acesso não autorizado a dados pessoais, não se restringindo a somente ataques de hackers, como se costuma imaginar.
Por fim, mesmo que a empresa esteja apta a receber as flexibilizações, ainda assim não se pode esquecer que as diretrizes da Lei Geral de Proteção de Dados a afeta também. É indispensável o tratamento adequado dos dados pessoais, prezando sempre pela segurança dos titulares.
