O conhecimento sobre a Lei Geral de Proteção de Dados (LGPD) e suas regulamentações são imprescindíveis para que você, contador, possa aconselhar e instruir corretamente seus clientes.
Uma das dúvidas recorrentes que aparecem em nossa assessoria é em relação à aplicabilidade da LGPD para empresas sem fins lucrativos, muitas vezes enquadradas como Organizações não governamentais (ONGs) ou associações sem fins lucrativos.
A resposta a essa pergunta é simples, todas as empresas, sem exceção, precisam se adequar à LGPD, por isso no primeiro parágrafo informo que é imprescindível o conhecimento, não só da Lei Geral de Proteção de Dados, quanto das suas regulamentações.
A Resolução n° 02/2022 da Autoridade Nacional de Proteção de Dados (ANPD), trouxe uma flexibilização do cumprimento à Lei Geral de Proteção de Dados em relação às micro, pequenas e médias empresas.
Mas flexibilização não significa não cumprimento ou dispensa de cumprimento da Lei Geral de Proteção de Dados.
A flexibilização da referida resolução traz quatro pontos em que para as micro, pequenas e médias empresas foram facilitadas para não onerar ainda mais essas companhias.
Então, o primeiro ponto a analisar, é se a empresa sem fins lucrativos que você está analisando se enquadra na Resolução n° 02/2002-ANPD?
Existem vários requisitos para se enquadrar e eu arrisco dizer que a maioria das empresas não se enquadram.
E quais seriam esses requisitos da Resolução n° 02/22 – ANPD?
Vamos analisar quem não se enquadra nos requisitos da resolução n° 02/22:
- Empresas que realizam tratamento de dados pessoais de alto risco (entendem por alto risco aquele tratamento de dados pessoais os tratamentos de dados pessoais em larga escala);
- Empresas que tenham ganho superior a 4,8 milhões de reais por ano;
- Pertençam a um grupo econômico que tenha ganho superior ao valor acima;
Às vezes, a associação não tem fins lucrativos, mal tem renda para se manter, tem seu quadro de milhares de associados e pessoas naturais, assim ela trata dados pessoais em larga escala e, portanto, considerado alto risco.
Também é considerado alto risco o tratamento de dados pessoais que possa afetar significativamente os direitos e garantias fundamentais dos titulares, ou seja, das pessoas cujos dados pessoais estão sendo tratados por esta empresa sem fins lucrativos.
Se a empresa tratar dados com uso de tecnologias inovadoras, também são considerados de alto risco e, se o tratamento for feito automaticamente, sem interferência humana.
Além disso, não podem se beneficiar da flexibilização da Resolução n° 02/2022, empresas sem fins lucrativos que tratem dados sensíveis, dados de crianças e adolescentes e de idosos, estes últimos considerados vulneráveis pela Resolução n° 02/2022 – ANPD.
Segundo a Lei Geral de Proteção de Dados em seu artigo 5°, inciso II, são considerados dados sensíveis:
“Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”
Muitas ONGs tratam dados sensíveis e, portanto, não podem se beneficiar das flexibilizações da Resolução n° 02/2022- ANPD.
Um detalhe importante é que a Empresa deve comprovar para a ANPD que se enquadra nos requisitos acima para poder cumprir a LGPD com a flexibilização proposta na Resolução n° 02/2022.
E quais seriam essas flexibilizações?
- Apresentar o registro de manutenção de registro de operações de que trata o artigo 37, da LGPD de forma simplificada, cujo modelo ainda será fornecido pela ANPD;
- Comunicação simplificada da ocorrência de incidente de segurança com dados pessoais cujo modelo ainda será fornecido pela ANPD;
- Não necessidade de indicação de um encarregado pelo tratamento de dados pessoais (DPO), mas deve haver uma pessoa que entenda profundamente da Lei Geral de Proteção de Dados a fim de atender aos direitos dos titulares constantes dos artigos 9° e 18, da LGPD;
- Elaboração de política simplificada de segurança da informação.
Vale ressaltar que, considera-se incidente de segurança com dados pessoais todo acesso não autorizado a um dado pessoal e não, como muitos acham, apenas quando há ataques hackers e afins.
Assim, nota-se claramente que TODAS AS EMPRESAS precisam se adequar à Lei Geral de Proteção de Dados, incluindo as empresas sem fins lucrativos.
Dessa forma, cabe a você, contador, identificar se seu cliente se enquadra nos critérios de flexibilização da Resolução n° 02/2022 - ANPD ou não, mas conforme a mesma resolução em seu artigo 6°, todas as demais obrigações da Lei Geral de Proteção de Dados devem ser cumpridas integralmente por todas as empresas.