Ao tentar facilitar cumprimento das obrigações, acabam por colocar em risco o crescimento do ecossistema.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou no Diário Oficial da União do dia 30/08/2021 a minuta que buscar flexibilizar regras da Lei Geral de Proteção de Dados (LGPD) para micro e pequenas empresas e startups, chamados pela minuta de “agentes de tratamento de pequeno porte”. A minuta vem em observância do art. 55-J, inciso XVIII da referida legislação e era, talvez, um dos trabalhos mais aguardados da ANPD pelo mercado.
O esboço de legislação teve como prazo para coleta de manifestações até o dia 29/09/2021 através da plataforma Participa + Brasil do Governo Federal, que possibilita sugestões individualizadas para cada artigo, inciso ou parágrafo. Considerando essa limitação, acreditamos oportuno a publicação do presente artigo visando dois problemas relacionados a startups que não são resolvidos meramente com mudanças da redação da minuta, mas da sua lógica normativa.
Nosso foco, portanto, são dois pontos da minuta que, ao tentar facilitar o cumprimento das obrigações legais para startups, acabam por colocar em risco o crescimento do ecossistema e até mesmo o desenvolvimento econômico do país. São eles: a aplicabilidade da regulação para startups que realizam tratamento de dados pessoais na figura de operadoras e os critérios de natureza jurisprudencial de “tecnologias emergentes”.
O primeiro é um problema que permeia várias flexibilizações da minuta, como a dispensa de declaração completa para informações (art. 7º), de registros simplificados de tratamento de dados pessoais (art. 10) e relatórios de impacto de proteção de dados simplificados (art. 11).
Ocorre que a minuta não levou em conta o contexto do ecossistema das startups e tampouco levou em conta a relação entre agentes de tratamentos. Muitas startups surgem com propostas tecnológicas para o mercado B2B (business-to-business), vendendo seus serviços e sistemas para outras empresas, até mesmo para grandes conglomerados multinacionais. Dentre as maiores startups brasileiras estão algumas que atuam no B2B como VTEX, Ebanx, Loggi, entre outras.
Dentre as figuras de agentes de tratamentos, na maior parte dos casos, essa relação é considerada controlador-operador, sendo que as startups figuram como operadoras de dados pessoais ao possuírem acesso à bases de dados pessoais dos contratantes para realizar tratamentos em nome deles.
Ocorre que esses controladores de grande porte não estão sujeitos à aplicabilidade da presente minuta e investiram milhares de reais em projetos e sistemas de adequação à legislação[1]. Esses agentes também são visados pelos consumidores (casos de gigantes da telecomunicação, plataformas digitais, marketplaces etc.) e pelo próprio Judiciário[2]. Para garantir as expectativas dessas figuras (e diminuir riscos de perdas econômicas), as empresas que investiram buscando um padrão elevado de adequação legal acabam por transferir para seus prestadores de serviços um padrão de cumprimento legal semelhante ao seu.
A minuta, não distinguindo a flexibilização para startups que figurem como operadoras, cria um problema prático: como fica a adequação dessas grandes empresas que figuram como controladoras e possuem entre seus fornecedores startups que utilizam flexibilizações na adequação?
Seria necessário um sistema de governança em proteção de dados que consiga cobrar e auditar obrigações de duas ordens para seus prestadores de serviços? Se a resposta por positiva, a adequação à legislação acaba por ser mais onerosa e difícil, criando uma complexidade para o mercado quando a proposta da minuta da LGPD é justamente trazer flexibilizações.
Ou então, o que poderemos ver é o desestímulo de grandes empresas em contratar startups cuja adequação à legislação seja baseada nas regras flexibilizadas, criando um prejuízo para o ecossistema e até mesmo afetando a economia brasileira.
Isso sem analisar as startups que podem ser contratadas pelo Poder Público, uma situação que foi contemplada com mecanismos de fomento no Marco Legal das Startups, Lei Complementar 182/2021, que previu um regime simplificado de contratação de startups pelo Poder Público, culminando no Contrato Público para Solução Inovadora, previsto no art. 14 do marco.
A solução para o problema dos efeitos da estruturação da minuta pode ser de duas ordens: ou as flexibilizações são para agentes de pequeno porte e startups que figuram como controladoras em processos de tratamento de dados pessoais ou então a ANPD pode, futuramente, criar um instrumento (regulatório ou orientativo) para essa relação entre agentes de tratamentos que possuem a faculdade de uma adequação flexibilizada e aqueles que não possuem.
