Por Marcos De Lucca Fonseca e Marcelo Miglio

A Lei Federal 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) está em plena vigência desde 18 de setembro de 2020, após 02 anos de vacatio legis[1]. Com o objetivo de adentrar na importância desta legislação, em especial para as Startups, explanaremos aspectos como a exclusividade (ou não) do Brasil em ter uma lei geral de proteção de dados pessoais, por que a minha Startup deve se adequar à esta nova realidade e, por fim, como devo proceder para estar adequado à LGPD.

Antes de adentrar no desenvolvimento do tema proposto, teceremos breves linhas sobre o que é o dado pessoal e a quem esta regulamentação se aplica. Segundo a LGPD, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável, e dados pessoais coletados no território brasileiro são entendidos como dados pessoais pertencentes a um titular de dados que se encontra no território brasileiro no momento da coleta. Logo, em apertada síntese, esta lei se aplica ao tratamento de dados pessoais, inclusive por meios digitais, realizados por uma pessoa singular ou jurídica de direito público ou privado.

Sendo assim, a LGPD se aplica a qualquer operação de processamento, independentemente dos meios, do país em que sua sede está localizada ou do país em que os dados estão localizados, desde que: a operação de processamento é realizada no território brasileiro; a atividade de processamento tem por objetivo a oferta ou o fornecimento de bens ou serviços ou o processamento de dados de indivíduos localizados no território nacional; ou os dados pessoais processados foram coletados no território brasileiro.

A LGPD é uma exclusividade do Brasil? Não, existem muitos países que possuem uma Lei Geral de Proteção de Dados Pessoais. Inclusive, a OCDE[2] inclui como um dos requisitos para que um país seja membro desta importante Organização Internacional, que ele tenha uma lei que proteja os dados pessoas de seus cidadãos. Aproximadamente 130[3] países possuem leis que tutelam este tema. Devido ao fato de a economia ser cada vez mais digitalizada, em especial após o chamado “Novo Normal”, as empresas, órgãos do Poder Público e inclusive os próprios indivíduos passaram a ser ainda mais demandantes dos serviços digitais - devido ao cenário de distanciamento social ocasionado pela Pandemia do Cornonavírus.

Por que as Startups devem se adequar? A imensa maioria das Startups utiliza os dados pessoais de forma intensiva, seja para vender os seus produtos, ou até mesmo utilizando-os como insumo para desenvolver os seus modelos de negócios. Desta forma, estas empresas devem tratar o tema da privacidade e proteção de dados pessoais em seus modelos de negócio de forma estratégica, seguindo as determinações da LGPD e, sendo o caso, do GDPR[4]. Parte das empresas estão aguardando para saber se a LGPD “vai pegar” devido ao fato da Autoridade Nacional de Proteção de Dados (ANPD)[5] ainda não ter sido implementada. Já outras justificam que, devido ao seu porte econômico, conseguiriam ter uma estratégia caso tenham um incidente de vazamento de dados – por exemplo.

Outro ponto é que muitas Startups acreditam que tendo apenas um NDA[6] com os seus empregados e terceirizados já bastaria para que ela esteja adequada às determinações da LGPD. Ora, vejamos que o problema não se resolve de forma tão simples como se parece.

De forma geral, as empresas decidem por alguns caminhos para evitar a adequação à LGPD. Existem aquelas que decidem por excluir a prestação de um serviço que poderia lhe trazer uma “dor de cabeça”, uma vez que para oferecê-lo a Startup deveria estar em conformidade com a LGPD, e o custo de adequação poderia ser superior aos ganhos econômicos que poderia ter - caso decidir por mantê-los em sua oferta de produtos. Já outras decidem por já incluir a conformidade à LGPD no seu processo de inovação e criação de novos produtos, garantindo desde a concepção a adequação à LGPD[7]. Ao escolher este caminho, a Startup deve analisar, com muita acuidade, fatores como a demanda por produtos que sejam aderentes à LGPD, além do fato dos seus clientes e parceiros, atuais e futuros, irão exigir que a empresa ofereça produtos e serviços que respeitem à LGPD. E este cenário já é cada vez mais uma realidade.

Outra possibilidade seria as empresas desenvolverem produtos que possam auxiliar outras Startups a se adequarem à LGPD. Desta forma, a empresa enxergaria a lei geral de proteção de dados como uma oportunidade, e não como uma ameaça variando, assim, o seu portfólio de produtos e serviços. Por consequência, poderiam ofertar soluções tecnológicas para outras empresas também estarem adequadas à esta nova realidade jurídico-regulatória do Brasil, ampliando seus modelos de negócios.

