LGPD e a (possível) flexibilização de regras para startups
Com a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), parte das startups brasileiras se viu em uma situação delicada com os custos envolvidos na adequação de suas operações à nova legislação de proteção de dados pessoais.
Embora esse argumento possa ser refutado, justamente pelo fato de que o programa de privacidade e proteção de dados não deve ser visto como um custo, mas, sim, como um investimento (veja aqui um relatório da Cisco mostrando o retorno a cada 1 dólar investido em privacidade), fato é que muitos pequenos empreendedores passaram a precisar cumprir obrigações legais e regulatórias que, ao menos no curto prazo, poderiam onerar suas operações, principalmente considerando a necessidade de contratação de profissionais e ferramentas.
Nesse contexto, em janeiro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 2/2022 (acesse aqui), que dispõe exatamente sobre a aplicação da LGPD para “agentes de tratamento de pequeno porte”.
Especificamente quanto às startups, a Resolução as define como “organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021 [Marco Legal da Startups]”.
A partir deste conceito, é importante entender, primeiramente, que não são todas as startups que poderão se beneficiar da flexibilização e/ou dispensa de regras que trataremos a seguir, mas somente aquelas que:
- Não realizem tratamento de alto risco para os titulares, conforme o art. 4º da Resolução;
- Não tenham receita bruta superior ao limite mencionado no art. 4º, §1º, inciso I, do Marco Legal das Startups [na data de publicação deste artigo, este limite é de R$ 16 milhões]; e
- Não pertençam a grupo econômico cuja receita global ultrapasse esse mesmo limite de receita bruta.
Além disso, também é necessário reforçar que a flexibilização e/ou dispensa de cumprimento das regras pela ANPD não exime que as empresas continuem tendo que cumprir outras regras setoriais sobre proteção de dados que, eventualmente, incidam sobre suas operações.
Assim, se a sua startup atende a esses requisitos, são grandes as chances de uma flexibilização ou até mesmo a dispensa da necessidade de cumprimento de algumas das regras previstas na LGPD. Contudo, é sempre importante lembrar que esta flexibilização ou dispensa não deve ser vista como um cheque em branco para que a empresa não adote os cuidados necessários para a proteção dos dados pessoais tratados dentro de suas operações, inclusive com relação aos direitos dos titulares.
Fixadas essas premissas, vamos analisar os pontos de dispensa e/ou flexibilização no cumprimento das regras:
1. Registro das Atividades de Tratamento:
A princípio, a LGPD (art. 37) exige que todos os agentes de tratamento devem manter o registro completo das operações de tratamento de dados pessoais, também conhecido como “RoPA”.
Este documento é o coração de um programa de privacidade e proteção de dados, justamente porque é a partir dele que serão identificados, por exemplo, os tipos de dados pessoais tratados, os grupos de titulares afetados e eventuais terceiros com acesso a esses dados. Essas informações são essenciais para a elaboração dos demais documentos relacionados à proteção de dados pessoais (ex.: avisos de privacidade, cláusulas contratuais etc.).
No caso dos agentes de tratamento de pequeno porte, a ANPD flexibilizou essa obrigação, passando a permitir o registro simplificado das operações de tratamento de dados pessoais. Neste ponto, é importante destacar que os agentes de tratamento de pequeno porte não estão dispensados de elaborar e manter o RoPA, podendo, contudo, fazer um registro apenas com as informações que forem essenciais a suas operações.
2. Encarregado pelo Tratamento de Dados Pessoais (DPO)
Outra obrigação trazida pela LGPD (art. 41) foi a indicação de um Encarregado pelo Tratamento de Dados Pessoais, também conhecido como Data Protection Officer ou DPO.
A princípio, todos os agentes de tratamento deveriam realizar essa indicação, porém a Resolução nº 2/2022, da ANPD, dispensou os agentes de tratamento de pequeno porte do cumprimento desta obrigação, ficando a critério da organização indicar ou não um DPO, valendo destacar que essa indicação, caso ocorra, será considerada pela ANPD como uma política de boas práticas e governança.
Contudo, mesmo diante da ausência do encarregado, a organização deve disponibilizar um canal de comunicação com os titulares de dados a fim de atender eventuais solicitações para o exercício dos direitos previstos na LGPD.
3. Política de Segurança da Informação
Embora a LGPD não faça menção expressa a uma “Política de Segurança da Informação”, a elaboração desse documento é de extrema importância dentro do programa de privacidade e proteção de dados, inclusive para fins de cumprimento dos princípios da segurança e da responsabilização e prestação de contas (art. 6º, incisos VII e X, LGPD). É nele que a organização colocará as regras para resguardar as informações tratadas em suas operações, sejam elas dados pessoais ou não. Portanto, para além da preocupação com a LGPD, deve haver uma preocupação com os segredos comerciais que precisam ser tratados com o devido cuidado.
Para os agentes de tratamento de pequeno porte, a ANPD flexibilizou esta regra e permitiu a adoção de uma Política de Segurança da informação simplificada, contendo os requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de qualquer forma de tratamento inadequado ou ilícito.
Neste sentido, em outubro de 2021, a ANPD já havia publicado um Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte, que pode ser consultado aqui.
4. Prazos diferenciados
Por fim, a Resolução nº. 2/2022 da ANPD dispõe que os agentes de tratamento de pequeno porte terão prazo em dobro para a execução de diversos atos, a saber:
- No atendimento das solicitações dos titulares, inclusive aquela disposta no art. 19, inciso II, da LGPD;
- Na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional);
- Em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento que não sejam de pequeno porte.
Isto tudo posto, o que se verifica é que a ANPD, ao editar a Resolução nº 2/2022, embora tenha dispensado e/ou flexibilizado o cumprimento de algumas regras da LGPD, passou um claro recado sobre a necessidade de adequação às regras de proteção de dados pessoais, independentemente do tamanho ou porte das empresas, sendo a Resolução um verdadeiro instrumento viabilizador para que as startups tenham condições de aderir tanto às obrigações legais previstas na LGPD, quanto às melhores práticas de mercado, podendo escalar suas soluções com segurança jurídica e atrair investimentos.
Lucas Maldonado
Advogado e Consultor. Sócio em Maldonado Latini Advogados. Mestrando em Direito e Tecnologia e Especialista em Propriedade Intelectual e Novos Negócios pela Escola de Direito da FGV/SP. Presidente da Comissão de Direito Digital e Compliance da OAB Mogi das Cruzes. Mentor do Polo Digital.