A definição de uma empresa de pequeno porte para fins de aplicação da LGPD é regulamentada pela Resolução CD/ANPD nº 2/2022, que estabelece o conceito de Agentes de Tratamento de Pequeno Porte (ATPP).
Para se enquadrar nessa categoria e usufruir das regras flexibilizadas e simplificadas da LGPD, a entidade deve atender a critérios de enquadramento e não recair em nenhuma das exceções previstas na norma.
1. Quem é considerado Agente de Tratamento de Pequeno Porte?
O regulamento engloba as seguintes figuras jurídicas e físicas:
-
Microempresas (ME) e Empresas de Pequeno Porte (EPP): Incluem sociedades empresárias, sociedades simples, sociedades limitadas unipessoais e empresários (incluindo o Microempreendedor Individual – MEI). Eles devem estar devidamente registrados e se enquadrar nos termos da Lei Complementar nº 123/2006.
-
Startups: Organizações empresariais societárias nascentes ou em operação recente, com atuação focada em inovação (modelo de negócios, produtos ou serviços), conforme o Marco Legal das Startups (Lei Complementar nº 182/2021).
-
Pessoas jurídicas de direito privado: Inclui entidades sem fins lucrativos.
-
Pessoas naturais e entes privados despersonalizados: Desde que realizem o tratamento de dados pessoais assumindo as obrigações típicas de um controlador ou operador.
2. Exceções: Quando uma pequena empresa não se enquadra nas regras dos benefícios diferenciados da LGPD?
Mesmo que a empresa atenda às definições acima, ela não poderá se beneficiar do tratamento jurídico diferenciado (como prazo em dobro e dispensa de nomeação de DPO) se incidir em qualquer uma das seguintes situações:
-
Receita Bruta Superior ao Limite: Se a empresa auferir receita bruta superior ao limite de R$ 4.800.000,00 (limite da LC nº 123/2006 para EPP) ou, no caso de startups, R$ 16.000.000,00 (limite da LC nº 182/2021).
-
Grupo Econômico: Se a empresa pertencer a um grupo econômico (de fato ou de direito) cuja receita global ultrapasse os limites financeiros mencionados acima.
-
Tratamento de Alto Risco: Se a operação da empresa realizar tratamento de dados classificado como de alto risco para os titulares.
3. O que configura Tratamento de Alto Risco?
Para que o tratamento seja considerado de alto risco e afaste a empresa dos benefícios de pequeno porte, ele deve atender, de forma cumulativa, a pelo menos um critério geral e um critério específico:
-
Critérios Gerais: Tratamento de dados em larga escala (volume e número significativo de titulares) ou tratamento que possa afetar significativamente os interesses e direitos fundamentais dos titulares (potencial para discriminação, danos morais/materiais, fraudes).
-
Critérios Específicos: Uso de tecnologias emergentes e inovadoras; vigilância ou controle de zonas acessíveis ao público; decisões tomadas unicamente com base em tratamento automatizado (como perfilamento); ou a utilização de dados pessoais sensíveis ou dados de crianças, adolescentes e idosos.
