Muito se fala, na mídia especializada, sobre as startups. Geralmente, o termo se refere às empresas de porte pequeno ou médio consideradas inovadoras, abrangendo praticamente qualquer setor, embora muitas vezes o termo seja utilizado quando se refere especificamente ao setor de tecnologia. Esse tipo de entidade tem tido um impacto relevante na economia brasileira nos últimos tempos, gerando empregos e causando mudanças nas estruturas de indústrias diversas, contando, geralmente, com estrutura, capital e escala menores do que aqueles de empresas bem estabelecidas.
A “explosão” de startups, no exterior e no Brasil, criou desafios para o Direito, em diversas áreas. Em razão de suas características de alto risco e alta expectativa de retorno, o modelo empresarial das startups é baseado em incertezas, e essas empresas, geralmente, possuem estrutura bastante incipiente. Desse modo, as startups muitas vezes possuem estrutura jurídica limitada e dificuldades para observar o regime legal aplicável a outras empresas, com mais tempo de rodagem.
Atentando-se a isto, em 2021, foi aprovada a LC 182/21, o Marco Legal das Startups. A lei foi criada visando estabelecer regulamentações para o empreendedor inovador, trazendo regras e critérios para o enquadramento de sociedades como startups, como a limitação de faturamento (receita bruta de até R$ 16 milhões no exercício anterior, ou proporcional, caso constituídas há menos do que um ano), modelo de negócio (utilização de modelos de negócios inovadores para a geração de produtos ou serviços ou enquadramento no regime especial Inova Simples), e tempo de exercício da empresa (até 10 anos de inscrição no CNPJ/ME).
Parte do objetivo da lei seria incentivar que as startups, ainda que incipientes, pudessem aderir à legislação brasileira, por meio da simplificação do regime jurídico a elas aplicável. Podemos citar como algumas facilidades trazidas pela lei: novas formas de investimento para quem quer investir em uma startup; exclusão do “investidor anjo” como responsável por dívidas trabalhistas da startup; e simplificação para a participação da startup em procedimentos de licitação de compras públicas, em relação a serviços inovadores.
No âmbito da organização societária das startups, cumpre ressaltar a previsão de novo regime jurídico para as chamadas “sociedades anônimas simplificadas”, por meio de alteração à lei 6.404/1976, que estabelece regras menos rígidas para as empresas com receita bruta anual de até R$ 78 milhões.
Ainda, foram criadas iniciativas para que instituições possam testar projetos inovadores em certas áreas com usuários reais, com requisitos regulatórios mais brandos - o sandbox regulatório, que surgiu para incentivar a inovação e projetos disruptivos, uma oportunidade para que as startups tenham possibilidade de testar suas inovações em um ambiente “controlado” e seguro. Desse modo, uma startup pode verificar se sua ideia de inovação será bem sucedida antes de se sujeitar a todas as regras aplicáveis a empresas já estabelecidas no mercado. Tal ferramenta é especialmente interessante no caso de formas de negócio ou de tecnologia que sejam inovadoras, e para as quais o ambiente regulatório não possui regras bem desenvolvidas.
De maneira geral, no âmbito do sandbox regulatório, há critérios para que uma empresa possa usufruir da flexibilização temporária das normas regulatórias aplicáveis à sua atividade – dentre elas, podemos citar o número limitado de consumidores que podem ser atendidos pela empresa durante seu período de teste. O “teste” da atividade da empresa é então observado pelos reguladores, que avaliam o possível impacto no mercado, bem como o desenvolvimento da inovação proposta e, caso os testes tenham resultados positivos, a startup recebe autorização para que seu negócio exista de forma permanente.
A implementação do sandbox regulatório já foi objeto de consultas e resoluções da CVM - Comissão de Valores Mobiliários, da SUSEP - Superintendência de Seguros Privados e do BACEN - Banco Central do Brasil. No caso do BACEN, as empresas interessadas devem demonstrar um modelo de negócio inovador que esteja mencionado na regulamentação do programa, e que esteja sob a competência do BACEN ou do Conselho Monetário Nacional. Da mesma forma, no caso do sandbox regulatório da CVM, regulamentado pela resolução CVM 29/21, a autarquia aceita a submissão de projetos de empresas que tenham negócios inovadores voltados para atividades cuja supervisão caia sob sua competência, estabelecendo procedimentos para o estabelecimento de regras mais flexíveis a estas empresas (com projetos, por exemplo, de tokenização de valores mobiliários e gestão digital de livros societários). O regime de regulamentação experimental da SUSEP, por sua vez, regulado pela resolução 381/20, é voltado para empresas que ofereçam novos serviços e tecnologias no setor de seguros privados (como, por exemplos, seguros para tablets e animais de estimação, ou serviços que utilizem blockchain no registro de eventos da apólice de seguros), que receberão autorização para funcionar por três anos sob observação da autarquia.
Com a mesma estratégia do Marco Legal das Startups, de flexibilizar regras para se enquadrar a realidade dessas empresas, a ANPD editou a resolução do Conselho Diretor da ANPD no 2/22 (Resolução CD/ANPD no 2), cujo objetivo principal foi estabelecer flexibilizações à LGPD para agentes de tratamento de pequeno porte, com regras simplificadas e prazos expandidos. A norma define como agente de tratamento de pequeno porte as “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador”. Startups, por sua vez, são definidas como “organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da LC 182/21”.
