A Lei Geral de Proteção de Dados Pessoais (lei 13.709/20), ou apenas "LGPD", sancionada em 14 de agosto de 2018 e que passou a vigorar a partir de 18 de setembro de 2020, sem dúvida representa um marco histórico na regulamentação sobre o tratamento de dados pessoais1 no país que avança desde 2010, quando houve a primeira consulta pública sobre o tema.
É verdade que a discussão não é nova e que outras tantas legislações esparsas, inclusive o Código de Defesa do Consumidor ("CDC"), a Lei de Acesso à Informação ("LAI") e o Marco Civil da Internet ("MCI") de certa forma já endereçavam a matéria, mas foi a partir da entrada em vigor da LGPD que a proteção de dados pessoais passou chamar ainda mais a atenção não apenas de juristas, mas do mercado como um todo.
Dentro deste contexto, em meados de maio de 2020, em decisão histórica o Supremo Tribunal Federal mudou seu entendimento ao indicar a proteção de dados pessoais como sendo um direito autônomo e fundamental, acendendo um verdadeiro holofote para o tema.
Essa mudança de percepção não apenas jurídica, como também cultural e social tem feito com que aqueles que de alguma forma tratam dados pessoais revisitem suas rotinas.
Dizer que os "dados são o novo petróleo" já não soa como novidade, assim como o fato das pessoas naturais, titulares dos dados, estarem cada vez mais atentas e preocupadas com o monitoramento constante de seus atos, com o modo que suas personalidades passaram a ser pré-determinadas por meio de inteligência artificial ou mesmo com a forma que estão sendo influenciadas pelos algoritmos.
Alguns insistem – é verdade – em negar essa nova realidade, assumindo riscos diversos que vão muito além do pagamento de multas. Outros, por sua vez, identificam o momento como sendo uma janela de oportunidades para entender melhor seus processos internos, seus produtos e serviços e ainda melhorar sua imagem perante a sociedade (o que de quebra acaba por agregar valor ao próprio negócio).
Em uma economia de dados, muitas organizações monetizam suas operações por meio do tratamento e compartilhamento de informações de seus clientes/usuários. Esse modelo de negócio cada vez mais comum está presente sobretudo no universo das Startups2, cujo texto-base do Marco Legal foi aprovado e depende da aprovação do Congresso Nacional3, e nele estar em conformidade com as regras de privacidade e Proteção de dados pode ser determinante para a sucesso da longa jornada de crescimento dessas organizações.
A experiência mostra que durante esse processo de amadurecimento a adequação às normas de tratamento de dados será questionada por algum investidor ou pelos próprios clientes/usuários, especialmente no gap existente entre os estágios Seed e Series A, quando é otimizada a base de usuários e são criadas novas ofertas de produtos e serviços, visando dimensionar o produto em diferentes mercados.
Segundo estudo publicado pelo Distrito Dataminer4, o qual analisou como as startups brasileiras estão evoluindo dentro do funil de investimento, 75% das organizações que tentam sair do estágio de semente não atingem seus objetivos por razões diversas, muitas vezes estruturais. O corte das startups que levantam um Series B é ainda maior, 90%, já o número de startups que conseguiram chegar em um Series E são apenas 0,8% do total.
Estudos mostram ainda que não basta ter um produto minimamente viável, "Minimum Viable Product" ("MVP"), um bom plano de negócio ou eficiência operacional para que uma startup seja atrativa aos olhos dos investidores. Um grande erro de muitos empreendedores é esquecer que o foco deve ser sempre o cliente e quando se parte dessa premissa, falhar no quesito tratamento de seus dados - sem dúvida - é minar o crescimento da organização.
Ideias inovadores que têm qualquer forma de tratamento de dados como parte de seu modelo de negócios precisam ser confiáveis. Portanto, é desejável que desde suas concepções elas estejam acompanhadas do reconhecimento da necessidade de se estar em conformidade com as normas de privacidade e proteção de dados, bem como da adoção de medidas que demonstrem que esse direito fundamental dos titulares é respeitado.
Neste contexto, é desejável a aplicação das técnicas de privacy by desing e boas práticas de segurança e de governança, conforme inclusive preconiza o art. 46 da LGPD, ao indicar em seu texto que "Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.".
Ademais, se mostra imprescindível que startups enquadradas como agentes de tratamento se atentem a questões como a necessidade de ter no time um(a) encarregado, ou Data Protection Officer ("DPO"), o qual não apenas atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados ("ANPD"), mas de modo geral será o responsável pela elaboração e implementação de um programa de adequação, fazendo o alinhamento de expectativas com a administração da organização, auxiliando o processo de planejamento e mapeamento do fluxo de dados, assim como do inventário, até a elaboração do diagnóstico de tratamento e implementação propriamente dita do programa desenvolvido.
No desenvolvimento dessa jornada, como na fase de validação da proposta junto ao mercado, espera-se também que a organização possua minimamente bem definidas suas políticas de Privacidade e Proteção de Dados, de Verificação de Fornecedores, de Segurança de Informação (inclusive de respostas à incidentes), de Recursos Humanos e Treinamentos.
Essa obrigações legais e também de mercado são mais relevantes quando o agente de tratamento terá como base legal o legítimo interesse ou quando os dados tratados forem sensíveis, já que o desenvolvimento de um relatório de impacto à proteção de dados pessoais5, nos termos do parágrafo 3º do art. 10 e 38 da LGPD, será provavelmente cobrado.
Feitas essas breves considerações sem qualquer pretensão de se esgotar o tema, tendo a privacidade e a proteção de dados pessoais assumido relevante papel na sociedade, respeitar esse direito fundamental se mostra primordial para que de fato o empreendedorismo inovador seja um vetor de desenvolvimento econômico, social e ambiental, conforme diretriz disposta no Marco Civil das Startups.
Espera-se que essa mudança cultural seja sedimentada com o passar do tempo, sendo certo que as startups que estiverem com olhar para esse fenômeno estarão em vantagem competitiva e certamente na mira de grandes e potenciais investidores.
1 Nos termos do art. 5, inc. X da LGPD, entende-se como tratamento de dados "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração."
2 PLC 249/2020.
3 Para fins desse artigo startups são entendidas como sendo “organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, nos exatos termos do art. 4ª do Projeto de Lei Complementar nº 249/2020.
4 Rodada de investimento: qual a chance de uma startup ir do Series A ao Series E?
5 A LGPD define em seu artigo 5, inc. XVII o relatório de impacto à proteção de dados pessoais como sendo a "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco." e deve conter, nos termos do parágrafo único do art. 38 da referida lei, "no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.