LGPD para Startups: será que isso realmente importa?
Artigo atualizado em 28 de agosto de 2020
Texto enviado por Nelson Biagio Junior, fundador e CEO da startup Govern IT – Governança Corporativa
Em um mundo hiperconectado assistimos, no final da segunda década do Século XXI, um redescobrimento da privacidade como um direito fundamental a ser protegido. Prova disso é a eclosão global de leis que objetivam a preservação da privacidade do titular do dado pessoal e, para tanto, condicionam o tratamento de dados pessoais por pessoas jurídicas à observância de regras cada vez mais severas. Foi assim na União Européia com a aprovação da GDPR, em maio de 2018 e da LGPD no Brasil, em agosto do mesmo ano.
A pergunta que fiz no título desse artigo pode parecer um contrassenso à primeira vista, causando um certo estranhamento para muitos. Afinal, é de praxe associar as startups a um ecossistema de trabalho em que estão presentes o trabalho colaborativo e no qual muitos paradigmas organizacionais são quebrados e novos modelos de gestão e formas de interação laboral são testados, muitos dos quais ainda não foram sequer normatizados. No entanto, mesmo pequenas as startups costumam trafegar milhares ou milhões de dados pessoais em sua operação.
As startups também costumam ser caracterizadas por sua escalabilidade by design, ou seja, desde o surgimento da ideia e durante toda sua operacionalização, seu objetivo básico e fundamental é expandir ao máximo o número de clientes, usuários e/ou faturamento, de forma acelerada, sem precisar aumentar seus custos na mesma proporção. No entanto, é preciso ter certa cautela ao estimular a cultura da escalabilidade a qualquer custo, pois uma empresa que se desenvolve sem observar rigorosamente todos os preceitos legais pode por em risco sua própria sobrevivência.
O que é a LGPD?
Certamente você já ouviu falar da LGPDP ou Lei Geral de Proteção de Dados Pessoais, mas você sabe exatamente o impacto que ela trará para o seu dia-a-dia? É exatamente isso que veremos a seguir.
Inspirada pela GPDR – a lei europeia de proteção de dados pessoais – a Lei 13.709/2018), sancionada pelo Presidente Temer em 14 de agosto de 2018, altera o Marco Civil da Internet e estabelece regras e diretrizes com o objetivo específico de regulamentar como os dados dos cidadãos brasileiros podem ser coletados e tratados, tanto pelas empresas quanto pelo poder público.
Na prática, a LGPDP concede a todos nós, usuários, o controle completo de como nossas informações pessoais serão coletadas, tratadas e armazenadas. Sua premissa principal é garantir que o Governo, seja na esfera Federal, Estadual ou Municipal, bem como as empresas – e consequentemente as startups, deverão obter o explícito consentimento do titular, lembrando que o consentimento é apenas uma das 10 bases legais previstas na Lei e para todos os efeitos, considera-se dado pessoal qualquer informação relacionada a pessoa, como nome, endereço, e-mail, idade, estado civil, situação patrimonial, orientação sexual ou religiosa, dentre outras informações.
Os principais novos direitos assegurados pela LGPDP são:
- O usuário poderá acessar com maior facilidade as informações sobre o tratamento de seus dados. As organizações deverão informar com clareza a finalidade específica da coleta e tratamento, além de como a coleta é feita e por quanto tempo estes dados serão armazenados;
- O usuário terá o direito de pedir para ser anonimizado, ou até mesmo bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a lei;
- O usuário poderá requisitar a portabilidade dos dados de um fornecedor de um serviço ou produto para outro, resguardando-se, obviamente, os segredos comercial e industrial por parte da empresa;
- O usuário terá o direito de revogar o consentimento de suas informações de forma gratuita e facilitada;
- O usuário poderá, via de regra, requisitar para a empresa eliminar seus dados pessoais mesmo que antes tenha consentido o seu uso;
- O usuário deverá sempre ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
- Os dados sensíveis (origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; orientação sexual; dados genéticos ou biomédicos) terão tratamento diferenciado, de acordo com a LGPD;
No uso de dados de crianças e adolescentes (menores de 18 anos), a startup deverá obter u, consentimento específico dado por um dos pais ou pelo responsável legal. Na área da saúde, o que afetará diretamente as healthtechs, as precauções a serem tomadas são ainda mais rígidas pois os dados não devem a princípio ser compartilhados com terceiros (a LGPD permite que os dados sejam compartilhados entre o plano de saúde e o hospital ou entre um hospital e uma clínica de fisioterapia, por exemplo), exceto em portabilidade, e, sempre que possível, deverão ser anonimizados ou pseudoanonimizados, ou seja, não deve permitir a identificação do titular das informações.
