Excelência na prestação de serviços.

  • Home
  • Blog
  • A LGPD se aplica às empresas sem fins lucrativos?

A LGPD se aplica às empresas sem fins lucrativos?

O conhecimento sobre a Lei Geral de Proteção de Dados (LGPD) e suas regulamentações são imprescindíveis para que você, contador, possa aconselhar e instruir corretamente seus clientes.

Uma das dúvidas recorrentes que aparecem em nossa assessoria é em relação à aplicabilidade da LGPD para empresas sem fins lucrativos, muitas vezes enquadradas como Organizações não governamentais (ONGs) ou associações sem fins lucrativos.

A resposta a essa pergunta é simples, todas as empresas, sem exceção, precisam se adequar à LGPD, por isso no primeiro parágrafo informo que é imprescindível o conhecimento, não só da Lei Geral de Proteção de Dados, quanto das suas regulamentações.

A Resolução n° 02/2022 da Autoridade Nacional de Proteção de Dados (ANPD), trouxe uma flexibilização do cumprimento à Lei Geral de Proteção de Dados em relação às micro, pequenas e médias empresas.

Mas flexibilização não significa não cumprimento ou dispensa de cumprimento da Lei Geral de Proteção de Dados.

A flexibilização da referida resolução traz quatro pontos em que para as micro, pequenas e médias empresas foram facilitadas para não onerar ainda mais essas companhias.

Então, o primeiro ponto a analisar, é se a empresa sem fins lucrativos que você está analisando se enquadra na Resolução n° 02/2002-ANPD?

Existem vários requisitos para se enquadrar e eu arrisco dizer que a maioria das empresas não se enquadram.

E quais seriam esses requisitos da Resolução n° 02/22 – ANPD?

Vamos analisar quem não se enquadra nos requisitos da resolução n° 02/22:

- Empresas que realizam tratamento de dados pessoais de alto risco (entendem por alto risco aquele tratamento de dados pessoais os tratamentos de dados pessoais em larga escala);

- Empresas que tenham ganho superior a 4,8 milhões de reais por ano;

- Pertençam a um grupo econômico que tenha ganho superior ao valor acima;

Às vezes, a associação não tem fins lucrativos, mal tem renda para se manter, tem seu quadro de milhares de associados e pessoas naturais, assim ela trata dados pessoais em larga escala e, portanto, considerado alto risco.

Também é considerado alto risco o tratamento de dados pessoais que possa afetar significativamente os direitos e garantias fundamentais dos titulares, ou seja, das pessoas cujos dados pessoais estão sendo tratados por esta empresa sem fins lucrativos.

Se a empresa tratar dados com uso de tecnologias inovadoras, também são considerados de alto risco e, se o tratamento for feito automaticamente, sem interferência humana.

Além disso, não podem se beneficiar da flexibilização da Resolução n° 02/2022, empresas sem fins lucrativos que tratem dados sensíveis, dados de crianças e adolescentes e de idosos, estes últimos considerados vulneráveis pela Resolução n° 02/2022 – ANPD.

Segundo a Lei Geral de Proteção de Dados em seu artigo 5°, inciso II, são considerados dados sensíveis:

“Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”

Muitas ONGs tratam dados sensíveis e, portanto, não podem se beneficiar das flexibilizações da Resolução n° 02/2022- ANPD.

Um detalhe importante é que a Empresa deve comprovar para a ANPD que se enquadra nos requisitos acima para poder cumprir a LGPD com a flexibilização proposta na Resolução n° 02/2022.

E quais seriam essas flexibilizações?

  1. Apresentar o registro de manutenção de registro de operações de que trata o artigo 37, da LGPD de forma simplificada, cujo modelo ainda será fornecido pela ANPD;
  2. Comunicação simplificada da ocorrência de incidente de segurança com dados pessoais cujo modelo ainda será fornecido pela ANPD;
  3. Não necessidade de indicação de um encarregado pelo tratamento de dados pessoais (DPO), mas deve haver uma pessoa que entenda profundamente da Lei Geral de Proteção de Dados a fim de atender aos direitos dos titulares constantes dos artigos 9° e 18, da LGPD;
  4. Elaboração de política simplificada de segurança da informação.

Vale ressaltar que, considera-se incidente de segurança com dados pessoais todo acesso não autorizado a um dado pessoal e não, como muitos acham, apenas quando há ataques hackers e afins.

Assim, nota-se claramente que TODAS AS EMPRESAS precisam se adequar à Lei Geral de Proteção de Dados, incluindo as empresas sem fins lucrativos.

Dessa forma, cabe a você, contador, identificar se seu cliente se enquadra nos critérios de flexibilização da Resolução n° 02/2022 - ANPD ou não, mas conforme a mesma resolução em seu artigo 6°, todas as demais obrigações da Lei Geral de Proteção de Dados devem ser cumpridas integralmente por todas as empresas.