Resolução CD/ANPD 2/22: Um diferenciado olhar da LGPD para as startups

Através de uma lógica de modernização, Startups (empresa emergente, conforme tradução oficial) eclodiram em conjuntura nacional e se mostraram como um modelo de negócio diferenciado que, a partir de aparatos e produtos inovadores e crescimento massivo, demonstraram necessidade de um olhar singular quanto a sua configuração jurídica-legal. Posto isto, o ordenamento jurídico brasileiro se prestou a originar normas especializadas com conteúdo alinhado às características desses modernos e nascentes negócios, a ser a norma primordial lei complementar 182/21, que prestou a tratar do Marco Legal das Startups, com regulamentação específica a este setor.

Sob mesma lógica, com a necessidade de alinhamento das atividade das Startups à vigente legalidade ao tratamento de dados pessoais, a ANPD, agência fiscalizada da administração pública direta do Governo Federal que tem por atividade a proteção de dados pessoais e da privacidade, nos termos da LGPD (lei geral de proteção de dados pessoais, lei 13.709/18) e a ver necessidade de criação de norma pormenorizada às startups, publicou resolução do conselho diretor da autoridade nacional de proteção de dados 2 para tratar de forma diferenciada de aplicação de lei 13.709/18.

A resolução simplifica a atuação para com os agentes de tratamento de pequeno porte na tratativa de dados pessoais, criando regime diferenciado para atenção às normas de proteção. Vale ressaltar que a norma em seu anexo I, a partir do artigo 2º, inciso I esclarece que os agentes de tratamento de pequeno porte são as "microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador". A diferenciação normativa facilita a atuação dos agentes a fim de cumprir a normatividade prevista em lei 13.709/18, que dispõe sobre Lei Geral de Proteção de Dados Pessoais (LGPD). O grande foco da resolução se dá no registro de informações de tratamento, nas comunicações dos incidentes de segurança, na determinação do encarregado pelo tratamento de dados pessoais e, por fim, tratam dos prazos diferenciados aos agentes. Porém, vale dizer que o tratamento diferenciado determinado em resolução não isenta os agentes do cumprimento de demais normas da LGPD, inclusive bases legais e princípios, conforme artigo 6º da resolução.

Ainda vale ressaltar que a normatividade estabelece que não haverá tratamento jurídico diferenciado aos agentes de forma geral e irrestrita; o artigo 3º dita que não poderão se beneficiar do tratamento jurídico (i) agentes que realizem tratamento de alto risco para os titulares; a matéria está especificada em capítulo III da resolução, (ii) agentes que auferirem receita bruta superior aos limites estabelecidos em artigo 3º, II da lei complementar 123/06, a ser no caso das startups, receita superior ao estabelecido em artigo 4º, § 1º, inciso I da lei complementar 182/21; por fim, (iii) não deverão se beneficiar do aporte normativo agentes que pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites de receita estabelecidos. Ou seja, as empresas que fizerem parte dos grupos acima citados não farão jus ao regime diferenciado aplicado pela resolução ANDP 2.

A abordar especificamente o tratamento diferenciado em si, o artigo 7º da resolução da ANPD determina que os agentes podem disponibilizar informações sobre o tratamento de dados pessoais não só por meio eletrônico e impresso, mas também por qualquer outro que assegure o acesso facilitado de informações aos titulares para descomplicar qualquer comunicação entre as partes; o artigo 8º ainda estabelece que é possível que os agentes se organizem por meio de entidades de representação para fins de negociação, mediação e conciliação para com reclamações que venham ser feitas por titulares de dados.

O registro de atividades é abordado em artigo 9º, que estabelece simplificação na elaboração e manutenção do registro de operações de tratamento de dados pessoais constante no artigo 37 da LGPD; porém, conforme parágrafo único, a ANPD ainda fornecerá qual será o modelo específico para o registro simplificado, não ficando os agentes de tratamento de pequeno porte livres para registrar de qualquer maneira - deve-se, portanto, a atuação das startups esperar a vigência do modelo ainda não publicando. Importa dizer que não se sabe ao certo como se dará a devida simplificação, sendo a tratativa em resolução genérica ao devido assunto. Já ao tema das comunicações dos incidentes de segurança, o artigo 10 estabelece que haverá flexibilização e/ou simplificação desta comunicação, porém a atuação somente será possível com posterior regulamentação que virá a ser publicada - na mesma lógica, os agentes deverão atuar de forma concisa à futura normatividade.

O art. 11 determina que não será necessário a indicação de encarregado pelo tratamento de dados pessoais exigidas em artigo 41 da LGPD, devendo o agente que não determinar um encarregado, disponibilizar um canal de comunicação aos titulares das informações, a fim de aceitar reclamações, prestar esclarecimentos, adotar providências, receber comunicações de autoridades, e, por fim, orientar funcionários para com o respeito de dados. Sobre a segurança e boas práticas, a norma estabelece em art. 12 que medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança, a considerar o alto risco à privacidade dos titulares de dados e a realidade do agente de tratamento, deverão atender as recomendações e boas práticas determinadas pela ANPD por meio de guias orientativos; o artigo 13 determina que é possível o estabelecimento de políticas simplificadas de segurança da informação pelos agentes, a fim de contemplar os requisitos essenciais e necessários para com a devida proteção de dados e acessos, a considerar os custos de implementação, bem como a estrutura, a escala e o volume das operações do agente de tratamento de pequeno porte, conforme art. 6º, X e no art. 52, §1º, VIII e IX da LGPD.

Um ponto relevante no regime diferenciado ao tratamento de dados as startups é o prazo em dobro nos atendimentos das solicitações, na comunicação de incidente de segurança no fornecimento de declaração clara e completa e nos demais prazos estabelecidos em normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD, a serem os prazos não abordados tratados em regulamentação específica futura; por conseguinte, somente após a especificação normativa que se poderá ter tratamento diferenciado em demais cernes do tratamento de dados, a não poder se utilizar da analogia para com a beneficiação - a aplicação nos demais temas, não havendo a determinação em regulamentação, portanto, devem seguir rito da LGPD. Ainda, nos termos de artigo 15 de norma da ANPD, os agentes de tratamento de pequeno porte podem fornecer declaração simplificada especificada em artigo 19, I, da LGPD no prazo de até quinze dias, contados da data do requerimento do titular, devendo as declarações simplificadas serem confirmadas e acessadas de forma imediata.

A resolução estabelece, ao final de seu texto, em art. 16, que a ANPD poderá determinar ao agente o cumprimento de obrigações dispensadas ou flexibilizadas no regulamento, a depender da natureza e volume de operações, bem como riscos para os titulares dos dados, a fim de dar maior zelo dos titulares dos dados.

Conclui-se que, ao se observar a existência e importância das Startups no desenvolvimento econômico brasileiro, em conjunto a dificuldade destas na adaptação à LGPD para com o tratamento e proteção de dados, a resolução CD/ANPD 2/22 veio a resolver da simetria de suas atividades comerciais ao respeito da LGPD. Existem ainda lacunas quanto certas aplicabilidades da norma, porém é importante ressaltar que os agentes de pequeno porte não se isentarão no oferecimento de melhor tratamento e segurança de dados possível quando informações forem solicitadas; o que se tem unicamente é uma adaptação normativa, a fim de criar conjuntura que não seja demasiado rígida, concisa à realidade dos devidos agentes, a ponderar a necessidade de informações com o aporte diferenciado; o agente, portanto, será responsável pelo fornecimento de dados na forma que a ANPD julgar necessário.