A proteção de dados pessoais já é uma questão crítica para empresas de todos os tamanhos, sendo que empreendedores, investidores e startups devem estar plenamente conscientes desse desafio. Com a quantidade crescente de dados pessoais usados por empresas, tornou-se mais importante do que nunca garantir que o modelo de negócios possa de forma consistente entregar seu valor ao consumidor de forma responsável, cumprindo a legislação sobre proteção de dados.
Uma pesquisa recente da IAPP ilustra bem isso. Cerca de 68% dos consumidores entrevistados estão preocupados com sua privacidade, refletindo desconfiança sobre o uso feito desses dados pelas empresas. Já 80% dos entrevistados dizem que provavelmente encerrariam sua relação com uma empresa vítima de um vazamento de dados.
Além de outros indicadores interessantes, reforça-se a percepção de que proteção de dados, em sua faceta mais importante, é uma questão de confiança: entre a empresa e seu cliente, entre a empresa e seus parceiros, entre o indivíduo e o governo.
Leis e regulamentos? São vários em todo o mundo, desde o Regulamento Geral de Proteção de Dados (GDPR) na Europa, a CCPA na Califórnia, o PIPEDA no Canadá, a Lei de Proteção à Informação Pessoal na China, entre muitas outras. No Brasil, não é diferente com a Lei Geral de Proteção de Dados (LGPD) e certamente a lei fez muitas empresas se movimentarem para cumprir as novas regras.
Mas mais que preocupar-se com multas da Autoridade Nacional de Proteção de Dados (ANPD), é essencial entender como é possível cumprir com a legislação e ainda aumentar a confiança entre sua empresa e seus clientes, consumidores e parceiros para potencializar negócios. Quer entender como? Confira os primeiros passos nessa jornada em nosso artigo!
Proteção de Dados: como o ganho de confiança alavanca negócios?
Como mencionamos, a criação de modelos de governança em proteção de dados auxilia no estabelecimento de confiança e lealdade do cliente na operação, fundamentais para alcançar o sucesso a longo prazo. À medida que os clientes se tornam mais conscientes de seus direitos envolvendo dados pessoais, preferem lidar com empresas que priorizam a proteção de dados. A capacidade de usar esses dados de forma contínua, consistente e legítima depende da continuidade também dessa relação de confiança, permitindo a geração de valor a partir desses dados.
Um fator que não raramente é esquecido nessa discussão é talvez um dos mais importantes na vida do empreendedor: a capacidade de instrumentalizar parcerias com clientes e parceiros-chave para alavancar sua capacidade competitiva e, em consequência, – você adivinhou – captar investimento.
E tudo tem a ver com relacionamentos.
Para explicar: é comum que uma startup em início de operação, em que o volume de dados é pequeno e os riscos são talvez mais bem aceitos pela mentalidade de “bootstraping” dos gestores, prefira priorizar outras ações e ignorar (mesmo que temporariamente) medidas importantes para garantir a conformidade com regras de proteção de dados.
Vamos assumir que essa startup tem um grande interesse em atender grandes clientes, com empresas multinacionais no seu radar e até algumas provas de conceito em negociação que poderiam ser um gigantesco diferencial no sucesso da empresa. Ou ainda, se tiver sorte, a startup pode já ter até potenciais investidores interessados, que querem integrar o serviço ou produto da sua startup a um grupo econômico de grande porte.
Embora as startups possam inicialmente enfrentar riscos menores em relação à proteção de dados – de ser fiscalizado pela ANPD, de ser alvo de ações judiciais, de ter prejuízos à imagem ou à operação por um incidente de segurança – , uma empresa de grande porte terá riscos muito maiores.
Assim, é comum que essas empresas avaliem a startup investida em questões sobre proteção de dados, já que um problema pequeno hoje pode resultar amanhã em prejuízos de alta monta, quando o problema acontece em uma operação de escala mundial.
Em um cenário cada vez mais competitivo, investidores tendem a priorizar empresas que tenham um maior nível de governança e capacidade de lidarem com o ambiente corporativo e legal do Brasil, inclusive no que tange às leis sobre proteção de dados pessoais.