A Terceirização dos Serviços
Outra situação bastante comum em startups é a terceirização de serviços, a qual deve ser dada, a partir de agora, uma atenção especial, tendo em vista que o compartilhamento dos dados pessoais com terceiros, sejam prestadores de serviço pessoas físicas ou jurídicas, é de responsabilidade do Controlador- startup.
Nestes casos, a LGPD estabelece expressamente que a responsabilidade pela proteção e processamento de dados deve envolver tanto o controlador quanto o operador, isto é, há uma responsabilidade solidária entre a empresa contratante e o terceiro contratado. Portanto, o recebedor de serviços e a empresa de terceirização devem adotar medidas em conjunto para garantir a segurança e a proteção dos dados.
Todos os contratos e termos aditivos de serviços terceirizados deverão ser sempre cuidadosamente elaborados para estabelecer as responsabilidades de cada parte – tomadora de serviços e empresa terceirizada – visando assim melhorar o gerenciamento da proteção de dados por todas as partes, mitigando sua responsabilidade perante a LGPD.
Privacy by Design
Prevista originalmente para entrar em vigor em agosto de 2020, devido à pandemia do Corona vírus a Medida Provisória n. 959/2020, em 29 de abril de 2020, em seu artigo 4º, alterou a vigência da LGPD para 3 de maio de 2021 e a Lei 14010-20 adiou suas penalidades para 01 de agosto de 2021. Mesmo assim devemos sempre considerar que o processo de adequação à lei não é superficial e exige mudanças profundas, dentre as quais destaco:
- o entendimento completo e minucioso do modelo de negócio da startup,
- a mudança de mentalidade de CEOs e Fundadores (quanto menos dados pessoais coletados, melhor para o titular do dado e para a empresa);
- o treinamento e conscientização de todos os funcionários da startup sobre a LGPD;
- a elaboração e implementação de um plano de ação a ser posto em prática caso haja vazamentos de dados pessoais;
- a nomeação de um DPO, profissional que tem a responsabilidade de orientar os contratados da startup a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- a possibilidade de o titular do dado exercer seus direitos, como direito de revogação de consentimento, direito à portabilidade, direito à correção dos dados tratados;
- A revisão e implementação de processos que garantam um forte sistema de governança corporativa e governança de TI adequadas aos termos da LGPD;
Para as startups que iniciam seu negócio com poucos recursos a recomendação é a implementação das regras da LGPD desde a criação de seu modelo de negócios, desenvolvimento da plataforma e política comercial. Damos a isso o nome de Privacy by Design ou privacidade desde sua concepção, em tradução livre.
A idéia do Privacy by Design é propiciar a adequada proteção dos direitos do titular do dado pessoal, em conformidade com as exigências da nova lei, desde o princípio, adotando-se assim medidas de caráter preventivo e a implementação de um plano de ação pensado na redução dos danos causados por um eventual vazamento de dados pessoais.
Por outro lado, o Privacy by Design visa também proteger a empresa, pois tende a teoricamente reduzir o custo de adequação à LGPD, pois em eventual caso de vazamento de dados, a sanção administrativa determinada pela Agência Nacional de Proteção de Dados pode ser menor se houver evidências de que o negócio lançado foi pensado desde seu início em preservar a privacidade do titular do dado. Deste modo, o Privacy by Design é o meio mais adequados para startups reduzirem custos relacionados com o compliance à LGPD.
