A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 28 de janeiro a Resolução CD/ANPD 02, que aprovou o regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD ou Lei Federal 13.709/18), cujo texto tem vigência imediata para as organizações classificadas como agentes de tratamento de pequeno porte, o que inclui as startups.

Startup é uma organização empresarial nascente ou em operação recente, cuja atuação se caracteriza pela inovação aplicada a modelos de negócios ou a produtos ou serviços ofertados. A empresa não precisa estar no segmento de tecnologia para ser considerada startup, mas a inovação, indissociável desse tipo de negócio, costuma estar atrelada a tecnologias digitais. Frequentemente, os negócios digitais de startups giram em torno de dados, inclusive dados pessoais, motivo pelo qual a intersecção dos temas startup e proteção de dados é tão importante. O Regulamento da ANPD, ao conceituar startup no inciso III do art. 2º, rememora as balizas do enquadramento da própria Lei Complementar 182/21 (Marco Legal das Startups).

No Brasil, a LGPD prevê um tratamento diferenciado para as startups como agentes de tratamento de dados, o que foi regulamentado pela ANPD não só para startups, mas também para empresas de inovação, empresas de pequeno porte e microempresas. Submetido a consulta pública em 27 de agosto de 2021, o regulamento passou por várias etapas até sua final deliberação e aprovação unânime pelo Conselho Diretor, em 24 de janeiro deste ano.[1]

A ANPD reconheceu expressamente que a redução de carga regulatória e o estímulo à inovação são fatores fundamentais para o desenvolvimento das startups e, em consequência, para o crescimento do próprio país (Despacho 41/2021/SG/ANPD). A esse respeito, pesquisa realizada pela Associação Brasileira de Startups e pela Deloitte[2] revelou que, das 2.486 startups analisadas em todo o território nacional, 83% têm faturamento anual inferior a R$ 1 milhão, ou seja, a maioria não alcançou nível mínimo de maturação, muito menos o breakeven. Isso significa que qualquer redução nos custos de observância, incluindo as obrigações relacionadas ao tratamento de dados, certamente contribuirá para o fomento do ecossistema de startups.

Porém, existem limites para tais benefícios, que excluem aqueles que realizem tratamento de alto risco para os titulares ou os que aufiram receita bruta superior a R$ 16 milhões no ano-calendário anterior – ou nova valor de R$ 1.333.334, multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses, independentemente da forma societária adotada.

O tratamento de dados pessoais de alto risco será considerado o que atender, cumulativamente, a pelo menos um critério geral e um critério específico. O regulamento lista como critérios gerais:

  • o tratamento de dados pessoais em larga escala, ou seja, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; e
  • o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, que será caracterizado, entre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, além de ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Como critérios específicos são previstas quatro hipóteses:

  • o uso de tecnologias emergentes ou inovadoras;
  • a vigilância ou controle de zonas acessíveis ao público;
  • as decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; e
  • a utilização de dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes e idosos.

Ainda sobre o tema do alto risco, por se tratar de um assunto complexo, o próprio regulamento prevê que a ANPD poderá disponibilizar guias e orientações no futuro, com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.

 

Medidas trazem redução de custos

 

Outra relevante mitigação na carga regulatória diz respeito à obrigação de realizar o registro das operações que envolvam tratamento de dados pessoais (ROPA – record of processing activities). Pelo novo regulamento, os agentes de pequeno porte podem realizar o registro das operações de tratamento de dados pessoais de forma simplificada, de acordo com modelo ainda a ser fornecido pela ANPD.

Em relação ao encarregado de dados pessoais, por muitos conhecido por DPO (Data Protection Officer), os agentes de pequeno porte, como as startups, não serão mais obrigados a indicar essa figura, como era exigido pelo art. 41 da LGPD. Porém, essa dispensa não as desobriga de disponibilizar um canal de comunicação com o titular de dados para atender ao disposto no art. 41, § 2º, I, da LGPD, o qual prevê como atividade do encarregado ”aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências”.

A ANPD também flexibilizou a comunicação de incidente de segurança ao indicar que disporá a respeito do tema em procedimento simplificado, nos termos de regulamentação específica.

Em relação aos prazos, há uma flexibilização para os agentes de pequeno porte, incluindo as startups. A regulamentação concede a eles prazo em dobro nos casos previstos em lei, em claro reconhecimento da sua condição e menor estrutura de atendimento.

Além disso, os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais para o tratamento de dados pessoais, a fim de se proteger de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Não menos importante é a permissão conferida aos agentes de tratamento de pequeno porte e startups, inclusive àqueles que realizam tratamento de alto risco, de se organizarem por meio de entidades de representação da atividade empresarial, pessoas jurídicas ou pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

A ANPD poderá solicitar que o empresário comprove o enquadramento de sua empresa. Em outras palavras, a autoridade de proteção de dados poderá exigir comprovação de que a atividade empresarial é realmente de uma startup (ou de empresa de pequeno porte em geral). O prazo é de 15 dias para atendimento da exigência.

 

Privacy by design

 

Apesar de não mencionado expressamente no novo regulamento da ANPD, o conceito de privacy by design é um importante instrumento à disposição das startups para gerenciamento de riscos e cumprimento das normas de proteção de dados pessoais. Apesar de não mencionado expressamente no regulamento, ele reflete a necessidade de incorporar a cultura da proteção de dados no negócio, inclusive naqueles em fase pré-operacional, desde a concepção da tecnologia.

Isso é ainda mais relevante no ambiente de inovação das startups, considerando que as decisões tomadas durante o desenho do negócio podem ter impactos de longo prazo, prejudicando a capacidade da empresa de gerar valor, projetar repetição e ganhar escala. Implementar a proteção de dados desde a concepção do projeto, portanto, deve ser uma prioridade, sobretudo por causa da crescente onda de ataques cibernéticos que afeta desde grandes corporações, como companhias com ações negociadas em bolsa de valores, até sociedades de pequeno porte e startups.

 

[1] Nos termos do Despacho 41/2021/SG/ANPD.

[2] Mapeamento do Ecossistema Brasileira de Startups 2021.