Algumas noites atrás, pensei em como termina o dia de muitos empreendedores digitais no Brasil. Não com champagne, métricas em alta ou planos de expansão. Termina com um notebook fechado, uma notificação jurídica aberta no celular e a sensação incômoda de ter feito tudo “certo” e, ainda assim, estar em risco. Não houve vazamento. Não houve fraude. Houve apenas a LGPD batendo à porta.
Aqui está o paradoxo que quase ninguém gosta de encarar. A lei criada para proteger o cidadão comum virou, na prática, um peso desproporcional sobre quem menos pode carregá-lo. A promessa era proteção. O efeito colateral foi medo.
A LGPD nasceu com uma narrativa sedutora. Em um mundo onde dados viraram petróleo, alguém precisava construir cercas. O Brasil olhou para a Europa, mirou no GDPR e decidiu fazer sua versão tropical. O discurso era elegante. Mais controle para o cidadão, mais responsabilidade para empresas, mais confiança no ambiente digital. Difícil discordar disso em abstrato.
Mas leis não vivem no papel. Vivem na rotina. E é aí que a história começa a ficar interessante.
Imagine um pequeno e-commerce de bairro que resolveu vender online durante a pandemia. Ele coleta nome, e-mail, endereço e CPF. Nada sofisticado. De repente, descobre que precisa mapear fluxos de dados, revisar contratos com fornecedores, criar políticas de privacidade, definir bases legais, responder pedidos de titulares e manter registros. Não porque fez algo errado, mas porque existe.
Aqui está onde mora o problema. A LGPD foi desenhada com a lógica das grandes organizações, aquelas com jurídico interno, compliance estruturado e orçamento para errar. O texto é o mesmo para o banco multinacional e para a padaria digital. A assimetria não está na lei. Está na capacidade de absorver seus custos. E esses custos raramente aparecem nos debates públicos.
Não estou falando apenas de dinheiro, embora ele doa. Consultorias, adequação documental, softwares, treinamentos. Estou falando de tempo cognitivo. Da energia desviada da inovação para o medo regulatório. Da decisão silenciosa de não lançar uma funcionalidade porque ninguém sabe se “pode”. Da reunião que termina sem decisão porque a resposta padrão virou “vamos checar com o jurídico”.
O efeito é sutil, mas corrosivo.
Já ouvi a objeção clássica. “Mas proteger dados tem um custo mesmo”. Concordo. O problema não é o custo existir. É quem paga a conta. Grandes empresas diluem esse peso como custo operacional. Pequenas empresas sentem no osso. Startups em estágio inicial sentem no pulmão. O empreendedor não contrata um desenvolvedor. Contrata um parecer.
E aqui entra a insegurança jurídica, o ingrediente que transforma uma boa ideia em terreno movediço.
A LGPD fala em princípios abertos. Finalidade. Necessidade. Adequação. Conceitos importantes, mas elásticos. A autoridade reguladora avança devagar. A jurisprudência é escassa. O resultado é um ambiente onde ninguém sabe exatamente onde está a linha. Quando a regra é vaga e a sanção é alta, o comportamento racional é se retrair.
Você não precisa de um fiscal para paralisar um ecossistema. Basta a dúvida.
Conheço empreendedores que desistiram de projetos baseados em dados porque não conseguiam responder uma pergunta simples. “Isso aqui é permitido?”. Não porque fosse ilegal, mas porque ninguém tinha coragem de dizer que era seguro. O risco regulatório virou risco de negócio. Isso cria um viés silencioso contra a inovação.
Dados são matéria-prima de produtos digitais. Recomendação, personalização, eficiência operacional, análise de comportamento. Tudo isso depende de tratamento de dados. Quando a regulação transforma cada uso em um potencial passivo jurídico, o incentivo muda. Inovar passa a ser exceção. Replicar modelos conservadores vira regra.
É curioso observar como o discurso público raramente conecta esses pontos.
