Artigos
LGPD para Startups – Flexibilização

flexbilização-lgpd-startups-giarllarielli

Flexibilização da LGPD com foco em startups, veja quais são os benefícios contidos na Resolução 02/2022, da ANPD, e verifique se sua empresa atende aos critérios legais e administrativos.

1. Flexibilização da LGPD para startups

Startups costumam nascer com ideias ambiciosas e disruptivas, porém, muitas vezes, não têm recursos suficientes para cumprir com todas as obrigações legais, especialmente as previstas na Lei Geral de Proteção de Dados Pessoais (LGPD).

Nesse sentido, pensando nos agentes de pequeno porte, como as startups, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução nº 2/2022 a fim de flexibilizar a implementação da LGPD.

2.Benefícios da Flexibilização para Startups

Startups enquadradas como agentes de pequeno porte gozarão dos seguintes benefícios:

2.1 Dispensa do Encarregado (DPO)

Em regra, é obrigatória a indicação do Encarregado (DPO), mas com a flexibilização da LGPD, tal obrigação não é mais imposta.

Mesmo assim, as startups deverão disponibilizar um canal de comunicação com o titular de dados para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

2.2 Registro das atividades de tratamento

As startups poderão cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados de forma simplificada.

Para tanto, a ANPD elaborou o modelo de registro das operações de tratamento de dados para agentes de pequeno porte – do qual inclui-se as startups.

2.3 Comunicações dos Incidentes de Segurança

Também há a previsão de criação de uma modelo simplificado para comunicação de incidentes de segurança.

Entretanto, até o momento, tal documento não foi disponibilizado.

Por ora, recomendamos a utilização do modelo oficial da ANPD.

2.4. Segurança da Informação e Boas Práticas

As startups podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Para auxiliar as pequenas empresas nessa tarefa, a ANPD publicou o Guia Orientativo sobre Segurança da Informação para Agentes de Pequeno Porte – leitura obrigatório para quem almeja a adequação à LGPD.

2.5.  Prazos diferenciados

As startups têm prazo em dobro quando:

  • no atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais;
  • na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação específica;
  • no fornecimento de declaração clara e completa;
  • em relação aos prazos estabelecidos nos normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento.

Ademais, as startups podem fornecer a declaração simplificada sobre a confirmação de existência ou o acesso a dados pessoais no prazo de até quinze dias, contados da data do requerimento do titular.

3. Critérios estabelecidos para gozar da flexibilização

Incialmente, devemos verificar os critérios previstos no Capítulo 2 da LC nº 182/2021 para qualificar uma startup como agente de pequeno porte, vejamos:

  • caracterizam-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados;
  • são elegíveis para o enquadramento na modalidade de tratamento especial destinada ao fomento de startup o empresário individual, a empresa individual de responsabilidade limitada, as sociedades empresárias, as sociedades cooperativas e as sociedades simples;
  • receita bruta de até R$ 16.000.000,00 no ano-calendário anterior ou de R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário; anterior, quando inferior a 12 meses, independentemente da forma societária adotada;
  • empresas com até 10 anos de inscrição no cadastro nacional de pessoa jurídica;
  • declaração em seu ato constitutivo ou alterador e utilização de modelos de negócios inovadores para a geração de produtos ou serviços, nos termos do inciso IV do caput do art. 2º da Lei nº 10.973/2004; ou
  • enquadramento no regime especial Inova Simples.

Além dos critérios apontados, também é necessário verificar se há ou não tratamento de alto risco.

3.1 Tratamento de alto risco

As startups que realizarem tratamento de alto risco não poderão se beneficiar da flexibilização da LGPD.

Nesse sentido, criaram critérios para identificarmos se o tratamento realizado pode ser considerado de alto risco.

Devemos, portanto, analisar de forma cumulativa os critérios gerais e critérios específicos:

i) Critérios Gerais:

a) Tratamento de dados pessoais em larga escala:

“abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado”;

b) Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares:

“será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade”.

ii) Critérios Específicos:

  • uso de tecnologias emergentes ou inovadoras;
  • vigilância ou controle de zonas acessíveis ao público;
  • decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
  • utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
4. Como identificar um tratamento de alto risco?

Devem ser analisados em conjunto os critérios gerais (i) e os critérios específicos (ii), por exemplo:

  • Uma startup cria um aplicativo para gerenciar a saúde de seus usuários, em seguida, milhares de pessoas baixam o app e inserem seus dados pessoais sensíveis

Nesse cenário, a startup não poderia usufruir da flexibilização da LGPD, visto que, a princípio, foram utilizados dados em larga escala (critério geral), e coletaram dados sensíveis (critérios específicos).

Em outras palavras, para haver o tratamento de alto risco é necessário combinar um critério geral com um critério específico.

Então, no mesmo exemplo, se não houvesse o tratamento de dados sensíveis – critério específico – a startup, em tese, poderia se beneficiar da flexibilização.

Conclusão

Medidas que almejam a simplificação e flexibilização de legislações, como a Resolução nº 02/2022, da ANPD, sempre são bem-vindas. Contudo, mesmo com os benefícios previstos, adequar-se à LGPD continua sendo um processo complexo, especialmente para startups.

Além disso, é fundamental que as startups analisem com muita cautela os critérios que autorizam flexibilização.

Visto que a Resolução, ao tratar do conceito de “tratamento de dados em larga escala”, não apresentou parâmetros objetivos – como número de titulares, volume de dados ou alcance geográfico.

Igualmente, ao utilizar expressões como “dentre outras situações” para descrever hipóteses em que os direitos e interesses dos titulares podem ser afetados, a ANPD criou um rol exemplificativo e aberto, ampliando o campo da subjetividade e tornando o enquadramento como “tratamento de alto risco” dependente de interpretações futuras – o que contribui para o aumento da insegurança jurídica.

Por fim, recomendamos que as startups busquem orientação de empresas especializadas a fim de usufruir da flexibilização da LGPD com segurança jurídica.

Dúvidas sobre como adequar sua startup à LGPD?

👉 Clique aqui para baixar o Checklist LGPD

Se preferir, entre em contato conosco e descubra como podemos ajudar você a implementar a LGPD de forma eficiente e estratégica.

📱 WhatsApp  | 📧 E-mailcontato@giarllarielli.adv.br

Gustavo Giarllarielli

logo
Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!