Startups, pequenas empresas e LGPD: o desafio da regulamentação

A Autoridade Nacional de Propriedade de Dados (ANP) iniciou, no final de janeiro, a tomada de subsídios para regulamentação da aplicação da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou LGPD) com relação a microempresas, empresas de pequeno porte, startups ou empresas de inovação e pessoas físicas que tratam dados pessoais com fins econômicos. Esse é o primeiro passo concreto em direção à regulamentação da LGPD pela ANPD.

Referida tomada de subsídios está em linha com uma das competências da ANPD, que é normatizar, inclusive de forma simplificada e distinta, as regras e procedimentos aplicáveis a microempresas, empresas de pequeno porte, além de iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação (artigo 55-J, inciso XVIII, da LGPD).

Além da tomada de subsídios, deverão ser realizadas consultas e audiências públicas previamente à edição de atos normativos. Os membros da ANPD demonstram, assim, sensibilidade e preocupação em se aproximar dos empresários e estudiosos do tema da proteção de dados pessoais para compreender as necessidades setoriais e as demandas que se sobressaem na "fila" do que deverá ser primeiramente regulamentado.

Note-se que essa tomada de subsídios reflete o conteúdo da agenda regulatória para 2021-2022 aprovada pelo Conselho Diretor da ANPD (Portaria nº 11 de 2021 [2]). A agenda bienal enumera dez temas prioritários e inclui na fase um (a ser concluída ainda no primeiro semestre de 2021) a edição de resolução que disponha sobre o regime de proteção de dados para pequenas e médias empresas, além das startups.

Vale destacar a importância da eleição dessa temática pela ANPD. Há preocupação por parte de empresários menores com relação à necessidade de investimentos para a conformidade com a LGPD, o que é, na maioria dos casos, incompatível com a realidade de novos e pequenos empreendedores. Para muitos, esse desembolso pode significar um possível obstáculo ao acesso de novos players aos mercados pretendidos, que são, por vezes, dominados por empresas com maior capacidade financeira e que cresceram justamente tratando dados pessoais quando isso não era regulamentado.

Nesse contexto, até mesmo o que poderia ser algo simples torna-se uma questão preocupante, a exemplo da eventual confirmação quanto à obrigação de nomear um encarregado de dados, que, além de ser vista, por uns, como despesa — e não como investimento —, pode ser algo difícil quando se está diante de quadros de colaboradores tão enxutos ou quando a terceirização não é viável economicamente.

Com efeito, o desconhecimento sobre as disposições da LGPD é um elemento que explica parte das incertezas dos novos empreendedores. Muitos enxergam a nova lei como uma efetiva restrição ao tratamento de dados, um elemento que levaria à concentração de mercados e aumento de monopólios de produtos e serviços.

Mesmo a ideia de que "se pode fazer, mas de forma diferente" parece não ser convincente para aqueles que não querem pensar em conceitos como privacy by design como elementos de diferenciação no mercado. A cultura da proteção de dados pessoais em todos os negócios, inclusive nos menores e naqueles em fase pré-operacional, seja de inovação ou não, é algo ainda inexistente ou incipiente, mas que precisa ser incutido em todos no Brasil.

É preciso compreender o atual cenário regulatório e, principalmente, o futuro, devidamente regulamentado, de modo balancear as exigências legais com os projetos e plano de negócios.

Assim sendo, espera-se que os subsídios a serem enviados à ANPD agreguem para a promulgação de uma resolução adequada à realidade empresarial, sobretudo, dos menores, startups ou não. Numa economia cada vez mais digitalizada, é inegável que muitos pequenos e/ou novos empreendedores têm entre seus objetivos o tratamento de dados como meio ou diferencial para a entrega de seus serviços ou produtos.

Em termos de contribuições à ANPD, embora a LGPD tenha sido fortemente inspirada no GDPR (General Data Protection Regulation da União Europeia ou Regulamento Geral sobre a Proteção de dados —RGPD), o critério empregado pelos europeus com relação às pequenas empresas não poderá ser diretamente importado, uma vez que não se amolda diretamente à nossa realidade.

Nos termos do artigo 30, item 5, do GDPR, os registros das atividades de tratamento de tratamento por controladores e operadores de dados não se aplicam às empresas ou organizações com menos de 250 trabalhadores, a menos que o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional e não abranja dados sensíveis (categorias especiais), ou dados pessoais relativos a condenações penais e infrações.

No Brasil, os conceitos de microempresas e empresas de pequeno porte seguem as disposições estabelecidas no artigo 3º da Lei Complementar nº 123/2006, variando conforme a receita bruta auferida anualmente. A definição de startups e empresas de inovação, por sua vez, é encontrada no artigo 65-A da mesma Lei Complementar, e não é associado à receita operacional, mas à autodeclaração como startups ou empresas de inovação.

Assim, não é relevante no Brasil o número de trabalhadores. Uma empresa com cerca de 250 colaboradores seria aqui compreendida como de médio porte provavelmente, e não pequena ou micro, embora pudesse, ainda assim, ter nascido como startup ou de inovação. Por outro lado, diferenciar as empresas de porte reduzido e startups que realizam tratamento de dados pessoais em maior volume ou que envolvam dados sensíveis ou de crianças e adolescentes pode ser um critério que venha a ser considerado pela ANPD nas regulamentações que produzirá.

Destaque-se, igualmente, que não se pode apenas olhar o lado do empreendedor para a regulamentação. A ANPD tem o desafio de conciliar os direitos de privacidade dos titulares de dados pessoais com todas essas demandas. Essas breves considerações revelam o árduo trabalho para regulamentação da LGPD, no contexto em comento, pela ANPD.