Este é o segundo artigo da nossa série LGPD na Prática que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados. Neste texto, focaremos nos principais pontos que sua startup deve se preocupar relacionados à privacidade e proteção de dados no momento da captação de recursos financeiros para escalar o seu negócio.
No primeiro texto da série LGPD na Prática, explicamos os primeiros passos para o processo de adequação à LGPD, as fases do projeto de implementação dos procedimentos e processos visando a conformidade com a lei, trazendo também questões pontuais importantes para Startups.
A Sociedade da Informação faz com que seja cada vez mais essencial todos os tipos de negócios estarem conectados. Isto se faz ainda mais necessário no cenário das Startups, em que se exige constante inovação tecnológica e se está sempre em busca de ideias disruptivas que possam revolucionar mercados e modelos de negócios.
As startups, que tem modelos de negócios agressivos e de alto risco, precisam equilibrar os riscos e o ímpeto de disrupção com boas práticas que possam garantir para seus clientes, usuários e, principalmente, potenciais investidores, que o seu modelo de negócio é rentável. Um dos principais pontos que definem a rentabilidade de uma Startup no meio digital é o cuidado com a proteção de dados[1].
Os dados são uma das maiores riquezas disponíveis às empresas que atuam no meio digital, sendo a base do modelo de negócio das maiores empresas do mundo virtual: Google, Facebook, Amazon. Todas essas construíram seus impérios com base no tratamento dos dados de seus consumidores e usuários.
Novas tecnologias, como a Internet das Coisas (IoT), e a constante conexão de apps com toda espécie de dispositivos, de geladeiras inteligentes à bombas de insulina automáticas, aumentam exponencialmente a quantidade de dados disponíveis para serem tratados, na chamada Big Data (cujo tratamento é baseado nos chamados 3 Vs: Velocidade, Volume e Variedade).
Porém, o potencial trazido com a coleta e o tratamento de grandes volumes de dados também traz grandes riscos, que devem ser analisados cuidadosamente pelas Startups e que com certeza serão avaliados por possíveis investidores antes de confiar seus recursos na empresa.
As Startups que coletam e processam dados tem a característica de, em sua maioria, serem empresas de menor porte. No entanto, se analisarmos a quantidade de dados tratados por essas startups, seria o equivalente ao volume de grandes empresas, estando, portanto, vulneráveis a ciberataques. Um ataque bem sucedido ou um vazamento de dados pode ser crítico, causando até o encerramento das atividades da Startup, pois além dos gastos jurídicos e com indenizações, o custo da mancha na reputação e da perda de credibilidade com os clientes é difícil de calcular, especialmente para empresas que têm o tratamento de dados como base no seu modelo de negócio.
Assim, elencamos aqui alguns dos principais pontos relevantes para a construção de uma cultura de Privacidade e Proteção de Dados na sua Startup, para possibilitar que cuidados preventivos protejam seu negócio de danos futuros, especialmente após a entrada em vigor da Lei Geral de Proteção de Dados.
Neste artigo, serão tratados os temas:
- Privacy by design x Privacy by default em Startups
- Security by design no desenvolvimento de aplicações por Startups
- A importância do Compliance by design para soluções inovadoras de Startups
- Proteção de dados e o impacto na Captação de Investimentos e Acesso a capital pelas Startups
- Due diligence em Privacidade e Proteção de Dados para captação de recursos financeiros
LGPD na Prática para Startups: Privacy by design x Privacy by default
O termo Privacy by design, ou privacidade desde a concepção, é uma abordagem da Engenharia de Sistemas na qual toda a construção e implementação de um sistema, software ou serviço é baseada na preservação da privacidade.
O conceito, desenvolvido na década de 1990 pela responsável pelo Gabinete de Informação e Privacidade do estado de Ontário, no Canadá, não significa somente uma noção abstrata de que a privacidade será levada em conta durante todo o período de implementação do sistema, mas também está baseada em 7 princípios sólidos, quais sejam:
- Preventivo não reativo:
A contemplação de requisitos necessários para evitar incidentes de privacidade de dados ocorre desde a concepção, desenho e implementação do projeto, e não posteriormente de forma reativa a problemas futuros.
- Privacidade como configuração padrão:
As configurações iniciais do produto já são setadas com a adequada privacidade no momento em que ele é entregue ao usuário.
- Privacidade embutida no design da solução:
Privacidade incorporada a modelos de negócio e arquitetura de sistemas, aplicações e bancos de dados.