O outro ponto que afeta particularmente as startups e pode acabar por conflitar até mesmo com as definições do Marco Legal das Startups é o conceito de tecnologias emergentes previsto no art. 3°, §1º, inciso III, cujo critério é a possibilidade de “ocasionar danos materiais ou morais”.
No caso de danos materiais, o critério é objetivo e pode ser facilmente mensurado. O problema é a demonstração de nexo causal entre a tecnologia e o dano. Ora, no mundo das ideias, qualquer tecnologia, emergente ou não, tem a possibilidade de ocasionar danos. Isso levaria a discussão para o Judiciário e acabaríamos em um cenário de insegurança jurídica completa, até haver uma uniformização jurisprudencial em torno deste conceito, o que levaria, certamente, muitos anos de discussões.
Acreditamos que os critérios devem seguir o padrão estabelecido pela atual geração de legislações de proteção de dados que o cenário internacional está adotando, até como maneira de facilitar a busca de decisões de adequação[3] do Brasil com outros países, que são os mesmos para a realização de Relatórios de Impacto de Proteção de Dados Pessoais: a suscetibilidade de implicar em um elevado risco para os direitos e liberdades das pessoas naturais[4].
Para impedir a fragmentação de entendimentos sobre os termos “elevado risco” na jurisprudência, seria interessante que a ANPD resguardasse para si a competência de definir tipos de tecnologias que se enquadram no contexto através de relatórios de definição que podem ser elaborados com frequência pré-definida.
Isso poderia ser um anexo específico no mesmo Mapa de Temas Prioritários previsto no art. 18, §3º e 4º da proposta da norma de fiscalização da ANPD[5], a fim de aproveitar a pertinência temática entre as questões, uma vez que tecnologias emergentes são inerentemente relevantes e atuais.
Como exemplo do sistema, é possível citar os critérios para a participação do sandbox regulatório da Informational Comissioner’s Office do Reino Unido, que, a cada ano, elenca os tipos de tecnologias que podem participar do programa[6].
É importante esclarecer que a proposta não visa conceder ao órgão regulatório o poder de definir o que são tecnologias emergentes, mas sim definir quais são as tecnologias emergentes desenvolvidas por empresas que podem optar pelas flexibilizações de adequação à legislação de proteção de dados.
O aproveitamento da elaboração do Mapa de Temas Prioritários para também tratar sobre o tema garante a flexibilização que essa questão demanda, considerando a rápida evolução tecnológica e sem dificultar o avanço no desenvolvimento de novas tecnologias no país.
Esse sistema iria garantir o mínimo de segurança jurídica para aquelas empresas que desenvolvem e fornecem tecnologias que estão no escopo do relatório, desestimulando decisões judiciais em contrário e que possam aumentar o risco jurídico para esses agentes.
Acreditamos ser importante a revisão de ambos os pontos, uma vez que a minuta, buscando facilitar a adequação à legislação e estimular o mercado nacional, pode ter o efeito contrário.
[1] Segundo levantamento divulgado pelo Valor Econômico, os custos em agosto de 2020 variavam entre R$ 50 mil até R$ 800 mil. Fonte: https://valor.globo.com/publicacoes/suplementos/noticia/2020/08/21/custo-da-conformidade-pode-variar-de-r-50-mil-a-r-800-mil.ghtml
[2] Em julho deste ano já havia 600 decisões sobre a aplicação da LGPD pelo Brasil. Fonte: https://www1.folha.uol.com.br/mercado/2021/07/justica-ja-tem-600-decisoes-envolvendo-lei-de-protecao-de-dados.shtml
[3] As legislações de proteção de dados baseadas no Regulamento Geral de Proteção de Dados da União Europeia preveem a possibilidade de livre transferência de dados entre empresas localizadas em diferentes países se forem reconhecidas por uma decisão de adequação do cenário regulatório de proteção de dados pessoais com base em um nível mínimo de obrigações e proteção.
[4] Redação do artigo 35 do Regulamento Geral de Proteção de Dados
[5] Art. 18. O relatório de análise de ciclo de monitoramento e o mapa de temas prioritários são instrumentos de monitoramento.
3º O mapa de temas prioritários consolidará os temas que serão considerados pela ANPD para fins de estudo e planejamento da atividade de fiscalização em determinado período.
4º O mapa de temas considerará riscos, gravidade, atualidade e relevância.
[6] As áreas de foco do biênio 2021-2022 estão disponível no site oficial do órgão em https://ico.org.uk/for-organisations/regulatory-sandbox/our-key-areas-of-focus-for-the-regulatory-sandbox-2021-22/
fonte: JOTA