Marco Legal das Startups, LGPD e sandboxes regulatórios em colaboração

Empresas de todos os tamanhos já começam a experimentar o sabor agridoce da Lei Geral de Proteção de Dados Pessoais (LGPD): ganham em autoconhecimento, gestão e novos produtos, e penam para se adequar.

O Projeto de Lei Complementar (PLP) nº 249/2020, que institui o Marco Legal das Startups e do Empreendedorismo Inovador (MLSEI), por sua vez, oferece (i) princípios para atuação da administração pública, (ii) medidas em favor do ambiente de negócios e oferta de capital para startups e (iii) regras especiais para licitação e contratação de soluções inovadoras pela administração.

O PLP foi aprovado na Câmara dos Deputados na semana passada e seguiu ao Senado Federal, com redação derivada de concertos negociados sob o PLP nº 146/2019.

A relação intrínseca de startups com inovação remete ao desenvolvimento de produtos e serviços, muitas vezes sem paralelo no mercado. Essa dinâmica criativa envolve, em diferentes esferas, a aplicação de ferramentas que se baseiam no tratamento de dados. Considerando o conceito amplo de dados pessoais da LGPD, muitas startups estão igualmente obrigadas a cruzar a via da conformidade.

Isso gera um desafio: como garantir a consolidação dos modelos de negócios dessas empresas, que têm sido chave para o avanço da economia digital, e gerenciar incertezas regulatórias advindas de soluções inovadoras, sem precedente no mercado?

Uma boa notícia é que tanto a LGPD quanto o Marco Legal de Startups criam espaço para a instituição de sandboxes regulatórios para startups (e não só essas empresas) que tratam dados pessoais.

O que é Sandbox.

De acordo com o projeto do MLSEI, o sandbox consiste em um “conjunto de condições especiais simplificadas para que as pessoas jurídicas participantes possam receber autorização temporária dos órgãos ou das entidades com competência de regulamentação setorial para desenvolver modelos de negócios inovadores e testar técnicas e tecnologias experimentais, mediante o cumprimento de critérios e limites previamente estabelecidos pelo órgão ou entidade reguladora e por meio de procedimento facilitado”.

Sandboxes são, pois, espaços de suspensão regulatória, sob vigilância do próprio regulador. Empresas recebem atestados temporários de que nem todas as normas se aplicarão a seus produtos e serviços para que testem com mais segurança suas inovações. Passado o período de testes, os reguladores decidem se (i) a inovação é segura dentro do atual formato de regulamentação, (ii) é necessário criar novas normas, (iii) é necessário desfazer normas antigas ou (iv) a tecnologia deve mesmo ser proibida.

A aplicação desse modelo regulatório inicialmente se reservou a fintechs e outras empresas e soluções no mercado financeiro. A britânica Financial Conduct Authority foi a primeira agência reguladora a aplicá-lo, ainda em 2015. De lá para cá, muitas outras a seguiram, de Singapura ao Brasil, com os exemplos de sandboxes concebidos pelo Banco Central do Brasil (BCB) e pela Comissão de Valores Mobiliários (CVM).

O MLSEI inova em relação a esses países ao propor um sandbox regulatório em lei geral, aplicável a todos os setores regulados, e em âmbito federal.

Em seu Capítulo V, denominado “Dos Programas de Ambiente Regulatório Experimental”, traça parâmetros principiológicos para a instauração desses modelos no País. Abre-se assim espaço para que qualquer agência e órgão regulador aplique a metodologia com maior conforto jurídico.

Um segredo do PLP nº 249/2020.

Talvez o aspecto mais inovador sobre sandboxes -- ainda negligenciado em artigos sobre o Marco Legal de Startups -- seja a previsão explícita de que reguladores setoriais poderão instituir seus programas de sandbox em colaboração com múltiplos órgãos e entidades da administração com competência regulatória. Esse dispositivo merece bastante investimento institucional dos interessados.

Durante a fase de consultas para construção do anteprojeto de lei no Executivo, o  setor financeiro foi vocal ao narrar a dificuldade da CVM em conseguir afastar determinadas regras apenas para mercados de capitais, mas não poder formalizar, em instrumento único com a Superintendência de Seguros Privados (SUSEP), o afastamento de regras com repercussão para o mercado de seguros e previdência, por exemplo.

A dificuldade não decorreria de divergência de intenções ou desinteresse dos reguladores em instituir sandboxes multitemáticos, mas de desafios reais de transposição das fronteiras regulatórias de cada um.

Por exemplo, uma fintech, healthtech ou startup de telecomunicações (classifique-a como quiser) que ousasse participar de um sandbox de regulador setorial para testar serviços inovadores que desafiassem, a um só tempo, normas de CVM, BCB, Agência Nacional de Telecomunicações (Anatel), Agência Nacional de Vigilância Sanitária (Anvisa) e Autoridade Nacional de Proteção de Dados (ANPD) -- eventualmente alguma solução de Internet das Coisas (IoT) para o setor financeiro que dependesse de espectro licenciado e biochips implantados sob a pele -- simplesmente não seria um candidato viável.