Não cumprir essas regulamentações pode tornar desafiador atrair investimentos e pode até resultar na perda de investimentos existentes. Esse risco é ainda mais considerável para as empresas e startups cujo modelo de negócio pressupõe a coleta e o tratamento de dados pessoais, seja para fins de geração de inteligência, marketing ou conversão de leads, seja para aprimoramento dos produtos e serviços oferecidos.
Alguns ganhos e oportunidades são:
- Proteção de Dados como Vantagem Competitiva: De acordo com outra pesquisa recente da gigante da tecnologia norte-americana CISCO, a proteção de dados é algo valorizado pelos consumidores. Nesse sentido, a proteção de dados se apresenta como uma vantagem competitiva, pois a maioria das empresas entrevistadas na pesquisa apontou que seus consumidores poderiam deixar de consumir caso a empresa não se preocupasse com a proteção de seus dados pessoais;
- Proteção de Dados para Inteligência Empresarial: Um dos principais passos em direção à conformidade é o mapeamento e inventário de atividades de processamento de dados pessoais e fornecedores, o que oferece à empresa a oportunidade de analisar seus próprios processos de maneira crítica, compreendendo seus fluxos de informação e dados. Uma pesquisa recente da empresa de hospedagem em nuvem Snowflake constatou que diversas empresas não têm conhecimento dos seus processos, o que prejudica seu crescimento no mundo digital;
- Proteção de Dados como Investimento: Investir em proteção traz ganhos financeiros diretos para empresas que decidem investir no assunto. O Estudo de Referência de Privacidade da CISCO – citado anteriormente – apontou que investir em proteção de dados pessoais traz ganhos diretos para a empresa, sendo que o retorno sobre o investimento (ROI) pode ser até sete vezes o valor investido. No Brasil, a situação também tem sido semelhante, sendo que empresas brasileiras já têm visto retorno significativo no investimento no tema;
- Proteção de Dados como ESG: Como tópico e tendência atuais, ESG – sigla que significa governança ambiental, social e corporativa – também envolve a proteção de dados pessoais, especificamente no que tange ao “G” de “Governança”. Nesse caso, a preocupação com o assunto está diretamente ligada à ideia de governança de dados pessoais e investir em proteção de dados pessoais é investir também em governança empresarial.
Violação da LGPD e impactos operacionais
De outro lado, a violação da LGPD pode trazer consequências desagradáveis. Apesar de alardeadas em discursos apocalípticos, devemos considerar primeiro os aspectos operacionais dessas consequências, pois neles residem os principais problemas da desconformidade para uma startup.
No aspecto operacional, a LGPD pode ter algum impacto na forma como uma empresa lida com dados e conduz operações diárias, pois pode exigir algumas mudanças na forma como os dados são tratados e como são explorados comercialmente. No entanto, o impacto potencial da não conformidade geralmente pode ser muito mais severo nos resultados contábeis e no crescimento da empresa, especialmente no longo prazo.
Tal impacto também pode ser sentido nas relações comerciais com clientes e fornecedores, uma vez que se tornou extremamente comum até mesmo acordos simples conterem cláusulas relacionadas à proteção de dados pessoais.
Isso decorre do fato de que lidar com empresas que não cumprem regulamentações de proteção de dados também pode ter um impacto direto em sua própria operação, seja na forma de uma multa aplicada a ambas as empresas por atividades compartilhadas de processamento de dados, danos à reputação ou até mesmo na incapacidade de usar dados de maneira eficaz.
Nesse sentido, ignorar a necessidade de conformidade pode colocar a empresa na posição de ou não realizar negócios com uma grande parcela do mercado, ou simplesmente dissimular a realidade da operação ao aceitar certas cláusulas que sabe que não pode cumprir. E os riscos associados a isso não devem ser ignorados.
Empresas que não cumprem os requisitos da LGPD podem enfrentar outras penalidades significativas, além das multas de até 2% da receita bruta da empresa no Brasil ou até 50 milhões de reais. As sanções mais preocupantes, nesse aspecto, passam então a ser aquelas que afetam diretamente o uso dos dados, como a ordem de cessar o processamento de certos tipos de dados ou até mesmo proibir tal operação por completo.
