Artigo: Novo regulamento da ANPD e o impacto para as startups

* Juliana Abrusio, Maurício Tamer e Rafael Erlinger, do Machado Meyer Advogados

O regulamento de aplicação da Lei Geral de Proteção de Dados (LGPD), aprovado pela Autoridade Nacional de Proteção de Dados (ANPD) no fim de janeiro, trouxe a vigência imediata para as organizações classificadas como agentes de tratamento de pequeno porte, o que inclui as startups.

Startup é uma organização empresarial nascente ou em operação recente, cuja atuação se caracteriza pela inovação aplicada a modelos de negócios ou a produtos ou serviços ofertados. A empresa não precisa estar no segmento de tecnologia para ser considerada startup, mas a inovação, indissociável desse tipo de negócio, costuma estar atrelada a tecnologias digitais. Frequentemente, os negócios digitais de startups giram em torno de dados, inclusive dados pessoais, motivo pelo qual a intersecção dos temas startup e proteção de dados é tão importante. 

No Brasil, a LGPD prevê um tratamento diferenciado para as startups, para empresas de inovação, empresas de pequeno porte e microempresas, como agentes de tratamento de dados. A ANPD reconheceu que a redução de carga regulatória e o estímulo à inovação são fatores fundamentais para o desenvolvimento das startups e, em consequência, para o crescimento do próprio País. 

Uma pesquisa feita pela Associação Brasileiras de Startups e pela Delloite, com 2.486 startups em todo o Brasil, mostrou que 83% tem faturamento anual inferior a 1 milhão. Ou seja, a maioria não alcançou nível mínimo de maturação, muito menos o breakeven. Isso significa que qualquer redução nos custos de observância, incluindo as obrigações relacionadas ao tratamento de dados, certamente contribuirá para o fomento do ecossistema de startups.

Porém, existem limites para tais benefícios, que excluem aqueles que realizam tratamento de alto risco para os titulares ou os que aufiram receita bruta superior a R$ 16 milhões no ano-calendário anterior. O tratamento de dados pessoais de alto risco será considerado o que atender, cumulativamente, a pelo menos um critério geral e um critério específico. 

Tratamento de dados

O regulamento lista como critérios gerais o tratamento de dados pessoais em larga escala, ou seja, quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado. E o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, que será caracterizado, entre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, além de ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Já como critérios específicos, são previstas quatro hipóteses: o uso de tecnologias emergentes ou inovadoras; a vigilância ou controle de zonas acessíveis ao público; as decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; e a utilização de dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes e idosos.

Ainda sobre o tema do alto risco, por se tratar de um assunto complexo, o próprio regulamento prevê que a ANPD poderá disponibilizar guias e orientações no futuro, com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.

Uma relevante mitigação na carga regulatória diz respeito à obrigação de realizar o registro das operações que envolvam tratamento de dados pessoais (ROPA – record of processing activities). Pelo novo regulamento, os agentes de pequeno porte podem realizar o registro das operações de tratamento de dados pessoais de forma simplificada, de acordo com modelo ainda a ser fornecido pela autoridade nacional.

A ANPD também flexibilizou a comunicação de incidente de segurança ao indicar que disporá a respeito do tema em procedimento simplificado, nos termos de regulamentação específica.

Flexibilização de prazos

Em relação aos prazos, há uma flexibilização para as startups. A regulamentação concede a eles prazo em dobro nos casos previstos em lei, em claro reconhecimento da sua condição e menor estrutura de atendimento. Além disso, os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais para o tratamento de dados pessoais, a fim de se proteger de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Vale lembrar da permissão conferida aos agentes de tratamento de pequeno porte e startups, inclusive àqueles que realizam tratamento de alto risco. Eles devem se organizar por meio de entidades de representação da atividade empresarial, pessoas jurídicas ou pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados. Isso porque a ANPD poderá solicitar que o empresário comprove o enquadramento de sua empresa.  

Apesar de não mencionado expressamente no novo regulamento da ANPD, o conceito de privacy by design é um importante instrumento à disposição das startups para gerenciamento de riscos e cumprimento das normas de proteção de dados pessoais. Ele reflete a necessidade de incorporar a cultura da proteção de dados no negócio, inclusive naqueles em fase pré-operacional, desde a concepção da tecnologia, o que é ainda mais relevante no ambiente de inovação das startups.

As decisões tomadas durante o desenho do negócio podem ter impactos de longo prazo, prejudicar a capacidade da empresa de gerar valor, projetar repetição e ganhar escala. Portanto, implementar a proteção de dados desde a concepção do projeto deve ser uma prioridade, sobretudo por causa da crescente onda de ataques cibernéticos que afeta desde grandes corporações, como companhias com ações negociadas em bolsa de valores, até sociedades de pequeno porte e startups.