E são esses ornitorrincos, que não se enquadram em caixinha única, que estão saindo das bancadas (laboratórios acadêmicos, aceleradoras, garagens, centros de P&D) e chegando às prateleiras do comércio global. O Brasil não pode deixar de considerar testes e desenvolvimento de soluções dessa magnitude unicamente por não sabermos atravessar complexos arranjos regulatórios nacionais; caso decidamos por proibir, façamo-lo de modo informado e amigável ao empreendedorismo competitivo. O sandbox é um caminho para isso.

LGPD e startups. Sandboxes viáveis.

A LGPD também traz mecanismos que permitem a criação desses espaços experimentais, especialmente quando aplicáveis a startups.

O art. 55-J, XVIII, que trata das competências da ANPD, dá ao órgão (da administração direta) o poder de “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei”.

Essa abertura da lei para a criação de normas diferenciadas a startups garante espaço amplo para a criação de sandboxes regulatórios sobre proteção de dados.

Mas seria esse modelo útil para a proteção de dados no Brasil?

Considerando o desenvolvimento acelerado de novas tecnologias que fazem uso de dados pessoais nos mais diversos setores da economia, certamente há lugar para regulá-los a partir de sandboxes. O exemplo de um produto como o descrito acima, envolvendo tecnologias ainda não reguladas que fazem uso massivo de dados pessoais e que perpassam diferentes setores regulados exigem formas disruptivas de regulação. O sandbox seria um local apropriado para testar esse tipo de solução, pelo fato de limitar sua experimentação em tempo e espaço e ao mesmo tempo garantir a supervisão integral do regulador.

Ao admitir que reguladores criem um ambiente jurídico mais flexível, o ordenamento abre caminho para que empresas se desenvolvam, reduzindo custos com compliance e carga burocrática, bem como para que o país se consolide como um hub para a inovação. O risco regulatório também diminui: por estarem mais próximos das empresas, os reguladores têm maior capacidade de se antecipar a possíveis impactos negativos da atividade experimental.

Como seria, na prática, a criação de um sandbox para a proteção de dados no Brasil? Precisaríamos de norma específica da ANPD que estruturasse o tema, seja regulamentando o já citado art. 55-J, XVIII, da LGPD, ou se valendo do art. 9º do Marco Legal de Startups.

Neste caso, a ANPD disporia sobre o funcionamento do programa de ambiente regulatório experimental e estabelecer: (i) os critérios para seleção ou qualificação do regulado, (ii) a duração e o alcance da suspensão da incidência e (iii) as normas abrangidas.

O sistema de sandbox criado para a ANPD poderia inclusive contar com a implementação em colaboração com outros entes reguladores, viabilizado pelo MLSEI, particularmente considerando a interdisciplinaridade da proteção de dados, cuja regulação perpassa todos os setores da economia.

 Sandboxes convergentes, por meio do Marco Legal de Startups.

 Recentemente, a target="_blank" rel="noopener noreferrer">colombiana July Galindo discorreu sobre iniciativas de href=" target="_blank" rel="noopener noreferrer"> de seu país em painel promovido pela Berkeley Global Society sobre inovação e conectividade na América Latina. A advogada apresentou (i) o desenho regulatório do primeiro sandbox mundial para o setor de telecomunicações, da Comisión de Regulación de Comunicaciones, (ii) a consulta pública de sandbox de privacy by design e by default em projetos de inteligência artificial, da Superintendencia de Industria y Comercio, autoridade de proteção de dados da Colômbia, e (iii) programas correlatos sobre 5G e big data, viabilizados por outros órgãos de governo.

Além de servirem como referências para iniciativas brasileiras, como a proposta de um sandbox da Anatel, o recado mais importante da colombiana foi que essas iniciativas setoriais apartadas, além de dispersas, se mostram ineficientes.

Para Galindo, uma solução mais eficiente e moderna seria convergir essas iniciativas em abordagem única transversal a todo o governo (whole-of-government), aos moldes da estratégia nacional para sandboxes, living labs e ambientes de testagem que vem sendo construída pelo Ministério da Economia e Energia da Alemanha (BMWi).

De modo técnico, experimental e responsável, os reguladores, Executivo e Legislativo brasileiros têm agora a oportunidade de inaugurar o ambiente jurídico favorável para solucionar entraves já identificados em sandboxes nacionais, confirmados na Colômbia e endereçados pela Alemanha.

Como visto, a chave para promoção da inovação pode estar não na abertura da regulação ao novo a partir de ilhas regulatórias setoriais, mas, sim, na interdisciplinaridade que permeia a disrupção.

O art. 11 do PLP 146/2019 aprovado na Câmara (originalmente numerado art. 7º do PLP nº 249/2020) traz segurança jurídica para que órgãos se aproximem, formalizem programas de sandbox em colaboração institucional e amplifiquem a criatividade em ambientes regulados. Sigamos vigilantes do texto no Senado Federal.

---

O episódio 48 do podcast Sem Precedentes faz uma análise sobre a atuação do Supremo Tribunal Federal (STF) em 2020 e mostra o que esperar em 2021. Ouça:

---