Conformidade com LGPD
Por fim, encerramos esse artigo com 9 recomendações sobre o que fazer na prática para adequar sua startup à LGPD. Vamos a elas:
- Governança Corporativa e de TI: Se a Privacy by Design ajuda a reduzir os custos de implantação da LGPD, ter um bom e robusto sistema de Governança Corporativa e de TI não é menos importante. Uma boa governança – além de facilitar a captação de investimentos e a relação com os investidores – trás benefícios como uma maior segurança digital; uma incidência menor de erros e retrabalhos nas rotinas diárias; um maior alinhamento da TI com o negócio, dentre outras;
- Medidas Técnicas e Administrativas: É fundamental que as startups adotem medidas técnicas e administrativas para garantir a proteção dos dados pessoais que estejam em sua guarda. Busque garantir tanto a segurança da informação por meio de protocolos de segurança, servidores, sistemas e recursos, como também limitar internamente quem terá acesso aos dados pessoais e como a empresa irá controlar esse fluxo.
- Termos de Uso e Políticas de Privacidade: é necessário que sua startup tenha termos de uso e políticas de privacidades em conformidade com a LGPD, declarando de maneira clara e direta quais são os direitos dos titulares, quais dados serão solicitados, para quais finalidades, de acordo com qual base legal e se haverá compartilhamento com terceiros e informando quem terá contato com essas informações.
- Termo de Consentimento Específico: Caso o seu negócio trate dados pessoais sensíveis ou de crianças é obrigatório elaborar um documento chamado “Termo de Consentimento Específico”, no qual o titular ou seu representante legal dará a autorização individualizada para que o tratamento daquele dado seja realizado.
- Políticas Internas e Conscientização da Equipe: boa parte das startups que desejam escalar seu negócio rapidamente são compostas por outras pessoas além de seus sócios naturais. Deste modo, é fundamental conscientizar todos os membros que tenham acesso – mesmo que eventual – a qualquer tipo de dados pessoais sobre o dever de respeitarem a LGPD e principalmente as consequências do descumprimento do mandamento legal.
- Eleger um Encarregado (DPO) As startups, bem como qualquer outra empresa, devem indicar uma pessoa responsável para atuar como ponto focal da empresa em relação aos titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
- Mapeamento do Fluxo de Dados Pessoais É também muito importante que se faça um mapeamento dos dados pessoais, desde o momento em que esses dados são coletados e entram na empresa até o momento em que são excluídos definitivamente, a fim de verificar se o tratamento está sendo adequado ou se porventura existem falhas e pontos de atenção que necessitem ser corrigidos;
- Relatório de Impacto: se porventura sua startup realize tratamento de dados pessoais que possa restringir a liberdades dos titulares, é necessário elaborar um documento chamado “relatório de impacto”. Esse documento deve conter a descrição detalhada dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais de seus titulares, bem como as eventuais medidas, salvaguardas e os mecanismos de mitigação de risco.
- Canais de Comunicação: é indispensável que sua startup tenha canais de comunicação fáceis e acessíveis, para esclarecer as dúvidas dos titulares sempre que necessário e atender às suas solicitações.
Por fim, deve-se levar em consideração que uma startup que garanta os direitos de seus clientes, no atual e competitivo mercado de investimentos anjos e aceleração de negócios, terá naturalmente a preferência em relação à captação de clientes e investimentos, e ao possível fechamento de contratos com empresas maiores (por força da própria Lei, uma empresa só pode ser considerada em conformidade com a LGPD quando todos os seus fornecedores e prestadores de serviço também estiverem). Isso por si só denota se um evidente diferencial competitivo.
Assim é indispensável e muito importante que as startups – atuais e futuras – não considerem a LGPD como um obstáculo jurídico ou um entrave ao seu crescimento, mas sim como uma boa ferramenta que visa garantir a perpetuação do negócio e dispõe um bom diferencial de mercado àqueles que fizerem sua lição de casa.
Quem sou eu?
Nelson Biagio Junior é Bacharel em Direito pela Universidade Presbiteriana Mackenzie, com 26 anos de experiência na área de TI, atua como líder técnico e gerente de projetos com foco em governo, instituições financeiras e projetos de segurança digital no Brasil e exterior, com passagens por empresas como IBM, Microsoft e KPMG. Atualmente é o fundador e CEO da startup Govern IT – Governança Corporativa (https://govern.com.br) e Diretor de Projetos da ABRASECI – Associação Brasileira de Segurança Cibernética (https://abraseci.org/).