Migalhas de Peso

Faz sentido equiparar startups a micro e pequenas empresas para os fins da LGPD?

Ainda que a LGPD disponha sobre a necessidade de regulamentação mais flexível também para as startups, isso não significa que necessariamente deva receber as mesmas benesses que as micro e pequenas empresas.

23/9/2021

(Imagem: Arte Migalhas)

A Autoridade Nacional de Proteção de Dados (ANPD) realizou, nos dias 14 e 15 de setembro, audiências públicas para que interessados se manifestassem sobre a minuta de resolução para regulamentação do artigo 55-J, XVIII, da LGPD, que trata das "normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação".

A discussão visa a buscar a forma adequada de aplicação da Lei Geral de Proteção de Dados (LGPD) a esse grupo de pessoas denominadas de "Agente de Tratamento de Pequeno Porte" segundo a minuta proposta, tendo em vista a necessidade de simplificação de algumas obrigações e processos para esses setores do mercado produtivo e da sociedade.

A obrigação legal imposta pela própria LGPD de regulamentação diferenciada para esses segmentos (55-J, XVIII) é correta. A realidade da grande maioria das empresas do Brasil e de pessoas jurídicas sem fins lucrativos não permite grandes investimentos para cumprimento de obrigações formais e contratação de pessoal dedicado exclusivamente para gestão de um programa de privacidade.

De acordo com levantamento realizado pelo Sebrae no Estado de São Paulo, as microempresas e empresas de pequeno porte representavam mais de 90% das empresas no ano de 2018, e para que essas empresas possam cumprir a LGPD é preciso buscar caminhos, reduzindo as obrigações formais, sem que isso implique redução da proteção dos dados pessoais.

Segundo a minuta proposta pela ANPD, as pessoas que se enquadrem nessa resolução estariam isentas de algumas obrigações, como por exemplo, de conferir portabilidade dos dados do titular, a de declaração de existência ou acesso a dados pessoais revista no artigo 19, da LGPD, manter registros de operações, indicar o encarregado pelo tratamento de dados, entre outras.

Além disso, propõe processos mais flexíveis para atendimento de requisições de titulares de dados, anonimização, bloqueio ou eliminação de dados pessoais, relatório de impacto de tratamento de dados e comunicação de incidentes de segurança, apenas para citar alguns exemplos.

Ao definir quem estaria embarcado pela resolução, a minuta exclui as empresas que realizam tratamento de alto risco e em larga escala, assim entendidos aqueles que envolvem (artigo 3º, §1º): I - dados sensíveis ou dados de grupos vulneráveis; II - vigilância ou controle de zonas acessíveis ao público; III - uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares; e IV - tratamento automatizado de dados pessoais que afetem os interesses dos titulares.

Por outro lado, a minuta propõe que sejam sujeitas aos termos da resolução: I- as micro e pequenas empresas, conforme definidas no Código Civil e na LC 123, de 14 de dezembro de 2006; II – startups, segundo os critérios do § 1º do art. 4º da LC 182, de 1º de junho de 2021, ou com a receita bruta máxima estabelecida no art. 4º, §1º, inciso I, da mesma lei; e III - as pessoas jurídicas sem fins lucrativos, quais sejam, as associações, fundações, organizações religiosas e partidos políticos, os agentes de tratamento de pequeno porte e as zonas acessíveis ao público.

Dessa forma, a ANPD corretamente seguiu as definições legais no que tange às micro e pequenas empresas, bem como às startups, mas a pergunta que fica é: faz sentido tratar esses dois grupos de maneira uniforme?

Muito embora uma fração relevante de startups sejam micro e pequenas empresas, muitas delas não se enquadram nessa definição legal e até mesmo por isso o legislador estabeleceu um marco regulatório específico para esse setor do mercado produtivo.

Dentro desse contexto, ainda que a LGPD disponha sobre a necessidade de regulamentação mais flexível também para as startups, isso não significa que necessariamente deva receber as mesmas benesses que as micro e pequenas empresas.

Tendo em vista o objetivo de permitir a regulamentação de acordo com a atividade, sem abrir mão da proteção dos dados pessoais, a equiparação de startups com micro e pequenas empresas nos parece excessiva, especialmente tendo em vista que o tratamento de dados pessoais é central na atividade de grande parcela das startups.

Ainda que isso implique um pouco mais de complexidade na regulamentação, uma vez que criaria três grupos regulatórios distintos, nos parece que as startups deveriam estar sujeitas a regulamentação específica, que não fosse tão benéfica quanto a aplicável a micro e pequenas empresas.

João Azeredo
Sócio e Head de Tecnologia e Inovação do escritório Moraes Pitombo Advogados. Graduado pela Faculdade de Direito da USP. Mestrado em Direito e Tecnologia da Informação e em Direito Civil.

Felipe Toscano
Graduado em Direito, pela Universidade Presbiteriana Mackenzie, em 2015. Advogado no escritório Moraes Pitombo Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

A insegurança jurídica provocada pelo julgamento do Tema 1.079 - STJ

22/11/2024

O fim da jornada 6x1 é uma questão de saúde

21/11/2024

ITBI - Divórcio - Não incidência em partilha não onerosa - TJ/SP e PLP 06/23

22/11/2024

Penhora de valores: O que está em jogo no julgamento do STJ sobre o Tema 1.285?

22/11/2024

A revisão da coisa julgada em questões da previdência complementar decididas em recursos repetitivos: Interpretação teleológica do art. 505, I, do CPC com o sistema de precedentes

21/11/2024