Vale lembrar que a atuação da ANPD não afasta a possibilidade de atuação de outros órgãos reguladores e conselhos profissionais. Assim, mesmo que uma sanção baseada na LGPD seja improvável, a violação de regras setoriais de proteção de dados pode ser investigada e punida também no âmbito do Direito do Consumidor (pelos PROCONs, por exemplo) e de regulações setoriais (pelo ANEEL, BACEN, CFM, ANS, entre outros), que podem criar também empecilhos à condução das atividades operacionais da startup em caso de desconformidade.
O que a empresa pode evitar cumprindo com a LGPD?
- Sanções Administrativas: A conformidade com a LGPD envolve impedir que as empresas se sujeitem a penalidades significativas, que serão impostas pela ANPD ou outros órgãos regulatórios. A autoridade já operacionalizou o seu processo de fiscalização e de aplicação de multas, bem como já possui alguns processos de investigação e fiscalização de empresas em curso;
- Problemas em Transações de Fusões e Aquisições: A Lei Geral de Proteção de Dados (LGPD) impactou transações de fusões e aquisições, afetando diretamente as atividades preliminares de avaliação e due diligence, bem como a implementação real desses acordos. A proteção de dados pessoais tornou-se uma questão para vendedores e compradores em processos de fusões e aquisições;
- Danos Reputacionais: Não cumprir essas diretrizes pode resultar não apenas em penalidades financeiras, mas também em publicidade negativa e perda de confiança do cliente. Como já destacado anteriormente, consumidores podem não se sentir confiantes para consumir produtos e serviços de empresas que rotineiramente violam a segurança dos seus dados pessoais;
- Processos Judiciais e Administrativos: A inadequação à LGPD, para além de sanções administrativas aplicadas pela ANPD, pode resultar em processos judiciais e administrativos. Essas ações podem ser movidas tanto por consumidores, associações de defesa de direitos desses consumidores, órgãos de fiscalização (como o Ministério Público) e até mesmo por sindicatos.
Vale esperar a lei “pegar”?
Em cerca de cinco anos desde a aprovação da LGPD, sendo que a lei apenas entrou em pleno vigor em agosto de 2021, a ANPD não chegou a aplicar muitas sanções administrativas por descumprimento da LGPD. Isso não significa, porém, que a lei é inofensiva.
O argumento mais comum para incentivar o cumprimento a LGPD (que não deixa de ser verdade) é que essa adesão à regulamentação é crucial para evitar multas substanciais por não conformidade.
As multas aplicadas recentemente pela ANPD à TeleKall, empresa que oferecia serviços de call center, que somaram R$ 14.400,00, de fato não assustam muito. Alguns aspectos preocupantes da decisão passam despercebidos, como o fato de a multa ter ficado no teto de 2% do faturamento bruto anual da empresa, e os critérios aplicados para cálculo da multa terem sido os mais gravosos possíveis. Ainda assim, combinado com a probabilidade efetiva de que a startup seja fiscalizada diante das limitações da ANPD, que parece sempre ser baixa, o valor das multas aplicadas até o momento geralmente afasta preocupações sobre sanções administrativas.
No entanto, se as multas não assustam pelo valor absoluto, a discussão muda quando começamos a pensar em ações judiciais relacionadas a cumprimento de direitos dos titulares, vazamentos de dados e temas relacionados.
As indenizações já concedidas pelo Judiciário a consumidores que entraram com ações por descumprimento da LGPD, têm sido razoavelmente racionais e tem tendido a condenações mais baixas. Então qual a preocupação? Custos.
Os custos associados a gastos inesperados com a adequação dos processos internos da empresa em razão da ação judicial, bem como os custos relacionados a esse tipo de processo judicial, não devem ser ignorados. Mesmo que a média das indenizações seja baixa, a empresa ainda tem custos com advogados, peritos, assistentes técnicos, bem como empenho de recursos humanos para colaborar com a defesa.
E se o resultado for uma “simples adequação” aos processos da empresa? Então a esses custos são adicionados os custos para mudar estruturas de bancos de dados, arquitetura de rede, interfaces, funcionamento da plataforma como um todo, entre tantos outros fatores que impactam diretamente a operação. Nesse aspecto, os custos do processo são talvez o maior motivador para fazer algo a respeito da LGPD.
Por onde começar?
A conformidade prática depende do cenário de cada empresa, pois uma empresa cujo modelo de negócios é baseado em dados e geração de leads para vendas, por exemplo, é necessariamente diferente de uma empresa que desenvolve soluções tecnológicas para indústrias tradicionais.