- Full Functionality (no zero sum):
Também chamado de abordagem win-win, significa que os requisitos de negócio devem ser igualmente balanceados com os requisitos de proteção de dados.
- End-to-End Security:
Todo o ciclo de vida dos dados coletados está sujeito a medidas de segurança e privacidade. Da coleta, armazenamento, tratamento, e uso até o descarte dos dados, todo o processo é seguro e mantém os dados seguros.
- Visibilidade e transparência:
O cliente ou usuário deve ter uma noção clara de como o produto trata seus dados pessoais, e as informações referentes ao tratamento devem ser de fácil acesso. Neste ponto entra uma boa elaboração da Política de Privacidade de Dados da empresa.
- Respeito pelo cliente – Abordagem user-centric:
Este princípio, auto-explicativo, é de grande importância para qualquer empresa que pretende atuar com o tratamento de dados. O conforto e a proteção dos direitos dos usuários e clientes deve estar em primeiro lugar.
Este último princípio, que recebe a atenção de um capítulo inteiro no GDPR (General Data Protection Regulation, a regulação europeia que inspirou a criação da LGPD), pode ser colocado em prática com o cuidado com algumas questões relacionadas à privacidade em seu produto e sistema, tais como:
→ Natureza dos dados coletados ou tratados
→ Consentimento do cliente para o tratamento
→ A transparência com o cliente sobre o tratamento e o compartilhamento de seus dados pessoais
→ Cuidado com o viés dos algoritmos utilizados para a definição de público-alvo para campanhas de marketing e oferta de produtos personalizada
→ Controle de acesso aos dados
→ Tracking do uso e do acesso às informações (logs para monitoramento de acesso)
→ Proteção contra vazamento ou ataques
Outro princípio de grande relevância para a adequação de um produto à proteção de dados é o chamado Privacy by Default. Este princípio, que é uma extensão do segundo princípio que integra o Privacy by Design, garante que o serviço ou produto, ao entrar em contato com o cliente ou consumidor, já o fará nas configurações que protejam a privacidade deste.
Isto significa, então, que não basta oferecer ao usuário ou cliente opções que protejam sua privacidade e colocar a encargo deste ir atrás de modificar as configurações do produto para ativar essas opções.
Um exemplo seria na coleta de cookies: os sites devem, primeiramente, oferecer o serviço de mínima coleta de cookies necessária, somente passando para configurações que coletem mais dados para marketing, estatísticas etc. após o consentimento expresso do usuário. O princípio do Privacy by Default, bem como este exemplo específico dos cookies, também se fazem presentes na Lei Geral de Proteção de Dados [2].
O auxílio de um especialista jurídico no tema pode trazer grandes vantagens para quem está iniciando ou quem já iniciou o desenvolvimento de um projeto que envolva a coleta, processamento e tratamento de dados pessoais de usuários ou colaboradores.
LGPD na Prática para Startups: Security by design no desenvolvimento de aplicações
Assim como os princípios anteriormente citados de Privacy by Design e Privacy by Default, as Startups devem estar muito ligadas e preparadas para implementar o princípio do Security by Design. Este princípio, cuja implementação protege tanto os usuários e clientes quanto a própria Startup e seus funcionários, é baseado na noção de que o design do produto, serviço ou software é desenvolvido em cima de uma arquitetura de segurança no sistema.
Isto significa que o design será guiado pelos pilares de segurança da informação:
→ Confidencialidade: o acesso aos dados só é permitido àqueles cujo acesso é permitido
→ Integridade: os dados não podem ser modificados por usuários não autorizados
→ Disponibilidade: os dados estão disponíveis para aqueles que são autorizados no momento em que estes precisarem
Security by Design significa que, desde o desenvolvimento do código que vai possibilitar a existência do produto ou da plataforma disponíveis para o cliente, este código será criado considerando a mitigação de riscos referentes à ciberataques, como por exemplo:
- Minimizar a superfície de ataque
Mantenha o acesso à recursos que possam servir de superfície de ataque somente com o pessoal autorizado, minimizando o acesso aos recursos que possam oferecer riscos.
- Estabelecer padrões seguros
Assim como com o Privacy by Default, mantenha a segurança “by default”, de modo que a experiência mais segura para o utilizador do sistema seja já o padrão automático de uso.
- Siga o princípio dos privilégios mínimos
Uma visão minimalista dos acessos dados às contas que irão acessar o sistema aumenta a segurança como um todo. Cada conta deve ter o mínimo número de acessos necessário para exercer suas funções.
