Para as pequenas empresas, classificadas pela Autoridade Nacional de Proteção de Dados (ANPD) como Agentes de Tratamento de Pequeno Porte (ATPPs), a notificação de incidentes de segurança possui regras flexibilizadas para facilitar a conformidade.
Abaixo estão as principais regras sobre como funciona a comunicação de incidentes para essas empresas:
1. Prazo em Dobro O principal benefício para as pequenas empresas (incluindo microempresas, empresas de pequeno porte e startups) é a concessão de prazo em dobro para realizar a comunicação de um incidente de segurança à ANPD e aos titulares dos dados afetados. Esse prazo estendido busca adequar a exigência legal à realidade estrutural e operacional dos pequenos negócios.
2. Exceção à Regra do Prazo (Atenção) Existe uma restrição muito importante: o benefício do prazo em dobro não se aplica caso o incidente de segurança apresente potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional. Nesses cenários críticos, a pequena empresa é obrigada a realizar a comunicação no mesmo prazo legal exigido para as empresas de grande porte.
3. Simplificação do Procedimento A regulamentação da ANPD estabelece que o processo para a comunicação do incidente de segurança deve contar com flexibilizações e procedimentos simplificados para os agentes de pequeno porte.
4. Quando a notificação é obrigatória? A regra central da Lei Geral de Proteção de Dados (LGPD) se mantém: a comunicação à ANPD e aos titulares só é obrigatória quando o incidente de segurança puder acarretar risco ou dano relevante aos titulares dos dados afetados. Caso a avaliação interna da empresa conclua que o incidente não gera riscos relevantes, a notificação externa não é compulsória, devendo apenas ser feito o registro interno do ocorrido.
5. Condição para usufruir dessas regras É fundamental destacar que uma pequena empresa ou startup perde o direito a esses benefícios flexibilizados (como o prazo em dobro) se a sua operação envolver o tratamento de dados de alto risco. O alto risco é caracterizado, por exemplo, por envolver larga escala aliada ao uso de tecnologias emergentes, vigilância de zonas públicas, decisões automatizadas, ou uso intenso de dados sensíveis e de menores de idade. Além disso, empresas que pertençam a grupos econômicos cuja receita global ultrapasse os limites do Simples Nacional ou do Marco Legal das Startups também perdem esses benefícios.