No entanto, frequentemente observamos alguns elementos comuns entre projetos de conformidade:
- Conscientização: toda iniciativa relacionada à proteção de dados deve envolver alguma forma de conscientização de colaboradores e da direção da empresa a respeito do tema e de sua importância, na forma de reuniões, testes para fixação de conhecimento e palestras e eventos temáticos. Vale lembrar que estamos falando de um aspecto da governança corporativa, que tem como um de seus pilares o engajamento das pessoas, isto é, colaboradores e gestores;
- Diagnóstico: essa fase geralmente engloba atividades como o mapeamento de fluxos de dados pessoais, mapeamento de fornecedores, análise de lacunas da operação em face da LGPD e elaboração de relatório de conformidade consolidando a análise. O objetivo é fazer um diagnóstico da empresa com relação ao tema, além de propor medidas corretivas para solucionar problemas e lacunas encontrados, de modo que todos os riscos estejam mapeados e a empresa possa tomar decisões conscientes sobre os ajustes a serem feitos (e mesmo riscos a serem assumidos);
- Políticas: a corporificação do aspecto de governança corporativa na conformidade em proteção de dados pessoais, são as políticas corporativas sobre temas relacionados a proteção de dados. Como exemplos de documentos geralmente necessários, podemos mencionar a política de privacidade para clientes, política de privacidade para funcionários, normas e políticas internas que definam como os colaboradores tratam dados pessoais etc;
- Direitos dos Titulares dos Dados: Significa lidar com os consumidores para atender seus direitos garantidos pela LGPD, o que envolve por exemplo a criação canal de solicitação de titulares de dados e de guias práticos e cartilhas para instruir colaboradores sobre o assunto;
- Contratos e Documentos: fase que envolve a produção de análises de risco e evidências de adequação, como a condução de avaliações de interesse legítimo (LIAs), relatórios de impacto à proteção de dados pessoais (RIPDs), além da elaboração de mecanismos para garantia da segurança jurídica da operação, na forma de cláusulas de proteção de dados para contratos;
- Governança: esse pilar de um Programa de Privacidade consiste em construir um sistema de governança em proteção de dados na organização, contando com órgãos próprios e colaboradores responsáveis, na forma, por exemplo, da nomeação de um encarregado de proteção de dados, estruturação de programas internos de governança e de comitê de privacidade, entre outros.
Mas como determinar qual é a melhor abordagem para lidar com cada um desses tópicos? Há muitas questões a serem consideradas no melhor plano para alcançar a conformidade, mas a abordagem mais eficaz é geralmente uma personalizada.
- Primeiro, entender o que a Lei exige da organização, para que possa comparar o que deve fazer com o que planeja fazer para avaliar os riscos que está aceitando.
- Segundo, definir qual é o seu apetite por risco, o quanto de risco a empresa e os seus gestores estão dispostos a aceitar.
- Terceiro, com base no tempo e nos recursos disponíveis, bem como no contexto da empresa, definir qual seria o “cenário aceitável” para a conformidade, ou seja, qual nível de conformidade é suficiente para equilibrar com os objetivos comerciais da empresa.
- Quarto, priorizar as ações no plano de negócios e comparar o “cenário aceitável” com os requisitos legais para entender se o risco que a empresa está assumindo está dentro de uma faixa com a qual a empresa se sente confortável.
Uma vez feito isso, não há mais nada a fazer além de começar o caminho para a conformidade e colocar as engrenagens em movimento.
O que levar para casa?
TL/DR: A proteção de dados pessoais transcende a simples conformidade com regulamentações como a LGPD, transformando-se em um elemento vital para a construção de confiança e credibilidade no ecossistema de startups e empresas tecnológicas. A conscientização sobre a importância da proteção de dados não só evita penalidades legais e danos reputacionais, mas também se apresenta como uma vantagem competitiva significativa, influenciando diretamente na atração de investimentos e na construção de parcerias duradouras. Assim, a integração de práticas robustas de proteção de dados no cerne dos modelos de negócios é um passo crucial para garantir o sucesso e a sustentabilidade no dinâmico mundo empresarial de hoje.
Por Freitas Ferraz Advogados