- Siga o princípio da defesa em profundidade
É importante tentar proteger todos os pontos de acesso, buscando não somente impedir acessos indesejados mas também mitigar danos decorrentes destes acessos.
- Falhe com segurança
Aplicações costumam falhar em algum momento, então é importante antecipar as possíveis falhas e confirmar que estas não comprometerão a segurança de todo o sistema.
- Patch Management (gerenciamento de correções)
É importante constantemente buscar atualizar o sistema para corrigir possíveis falhas.
O desenvolvimento levando em consideração o Security by Design segue a Lei Geral de Proteção de Dados, que em seu artigo 6º apresenta os princípios da segurança e da prevenção:
“Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;”
LGPD na Prática: A importância do Compliance by design para soluções inovadoras de Startups
A segurança de um sistema, porém, não depende somente de sua arquitetura e de seu design, mas é de extrema importância que seus operadores ajam de maneira responsável e segura. O jargão da área de segurança da informação de que “qualquer sistema só é tão forte quanto seu elo mais fraco” é aplicável para qualquer empresa que lide com dados em uma sociedade hiperconectada, especialmente para Startups.
Aí entra a importância do Compliance by Design. As Startups costumam ser empresas com forte identidade e com muitos valores compartilhados por seus colaboradores, que definem a cultura da empresa. Quando o modelo de negócios da Startup depende da coleta e do tratamento de dados, nada mais necessário do que incorporar o respeito, o cuidado e a responsabilidade no tratamento dos dados dentro da cultura da Startup.
O Compliance Digital para proteção de dados é essencial na LGPD, que afirma em seu artigo 50 a importância não somente de sistemas seguros, mas de boas práticas e procedimentos da própria equipe da empresa:
“Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.”
Novamente, assim como em todos os pontos anteriores, se mostra mais proveitoso para a Startup desenvolver o Compliance Digital para Proteção de Dados já desde a concepção do modelo de negócio e da equipe, sendo cada vez mais complexo e trabalhoso integrar estes princípios na cultura de uma equipe já acostumada com más-práticas. A comprovação de esforços para manter uma cultura de integridade em relação aos dados é importante também para proteger a empresa no caso de qualquer possível incidente, sendo as medidas tomadas neste sentido ponderadas na hora da aplicação de sanções sobre a empresa.
É importante que a equipe inteira não somente execute regras baseadas na proteção de dados, mas também compreenda como o cuidado com os dados representa cuidado com o cliente, e como más-práticas podem levar não somente à multas, mas à manchas na imagem e reputação da empresa frente à parceiros, investidores e consumidores, as quais não é possível calcular o impacto negativo e reversão.
Assim, ao longo de todo o processo de implementação da LGPD na Startup, desde sua criação, é importante que toda a equipe compreenda o valor das boas-práticas de privacidade e proteção de dados e as vejam como parte da cultura da empresa, parte do que é a identidade e o diferencial da Startup em um mercado que perde cada vez mais a confiança dos consumidores com constantes escândalos. Desta forma, sugere-se a assessoria jurídica preventiva para auxiliar empresas e startups no desenvolvimento de seus programas internos de Compliance com objetivo de mitigar riscos inerentes ao seu negócio.
LGPD para Startups: Proteção de dados e o impacto na Captação de Investimentos e Acesso a capital
Um dos principais desafios para as Startups é o acesso a capital. A captação de recursos, seja ela por Venture Capital, investimento anjo ou Equity Crowdfunding, define o sucesso futuro de uma Startup. Em um país que, como o Brasil, o mercado das Startups é crescente, a competição pelo investimento é acirrada e exige da empresa que ela comprove a rentabilidade de seu modelo de negócio, apresentando bons resultados e, principalmente, uma boa estrutura que permita a escalabilidade do modelo de negócio. É essencial que a empresa demonstre poder crescer em alta velocidade sem aumentar drasticamente seus custos. E neste ponto, a adequação à LGPD é insubstituível [3].
Para que a Startup que lida com um volume pequeno ou razoável de dados possa crescer, ela precisa demonstrar ser capaz de lidar com um volume maior de dados, proveniente da explosão no número de clientes e usuários que se espera de uma Startup após a captação de recursos. Isto significa ter instaurada uma cultura de proteção de dados e preparada uma estrutura que certifique que o tratamento dos dados pessoais dos consumidores, funcionários, parceiros e terceiros esteja de acordo com a LGPD.