A resolução buscou trazer, no bojo da definição de agente de pequeno porte, aquelas empresas que teriam uma maior dificuldade para se adequar à LGPD, por terem menos recursos quando comparadas às grandes organizações. Sem prejuízo desta definição, no entanto, o artigo 3º da resolução exclui alguns agentes de tratamento da definição de “agente de pequeno porte”, quais sejam, aqueles que ultrapassam, individualmente ou em conjunto com seu grupo econômico, determinados limites de receita bruta, e aqueles que realizam tratamento de alto risco para os titulares.
Dentre as flexibilizações para agentes de pequeno porte, podemos ressaltar a desnecessidade de indicar um encarregado de dados (DPO), a simplificação do registro das atividades de tratamento, a previsão de menor rigor para as comunicações sobre incidentes de segurança, a simplificação dos requerimentos da política de segurança da informação e a previsão de determinados prazos em dobro, em relação aos dispositivos previsto na LGPD. Cumpre reforçar, no entanto, que, exceto pelas dispensas expressas na Resolução, os agentes de pequeno porte devem observar a LGPD de forma integral.
Embora as flexibilizações possam facilitar a adequação de pequenas empresas às normas de proteção de dados, há algumas disposições da resolução que podem trazer dúvidas às empresas, especialmente em relação à previsão, no artigo 16 da norma, de que a ANPD “poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares”. Ademais, o artigo 5º da norma ainda estabelece a responsabilidade do agente de comprovar que é um “agente de pequeno porte”, quando solicitado pela ANPD. Tais disposições estabelecem maior subjetividade na verificação de aplicabilidade da norma, podendo criar insegurança jurídica para empresas que desejem aderir às regras estabelecidas na Resolução.
Ademais, a Resolução prevê que aquele que se enquadra como agente de tratamento de pequeno porte, mas realiza tratamento de alto risco, não pode se beneficiar da flexibilização. Cabe nos perguntar - o que seria considerado um tratamento de alto risco? A própria resolução entende que é de “alto risco” o tratamento de dados em larga escala, que pode afetar interesses e direitos fundamentais. Mas, existe uma grande subjetividade na definição de tratamento em larga escala - seria isso o tratamento de 50.000 de titulares de dados? Ou apenas tratando dados de 5.000 titulares o agente já se enquadraria em uma larga escala, não podendo utilizar as regras menos rigorosas editadas pela ANPD? Na Resolução CD/ANPD 2, a ANPD reconhece que poderia vir a editar guias ou orientações para fins de avaliação do tratamento de alto risco, mas isso ainda não foi realizado.
Além da subjetividade da definição de tratamento de alto risco acima descrita, ainda cabe destacar que estão excluídos do enquadramento como agente de pequeno porte as empresas que usem tecnologias emergentes ou inovadoras, que utilizem dados pessoais sensíveis, de crianças/adolescentes ou idosos, ou que tenham, em sua atividade, decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais. Ocorre que o próprio conceito de startup muitas vezes inclui a utilização de tecnologia emergente ou inovadora em seus processos e atividades. Além disso, cabe-nos questionar o que seria uma tecnologia emergente ou inovadora para a ANPD. Dessa forma, apesar de as startups serem contempladas como um possível agente de pequeno porte, a própria resolução parece excluir do seu escopo de aplicação a grande maioria das startups, ao incluir tecnologia emergente ou inovadora como um critério específico que denota o tratamento de alto risco, obrigando estas sociedades a não tratarem os dados nos moldes da Resolução, e sim obedecendo a LGPD em sua totalidade. De certa forma, a Resolução é um contraponto ao sandbox regulatório, uma vez que, ao invés de criar um ambiente experimental para novas tecnologias, identifica nestas um risco maior para os titulares de dados, cujos interesses são tutelados pela LGPD e pela própria autoridade.
Percebemos, que a Resolução contém diversos pontos que exigem maior esclarecimento, e que, sem maiores orientações da ANPD, as empresas – especialmente as startups – poderão se ver diante de situações de insegurança jurídica, uma vez que a norma contém exceções a sua aplicabilidade que dependem de critérios subjetivos e/ou cujo significado dependerão de futuros entendimentos da ANPD. Dessa forma, uma empresa que pretenda se enquadrar como agente de pequeno porte poderá se ver diante de penalizações no âmbito da supervisão da ANPD, ainda que entenda estar seguindo aquilo que foi estabelecido em suas normas.
Uma forma com a qual a autoridade poderá mitigar a insegurança jurídica envolvida na aplicabilidade das normas contidas na Resolução seria por meio da edição de um guia orientativo, como já foi feito, por exemplo, para esclarecer regras sobre o encarregado de dados (sendo que a elaboração de guias e orientações já é prevista na resolução). Tal guia poderia ajudar a dar mais objetividade aos critérios que podem excluir startups da flexibilização trazida pela Resolução CD/ANPD 2, e evitar que participantes do mercado deixem de adotar tais regras em razão do receio de penalizações posteriores.
A possível penalização de agentes que, no entendimento da ANPD, não possam se utilizar da flexibilização, ainda que, por critérios objetivos, se enquadrem na definição de “agentes de pequeno porte”, podem diminuir a aderência a tais normas, e prejudicar a eficiência da Resolução e o alcance de seu objetivo – isto é, flexibilizar a aplicação da LGPD para agentes que tenham dificuldade em observá-la em sua totalidade.