A LGPD e a dinâmica do ecossistema de startups

Por Mônica Villani*

É inegável que vivemos em uma sociedade movida a dados e que a automação se torna mais presente e cotidiana. Diante de toda a evolução tecnológica, novos modelos de negócios são criados, muitos deles em um ambiente de incerteza e pautados em um bem ou serviço inovador com alta escalabilidade. Trata-se das startups que, somado a todo esse contexto carente de regulação, geralmente opera com um mínimo possível de recursos até seu estágio de crescimento.

Dada a importância do fluxo de dados e informações pessoais para o exercício das atividades comerciais de forma livre e próspera – e sendo o adubo de muitas startups, a tutela da privacidade e da intimidade vem ganhando novos contornos, diante da preocupação em equilibrar esse desenvolvimento às liberdades pessoais – basta observar os mais recentes episódios de vazamento ou de uso indevido de dados pessoais publicamente noticiados.

Inspirada no Regulamento Geral sobre a Proteção de Dados – Regulamento (UE) 2016/679, também conhecido como GDPR, que entrou em vigor em maio de 2018 na União Europeia, a Lei Geral de Proteção de Dados Pessoais (a LGPD – Lei Federal nº. 13.709/2018) foi publicada no Brasil, com o propósito de tutelar a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento dos indivíduos.

A LGPD representa um grande passo no universo da privacidade e da proteção de dados pessoais no País, pois, ao contrário da Europa (que edita normas neste sentido há mais de 25 anos), o Brasil carecia de legislação específica sobre a matéria, contando com previsões esparsas na Constituição Federal e em leis como, por exemplo, o Código Civil, o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, a Lei do Acesso à Informação, dentre outras normas (que podem ser inclusive setoriais).

De forma sucinta, uma das principais regras da LGPD é a obrigação, por aqueles responsáveis pelos tratamentos de dados pessoais (que vai desde a recepção e a coleta até a guarda e a eliminação, sem deixar de lado a utilização propriamente dita dos dados), sendo o tomador da decisão ou seu mero executor, a realizar o enquadramento de cada uma destas operações em uma base legal, ou seja, em uma permissão trazida pela LGPD.

Outra das obrigações-chave da LGPD diz respeito à adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situação acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento considerado inadequado ou ilícito.

O descumprimento das disposições previstas na LGPD podem expor estes agentes – chamados de controladores e de operadores – às às sanções administrativas previstas na Lei – desde advertência à aplicação de multa de até 2% do faturamento, além da publicização da infração, do bloqueio e da eliminação dos dados pessoais a que se refere a infração – como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.

Com a necessidade de revisar todos os processos de tratamento e promover a adequação à LGPD, e a consequente implementação de um programa de governança para realizar todos os ajustes legais e organizacionais necessários, tem-se a percepção que os esforços necessários à conformidade da LGPD sejam demasiadamente pesados para uma startup.

E qual saída têm as startups, considerando a escassez de recursos para investir em uma solução tão robusta para se adequarem à LGPD?

A resposta pode estar em uma expressão estrangeira chamada “privacy by design”, que significa a privacidade desde a concepção. É um conceito importado da ciência de desenvolvimento de sistemas computacionais que visa a conformidade com a privacidade desde a criação, da idealização, e muito antes da implementação de um negócio – um cenário perfeito para as startups.

Segundo Ann Cavoukian, a quem essa expressão é atribuída, a privacidade desde a concepção é baseada em 7 princípios fundamentais, a saber:

(1) a postura pró-ativa e preventiva, e não reativa e corretiva;

(2) a preservação da privacidade do usuário como configuração padrão da ideia em desenvolvimento;

(3) a privacidade incorporada ao design, como a arquitetura e os modelos de negócio;

(4) a total funcionalidade, em uma soma positiva “ganha-ganha” dos interesses e objetivos esperados;

(5) a garantia de segurança de ponta a ponta, incorporando a proteção completa ao ciclo de vida das informações;

(6) a visibilidade e a transparência às partes interessadas, inclusive usuários e fornecedores; e

(7) o respeito pela privacidade do usuário, o que resulta em uma cultura de centralização do usuário durante a concepção da ideia.

A observância da privacidade desde a concepção certamente reduz os custos e os esforços de adequação de uma startup à LGPD, e estar preparado é fundamental para evitar surpresas desagradáveis, assim como é uma oportunidade de sair na frente no mercado e se diferenciar ainda mais. Quem souber aproveitar o momento, muito terá a ganhar com a LGPD.

*Mônica Villani (https://www.linkedin.com/in/mônica-villani/) é advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito empresarial e das startups, compliance e proteção de dados, com certificações EXIN PDPE® e ISFS®. Membro da Comissão de Direito Digital e Compliance da OAB de São Bernardo do Campo.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here