Investidores esperam que o capital investido possa ser revertido em crescimento da empresa e do investimento no produto, em sua qualidade e no seu alcance ao público. Não esperam que o valor investido reverta em multas, indenizações ou condenações na justiça, nem em valores altos pagos para tentar adequar a empresa enquanto suas operações já estão em crescimento, uma vez que é muito mais caro e complexo instaurar procedimentos de proteção de dados com “o bonde andando”.
Assim, em um país em que há um número crescente de Startups, mas também um número crescente de investidores querendo contribuir para o crescimento de um possível novo unicórnio, demonstrar que a sua Startup já está bem estruturada e preparada para a LGPD é um diferencial competitivo muito importante para obter sucesso com a captação de recursos.
LGPD na Prática: Due diligence em Privacidade e Proteção de Dados para captação de recursos financeiros
Due Diligence, ou Diligência Prévia, é um procedimento muito valorizado em meio a um programa de Compliance, sendo extremamente importante para reduzir incertezas e riscos sobre negócios.
O processo de Due Diligence consiste em uma investigação e auditoria sobre todo o funcionamento de uma empresa para a criação de uma compreensão geral de seus ativos e passivos, e é de grande importância para as Startups que buscam captação de recursos.
O processo costuma antecipar transações envolvendo compra e venda de produtos ou serviços ou transações envolvendo fusões, aquisições e parcerias de entidades corporativas, buscando demonstrar para as partes se o negócio vale a pena, quais os custos e quais os benefícios da transação.
A investigação dos documentos, banco de dados, processos e pessoal da sua Startup pode dar aos possíveis investidores uma ideia completa sobre o que esperar de sua empresa, influenciando muito a decisão de aportar ou não recursos. Neste momento, todos os seus ativos vão ficar claros para o investidor, mas o mesmo ocorre com seus passivos, sendo que más estruturas de tratamento de dados consistem em um grande passivo, que se potencializa com a entrada em vigência da LGPD.
Neste sentido, a ausência de governança e de compliance específicos para a proteção de dados é um grande alerta para o investidor para problemas legais e de imagem futuros, afastando, potencialmente, os recursos da empresa.
A Due Diligence é também uma oportunidade para a própria Startup avaliar sua situação frente ao mercado, possibilitando que se antecipem problemas e que se construam soluções prévias.
Enquanto processos tradicionais de Due Diligence costumam estudar demonstrações financeiras, contábeis, trabalhistas, ambientais, de contingências jurídicas e societárias, quando se trata de Startups e de empresas que têm a coleta e o tratamento de dados como parte integrante de seu modelo de negócios, surge a Due Diligence focado especificamente na Proteção de Dados.
Importante notar que este Due Diligence, assim como muitas das práticas de Compliance, vê nas leis (GDPR e LGPD, por exemplo) a base mínima de proteção. O mínimo que o investidor espera da Startup é a sua adequação à lei, sendo sempre positivas medidas de proteção que vão além do exigido na legislação.
Neste ponto, voltamos a focar no design de seu negócio. O Privacy by Design e o Security by Design possibilitam que sua Startup vá além do básico na implementação da Privacidade e da Proteção de Dados, incluindo seus princípios na cultura da empresa. Isto tudo fica visível para o investidor em um processo de Due Diligence, e constitui um grande ativo para qualquer empresa que atue no meio digital, trazendo segurança jurídica, refletindo na reputação e boa imagem frente aos clientes, usuários e parceiros. É recomendável, para tanto, que a startup busque uma consultoria jurídica especializada no tema para obter sucesso no processo de Due Diligence em Proteção de Dados Pessoais.
Referências – texto “Série LGPD na Prática: Privacidade e Proteção de Dados na captação de recursos financeiros por Startups“:
[1] Adaptado de A Startup Enxuta. Eric Ries. Lisboa: Leya 2012
[2] Adaptado de LGPD: Lei Geral de Proteção de Dados pessoais: manual de implementação. Viviane Nóbrega Maldonado (coord.). São Paulo: Thomson Reuters Brasil, 2019.
[3] Adaptado de Guia da Startup: Como Startups e empresas estabelecidas podem criar produtos Web Rentáveis. Joaquim Torres. Casa do Código, 2014.
Time BL Consultoria Digital – Direito Digital e Análise Regulatória
Este artigo “Série LGPD na Prática: Privacidade e Proteção de Dados na captação de recursos financeiros por Startups“ foi escrito Por Rodrigo Glasmeyer, Revisado por MSc. Graziela Brandão. Conheça o BL Consultoria Digital, acesse aqui!