14 maio Construindo a regulamentação da LGPD para startups, micro e pequenas empresas inovadoras
Artigo por: Eduardo Neger* com colaboração do Conselho de Estudos Jurídicos Abranet. | Foto de capa: Dan Neson by Unsplash
A vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) é um marco para a história da privacidade e da proteção de dados no país. Entidades representativas de diversos setores da sociedade participaram ativamente de sua construção e celebraram sua aprovação. No entanto, a aplicação da LGPD, a adaptação das organizações aos seus mandamentos e o desenvolvimento de uma cultura de proteção de dados dentre os brasileiros não são tarefas fáceis.
Esse desafio cresce exponencialmente quando se pretende viabilizar as condições para que as micro e pequenas empresas (PMEs), startups e empresas inovadoras possam implementar o disposto na nova legislação. A importância dessas empresas para a economia brasileira é conhecida: segundo dados de 2020 do Serviço Brasileiro de Apoio às Micro e Pequenas Empresas (SEBRAE), o segmento de PMEs corresponde a 99% de todas as empresas do país, respondendo por 55% do estoque de empregos formais e por 30% do Produto Interno Bruto brasileiros.
No entanto, cada uma delas individualmente enfrenta dificuldades para mobilizar os recursos econômico-financeiros e humanos necessários à plena adaptação ao disposto na Lei. Nesse sentido, no continente europeu, onde a General Data Protection Regulation (GDPR) já está em vigor há mais tempo, diversas pesquisas têm indicado os altos custos incorridos pelos pequenos negócios para alcançar o full compliance com a nova legislação.
Assim, o desafio regulatório central para a Autoridade Nacional de Proteção de Dados (ANPD) diz respeito a compatibilizar a garantia do exercício do direito à proteção de dados em sua plenitude, sem incorrer em custos regulatórios excessivos e que inviabilizam a atividade desta parcela tão significativa da economia brasileira. Vale destacar que a solução para esse desafio passa não apenas pela aplicação do Art. 55-J, XVIII, da LGPD, mas também por sua compatibilização com outros mandamentos legais, como o Art. 179 da Constituição Federal; o Art. 1°, §3°, da Lei Complementar n° 123, de 2006; e o Art. 2°, III, da Lei n° 13.874, de 2019.
Indo direto ao ponto: as startups e micro e pequenas empresas inovadoras não possuem os mesmos recursos que grandes empresas, de forma que enfrentam um cenário mais complexo para se adequarem aos padrões exigidos pela LGPD.
Imagine o alto custo para se contratar e manter um encarregado de dados em uma startup. Nesse contexto, a regulamentação deve considerar que quaisquer exigências regulatórias significam um custo econômico-financeiro e de oportunidade desproporcionais quando se trata de agentes de tratamento de pequeno porte, de modo que pelo fato de disporem de recursos inferiores quando comparados as grandes empresas os agentes econômicos de pequeno porte podem enfrentar grandes dificuldades para se adequar à LGPD.
Por esta razão, a ANPD no exercício de sua competência de regulamentação da LGPD, tem realizado consultas à sociedade, recebendo subsídios para suas análises de impacto regulatório. É fundamental que as empresas de base tecnológica acompanhem e participem ativamente da construção desta regulamentação.
A Associação Brasileira de Internet (ABRANET) sugeriu que a ANPD estabeleça regras mais simplificadas para as startups, micro e pequenas empresas inovadoras.
A principal oportunidade neste assunto é a abertura do texto da LGPD, que exige uma intensa atividade da Autoridade na regulamentação e complementação do seu texto, combinada com a exigência do Art. 55-J, XVIII, de um regime especial para agentes de tratamento de dados pessoais de pequeno porte. Há bastante espaço para a ANPD criar um regime adequado à realidade das startups, micro e pequenas empresas brasileiras.
Com a simplificação de determinadas regras para as startups e micro e pequenas empresas, seria possível fomentar a inovação e, por consequência, a geração de empregos altamente qualificados a partir do uso de dados em conformidade com a LGPD. Para tanto seria necessário criar campanhas educativas em todos os setores, do varejo ao consumidor final, que fomentem a cultura do tratamento de dados pessoais por pessoas naturais e PMEs. Além disso, uma abordagem econômica do tema da proteção de dados pessoais possibilita também o fomento ao desenvolvimento de empresas e a geração de emprego e renda a partir de modelos de negócio que utilizem dados pessoais em conformidade com a LGPD, visto que a simplificação das regras para os agentes econômicos de médio e pequeno porte irá incentivar a criação de produtos e serviços inovadores.
De maneira mais geral, vale destacar que, no âmbito da União Europeia, tanto a Comissão quanto as autoridades nacionais de proteção de dados investiram bastante na educação dos agentes de tratamento de pequeno porte. Há uma relevante lista de grants oferecidos pela Comissão Europeia especificamente voltadas para micro e pequenas empresas (leia mais aqui).
Um exemplo interessante a ser observado é o esforço que a Autoridade de Proteção de Dados espanhola vem desempenhando com ferramentas como o “Facilita RGPD” e o “Facilita Emprende”.
A despeito da GDPR prever expressamente a possibilidade de derrogações de seus dispositivos em prol de agentes de tratamento de pequeno porte, a realidade europeia tem reforçado – por meio de inúmeras pesquisas – os altos custos envolvidos na implementação da nova regulação por essas empresas. A própria Comissão Europeia, em seu relatório oficial de balanço dos dois primeiros anos da GDPR, reconhece este como um dos pontos de atenção e que precisa ser aprimorado mais adiante. Assim, mesmo com algumas iniciativas interessantes de apoio a esses agentes de pequeno porte por parte de certas autoridades nacionais de proteção de dados, o contexto europeu não oferece muitas referências bem-sucedidas. Trata-se de uma oportunidade para o Brasil aprender com as dificuldades europeias e adotar uma postura pioneira de respeito e apoio às startups, micro e pequenas empresas.
A LGPD foi elaborada considerando muitos dos modernos instrumentos regulatórios utilizados internacionalmente para fomentar a inovação e elevar a qualidade regulatória. Na atual fase de regulamentação é preciso que a ANPD privilegie tais instrumentos, adotando uma regulação baseada no nível de risco, compatibilizando as exigências regulatórias com as finalidades, modalidades e volumes de operações de tratamento de dados pessoais realizadas pelas startups, micro e pequenas empresas.
Eduardo Neger* é empresário na área de tecnologia e inovação como a empresa-filha da Unicamp NEGER Telecom, presidente da Associação Brasileira de Internet (Abranet) e conselheiro do grupo Unicamp Ventures.
Leia mais sobre o tema: