A Lei Geral de Proteção de Dados (LGPD) está em vigor desde setembro de 2020. Desde então, o Governo Federal e a Autoridade Nacional de Proteção de Dados (ANPD) têm lançado diversos Manuais e Guias para esclarecer e orientar a aplicação da Lei às empresas e todos os entes obrigados a seguirem regras sobre tratamento de dados pessoais.

Recentemente, em agosto de 2021, a ANPD abriu uma consulta pública a respeito da aplicação da LGPD para microempresas, empresas de pequeno porte, startups e empresas de inovação. Essas empresas são denominadas “agentes de tratamento de pequeno porte”, de acordo com a Resolução que deve regulamentar a LGPD para eles.

Essa consulta já se encerrou, mas ainda não foi publicada uma nova Resolução. A ANPD lançou um Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, que tem caráter orientativo, não tem força de lei.

A minuta da Resolução que a ANPD preparou e submeteu para análise trazia algumas possibilidades diferenciadas e simplificadas para os agentes de tratamento de pequeno porte, inclusive, com a dispensa ou facultação de algumas obrigações da LGPD, como, por exemplo:

  • Dispensa de conferir a portabilidade dos dados do titular a outro fornecedor de serviço ou produto;
  • Dispensa de fornecer a declaração clara e completa de origem dos dados, finalidade do tratamento, inexistência de registro e critérios utilizados, quando solicitada pelo titular de dados (entende-se, portanto, que a startup poderia fornecer apenas uma declaração simplificada);
  • Possibilidade (ou seja: não é obrigatório) de optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD, quando solicitado pelo titular de dados;
  • Dispensa da obrigação de manutenção de registros feitos pelo controlador e operador sobre as operações de tratamento de dados pessoais;
  • Dispensa de indicação do encarregado pelo tratamento de dados pessoais;
  • Entre outras dispensas e prerrogativas.

Em resumo, não é que a ANPD deseja eliminar as obrigações das startups (e demais agentes de tratamento de pequeno porte) quanto ao tratamento e segurança de dados. Na verdade, o que a minuta da Resolução da ANPD sugere é a adoção de medidas mais simplificadas, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais.

Inclusive, a própria minuta diz que “os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação” (art. 15). Esta política simplificada deve contemplar requisitos essenciais para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

No entanto, essas regras diferenciadas e mais simples que comentamos acima não seriam aplicáveis a agentes de tratamento de pequeno porte que realizem tratamento de alto risco e em larga escala para os titulares – ou seja:

  • Empresas que tratam dados pessoais sensíveis;
  • Empresas que tratam dados de grupos vulneráveis (incluindo crianças e adolescentes e idosos);
  • Empresas de vigilância ou controle de zonas acessíveis ao público;
  • Empresas que fazem uso de tecnologias emergentes, que possam ocasionar danos materiais ou morais aos titulares;
  • Empresas que realizam tratamento automatizado de dados pessoais que afetem os interesses dos titulares, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Em geral, o que está em jogo em relação à aplicação diferenciada da LGPD para startups é a conciliação da rigorosidade que a Lei impõe, com o dinamismo que é natural dos modelos de negócio das startups.

O excesso de formalidades e procedimentos burocráticos é, sem dúvidas, um grande entrave ao desenvolvimento de um ecossistema de startups competitivo e inovador. Mas por outro lado, a segurança de dados e o respeito ao consentimento dos titulares de dados pessoais também são necessidades urgentes.

É importante que as startups busquem assessoria jurídica especializada para entender as determinações da LGPD e elaborar as melhores práticas para aplicá-la com o mínimo de prejuízo aos seus processos internos.

O escritório Bruno Silva e Silva está à disposição para prestar esclarecimentos!