La Autoridad Nacional de Protección de Datos (ANPD) emitió la Resolución No. 2 de 27 de enero de 2022, con el fin de regular el tratamiento de datos personales realizado por los agentes de tratamiento a pequeña escala, que son microempresas, pequeñas empresas, startups, personas jurídicas de derecho privado, incluidas las entidades sin fines de lucro, personas naturales y entidades privadas despersonalizadas que realicen tratamiento de datos.
Los principales cambios fueron:
Posibilidad de llevar registros del tratamiento de datos personales de forma simplificada;
Flexibilidad o procedimiento simplificado para reportar incidentes de seguridad de datos;
No existe obligación de mantener un Delegado de Protección de Datos para el tratamiento de datos personales;
Posibilidad de establecer una política de seguridad de la información simplificada;
Otorgar el doble del plazo para responder a las solicitudes de los interesados, requerimientos de la Autoridad Nacional de Protección de Datos y comunicación de incidentes de seguridad.
La nueva regla se aplica a cualquier agente de procesamiento a pequeña escala, excepto si: (i) realiza un procesamiento de alto riesgo en titulares de datos; (ii) obtiene ingresos brutos superiores a los límites legales para pequeñas empresas y nuevas empresas; o (iii) pertenece a un grupo económico cuyos ingresos brutos exceden el límite legal para pequeñas empresas y nuevas empresas.
