A Autoridade Nacional de Proteção de Dados (ANPD) realizou, nos dias 14 e 15 de setembro, audiências públicas para que interessados se manifestassem sobre a minuta de resolução para regulamentação do artigo 55-J, XVIII, da LGPD, que trata das "normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação".
A discussão visa a buscar a forma adequada de aplicação da Lei Geral de Proteção de Dados (LGPD) a esse grupo de pessoas denominadas de "Agente de Tratamento de Pequeno Porte" segundo a minuta proposta, tendo em vista a necessidade de simplificação de algumas obrigações e processos para esses setores do mercado produtivo e da sociedade.
A obrigação legal imposta pela própria LGPD de regulamentação diferenciada para esses segmentos (55-J, XVIII) é correta. A realidade da grande maioria das empresas do Brasil e de pessoas jurídicas sem fins lucrativos não permite grandes investimentos para cumprimento de obrigações formais e contratação de pessoal dedicado exclusivamente para gestão de um programa de privacidade.
De acordo com levantamento realizado pelo Sebrae no Estado de São Paulo, as microempresas e empresas de pequeno porte representavam mais de 90% das empresas no ano de 2018, e para que essas empresas possam cumprir a LGPD é preciso buscar caminhos, reduzindo as obrigações formais, sem que isso implique redução da proteção dos dados pessoais.
Segundo a minuta proposta pela ANPD, as pessoas que se enquadrem nessa resolução estariam isentas de algumas obrigações, como por exemplo, de conferir portabilidade dos dados do titular, a de declaração de existência ou acesso a dados pessoais revista no artigo 19, da LGPD, manter registros de operações, indicar o encarregado pelo tratamento de dados, entre outras.
Além disso, propõe processos mais flexíveis para atendimento de requisições de titulares de dados, anonimização, bloqueio ou eliminação de dados pessoais, relatório de impacto de tratamento de dados e comunicação de incidentes de segurança, apenas para citar alguns exemplos.
Ao definir quem estaria embarcado pela resolução, a minuta exclui as empresas que realizam tratamento de alto risco e em larga escala, assim entendidos aqueles que envolvem (artigo 3º, §1º): I - dados sensíveis ou dados de grupos vulneráveis; II - vigilância ou controle de zonas acessíveis ao público; III - uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares; e IV - tratamento automatizado de dados pessoais que afetem os interesses dos titulares.
Por outro lado, a minuta propõe que sejam sujeitas aos termos da resolução: I- as micro e pequenas empresas, conforme definidas no Código Civil e na LC 123, de 14 de dezembro de 2006; II – startups, segundo os critérios do § 1º do art. 4º da LC 182, de 1º de junho de 2021, ou com a receita bruta máxima estabelecida no art. 4º, §1º, inciso I, da mesma lei; e III - as pessoas jurídicas sem fins lucrativos, quais sejam, as associações, fundações, organizações religiosas e partidos políticos, os agentes de tratamento de pequeno porte e as zonas acessíveis ao público.
Dessa forma, a ANPD corretamente seguiu as definições legais no que tange às micro e pequenas empresas, bem como às startups, mas a pergunta que fica é: faz sentido tratar esses dois grupos de maneira uniforme?
Muito embora uma fração relevante de startups sejam micro e pequenas empresas, muitas delas não se enquadram nessa definição legal e até mesmo por isso o legislador estabeleceu um marco regulatório específico para esse setor do mercado produtivo.
Dentro desse contexto, ainda que a LGPD disponha sobre a necessidade de regulamentação mais flexível também para as startups, isso não significa que necessariamente deva receber as mesmas benesses que as micro e pequenas empresas.
Tendo em vista o objetivo de permitir a regulamentação de acordo com a atividade, sem abrir mão da proteção dos dados pessoais, a equiparação de startups com micro e pequenas empresas nos parece excessiva, especialmente tendo em vista que o tratamento de dados pessoais é central na atividade de grande parcela das startups.
Ainda que isso implique um pouco mais de complexidade na regulamentação, uma vez que criaria três grupos regulatórios distintos, nos parece que as startups deveriam estar sujeitas a regulamentação específica, que não fosse tão benéfica quanto a aplicável a micro e pequenas empresas.