Fala-se muito do cidadão titular de dados. Fala-se pouco do cidadão empreendedor. Como se fossem personagens distintos, quando na verdade são a mesma pessoa em momentos diferentes do dia. De manhã, ele quer privacidade. À tarde, quer empreender. À noite, tenta pagar as contas.
A boa regulação precisa equilibrar esses papéis. E equilíbrio exige proporção.
Outros países entenderam isso com mais clareza. Criaram regimes diferenciados, guias práticos, safe harbors reais para pequenas empresas. Não isenção total, mas trilhos claros. Aqui, ainda tratamos exceção como concessão graciosa, não como estratégia de desenvolvimento.
E antes que alguém diga que isso é exagero, vale olhar para o comportamento do mercado.
Startups brasileiras frequentemente optam por crescer menos em dados do que poderiam. Empresas menores terceirizam tudo para plataformas grandes, que já “resolvem” a conformidade. Isso concentra poder. A lei que prometia empoderar o indivíduo ajuda, indiretamente, a reforçar monopólios digitais. Um efeito que poucos previram, mas que faz todo sentido econômico.
Grandes players conseguem cumprir a lei. Pequenos se adaptam a eles. O dado deixa de circular localmente e passa a orbitar gigantes globais. O cidadão fica protegido. O ecossistema fica mais pobre.
Há também um custo cultural difícil de medir.
O Brasil sempre teve uma relação ambígua com a informalidade. Boa parte da inovação nasce em zonas cinzentas. Não por má-fé, mas por criatividade. A LGPD, ao trazer um modelo sofisticado de compliance, impõe uma mentalidade que exige maturidade institucional. Quando aplicada sem transição adequada, ela não educa. Ela assusta. E medo raramente produz bons produtos.
Nada disso significa que a LGPD seja um erro. Esse é um ponto importante. A intenção é legítima. A proteção de dados é necessária. O cidadão precisa de defesa contra abusos reais. Vazamentos, venda indevida de informações, uso discriminatório de dados. Tudo isso existe e precisa ser combatido.
O problema não está no “o quê”. Está no “como”.
Uma lei que não diferencia capacidades cria injustiça prática. Uma regulação que não oferece clareza gera paralisia. Um sistema que pune antes de orientar falha no seu papel pedagógico. Direito também é engenharia social. E engenharia ruim gera estruturas instáveis.
Talvez a pergunta correta não seja se precisamos da LGPD. Precisamos. A pergunta é se estamos dispostos a ajustá-la à realidade brasileira.
Isso passa por guias claros, linguagem menos jurídica e mais operacional, regimes graduais de conformidade e uma autoridade reguladora que converse mais e sancione menos no início. Passa por reconhecer que startup não é banco e que padaria digital não é big tech.
Passa, sobretudo, por honestidade intelectual.
É fácil defender a lei em abstrato. Difícil é encarar seus efeitos concretos sobre quem tenta empreender com poucos recursos. Difícil é admitir que boas intenções podem produzir resultados ruins se ignorarem incentivos e capacidades.
Volto àquela cena comum, quase banal, que se repete em silêncio pelo país. O empreendedor vai se adequar. Vai gastar dinheiro que não estava no plano. Vai atrasar o roadmap. Talvez sobreviva. Talvez não. O consumidor continuará protegido. O mercado, porém, perde um pouco de oxigênio.
A ironia final é esta. A LGPD foi criada para aumentar a confiança no ambiente digital. Para muitos pequenos negócios, ela fez o oposto. Criou receio. Criou silêncio. Criou desistência.
Proteção sem proporcionalidade vira barreira. Direito sem contexto vira obstáculo. Se quisermos um país que proteja seus cidadãos sem sufocar quem cria, precisamos encarar esse desconforto. Não com slogans, mas com ajustes reais.
Caso contrário, continuaremos celebrando a nobreza da intenção enquanto ignoramos o preço invisível que alguém, em algum lugar, está pagando às dez da noite, com o notebook fechado e a cabeça cheia de dúvidas.
0 comentário