Por fim, ainda existem aquelas que decidem por descumprir a lei, mesmo que de forma parcial, achando que pode ser uma estratégia que possa lhe causar menor custo. Porém esta escolha faria sentindo somente em um cenário de baixa fiscalização e aplicação da legislação. No entanto, devido ao fato do Senado Federal[8] já ter aprovado a primeira diretoria da Autoridade Nacional de Proteção de Dados, tal decisão seria demasiadamente arriscada. Além disso, o Poder Judiciário já vem aplicando sanções em algumas empresas, por descumprimento[9]

Para as Startups que atuam no mercado B2B (Business to Business)[10], certamente existe uma demanda (ou se não existe ainda, muito em breve terá), bem como uma pressão para que toda a cadeia esteja adequada à LGPD. Vamos aos fatos. As grandes plataformas digitais já estão adequadas à LGPD, pois já iniciaram a sua adequação desde 2018, quando da entrada em vigor do GDPR. Com isto, elas exigem que as empresas, para ofertarem seus serviços, também devam estar adequadas.

Já para as Startups que atuam no mercado B2C (Business to Customer)[11], muito se engana aqueles que acham que não serão impactos – uma vez que poderiam concluir, erroneamente, que os consumidores finais não estejam preocupados com a sua privacidade e proteção de dados pessoais. Tal linha de pensamento poderia até concluir que os consumidores de agora, e ainda mais os do futuro próximo, estão preocupados tão somente com os preços e a qualidade dos serviços ofertados. No entanto, na medida em que os titulares dos dados pessoais (ou seja, os consumidores finais) tiverem cada vez mais acesso às informações sobre os seus direitos, certamente a proteção dos seus dados pessoais será uma variável de peso na decisão dos produtos e serviços que eles irão consumir. Na dúvida, basta olhar para o retrovisor e verificar que, quando o Código de Defesa do Consumidor[12] foi aprovado em 1990, este cenário era bem semelhante, e muitos empresários achavam que tal Lei não iria “pegar”. Mas, de acordo com uma pesquisa feita pelo Levantamento do Data Popular em parceria com o Idec, mais de 92% da população conhece o Código de Defesa do Consumidor[13].

Concluindo, então, como devemos proceder para adequar a minha Startup à esta nova realidade? Como não perder novas oportunidades de negócios, garantir os atuais e, consequentemente, diminuir meu risco e insegurança jurídica, num cenário da economia cada vez mais digitalizada? Para vencer estes desafios, o empresário deve entender que a LGPD é uma lei principiológica, pois não lista todos os cenários possíveis que ensejem o seu descumprimento. Além disso, a ANPD não tem apenas um papel sancionatório, mas terá um papel semelhante a uma Agência Reguladora, que deverá orientar empresas e indivíduos para o efetivo cumprimento e garantia dos direitos dos titulares dos dados pessoais. Mas certamente o ponto central do processo de adequação à LGPD, e que afeta diretamente as Startups, é justamente a falta de recursos humanos e financeiros para cumprirem a jornada da adequação. Devido ao aspecto principiológico da LGPD, ter uma equipe multidisciplinar à frente do processo de adequação à LGPD é uma condição salutar para lograr êxito nesse cumprimento. Por fim, a ausência de processos e procedimentos internos devidamente mapeados pode ser um desafio a ser superado pelas Startups.

Convidamos os(as) senhores(as) a conhecerem o “Programa de Privacidade e Proteção de Dados (PPPD)” do escritório MMiglio Advocacia de Alta Performance. O objetivo é implementar estratégias de governança nas empresas para a proteção de dados de acordo com as determinações da LGPD, realizando quando necessário a implantação de políticas, procedimentos e ferramentas de gestão para Proteção de Dados e Privacidade.

Os trabalhos serão elaborados em seis (6) fases, divididas em três (3) etapas: Avaliação, Adequação e Implantação. Entre em contato com o nosso time, e conheça maiores detalhes.

[1] Expressão latina que significa vacância da lei, correspondendo ao período entre a data da publicação de uma lei e o início de sua vigência.

[2] Fonte: http://www.oecd.org/sti/ieconomy/15590254.pdf

[3] Fonte: https://www.onetrust.com/

[4] General Data Protection Regulation (GDPR ou Regulamento Geral de Proteção de Dados) é a legislação da União Européia, que entrou em vigor em 2018.

[5] Órgão da administração pública federal, integrante da Presidência da República que, dentre outras atribuições, será responsável por fiscalizar a implementação da LGPD.

[6] Pela sigla em inglês, Non-Disclosure Agreement, ou seja, um “Acordo de Confidencialidade”

[7] É o chamado conceito de Privacy by Design

[8] https://www12.senado.leg.br/noticias/materias/2020/10/20/senado-confirma-primeira-diretoria-da-autoridade-nacional-de-protecao-de-dados/#conteudoPrincipal

[9] https://g1.globo.com/economia/noticia/2020/09/30/cyrela-e-multada-em-r-10-mil-por-infracao-a-lei-geral-de-protecao-de-dados.ghtml

[10] O significado de B2B se refere a duas empresas que fazem negócios como cliente e fornecedor

[11]B2C é a empresa que atua no mercado no qual o consumidor final é uma pessoa física

[12] Aprovado pela Lei Federal nº 8.078, de 11 de setembro de 1990

[13] Fonte https://idec.org.br/em-acao/em-foco/brasileiros-conhecem-cdc-e-seus-direitos-de-consumidor-mas-no-reclamam-de-forma-efetiva-mostra-pesquisa