A Sizebay é uma Startup que vem revolucionando o mercado da moda online por meio da plataforma SAAS (software as a service), identificada como provador virtual. Através da ferramenta, usuários de e-commerce descobrem o tamanho ideal para seus corpos a partir de dados como peso, altura e idade. Isso gera mais segurança para comprar, considerando o menor risco de precisar trocar devido ao tamanho.

 

Devido ao modelo de negócio da Startup, sendo ela fornecedora de serviços e por tratar os dados dos clientes dos e-commerces (Controlador) segundo a orientação e em nome destes, a Sizebay é considerada “Operadora” de dados segundo à LGPD. (Se quiser saber mais sobre os agentes de tratamento de dados, acesse o nosso ebook que trata sobre o assunto clicando aqui)

 

Diante desse contexto, é comum o Controlador submeter ao Operador um instrumento contratual chamado Data Processing Agreement (DPA), ou Acordo de Processamento de Dados, que rege todas as diretrizes acerca do tratamento de dados, como se dará o processamento, qual o escopo, finalidade, limites, compartilhamento, responsabilidades, auditorias, penalidades, dentre outras questões.  Desta forma garante-se que o tratamento dos dados esteja em conformidade com a Lei Geral de Proteção de Dados (LGPD) e que ambas as partes possuam segurança jurídica. 

 

Nessa linha, a Sizebay recebeu de um de seus clientes internacionais um Data Processing Agreement (DPA) e, antes de assinar, procurou a Vanzin & Penteado para assessorar juridicamente na análise do contrato e recomendações, de modo que o escopo definido e executado pelo escritório foi:

 

1. Analisar e interpretar as cláusulas do DPA;
2. Realizar paralelo entre as requisições e exigências contratuais com a operação do cliente;
3. Apontar quais disposições contratuais estavam dentro e fora das práticas de mercado;
4. Apresentar os reflexos futuros de cada disposição contratual;
5. Propor eventuais novas redações e alterações nas disposições contratuais, bem como eventuais exclusões de cláusulas.

 

Após o trabalho desenvolvido, o documento foi entregue à Sizebay no idioma Inglês, pronto para devolutiva ao cliente internacional que, por sua vez, concordou com os ajustes e firmou o contrato.

 

Sobre o DPA, vale destacar que se trata de um instrumento contratual cada vez mais utilizado, pois é parte indispensável no processo de onboarding de fornecedores na cadeia de prestação de serviços, vez que torna ainda mais robusto o compromisso com o tratamento de dados de forma adequada e em compliance com as regulamentações. 

 

Por Kael Moro 

A entrada em vigor da Lei Geral de Proteção de Dados regulamentou, dentre muitos aspectos, o tratamento de dados pessoais, reconhecido como qualquer atividade que seja realizada com informações que sejam capazes de identificar uma pessoa. 

 

O tratamento de dados, para ser iniciado, deve seguir alguns requisitos que variam de acordo com a natureza dos dados (pessoal, sensível, de criança ou adolescente) e a finalidade da utilização.  Desta forma, entender todas as variáveis é de extrema relevância para, posteriormente, de forma estratégica, embasar a operação da empresa conforme dispõe a Lei Geral de Proteção de Dados.

 

A Lei traz no artigo 7º, de maneira objetiva, um rol com 10 possibilidades, nas quais a empresa pode embasar o tratamento dos dados pessoais.

 

Como o objetivo do presente material é abordar o assunto com foco nos produtos e serviços desenvolvidos por Startups, destacamos 6 das 10 hipóteses de tratamento de dados pessoais, que são aplicáveis a estes negócios:

 

1. Consentimento

A primeira e mais conhecida é a utilização dos dados pessoais por meio do Consentimento do titular dos dados, ou seja, da autorização expressa, livre e inequívoca para uma finalidade determinada.

 

Nessa hipótese, o titular dos dados poderá revogar o referido consentimento a qualquer momento e, quando tal fato ocorrer, cessará a permissão para a Startup utilizar tais dados.

 

Por este motivo, em muitos casos, recomenda-se que o Consentimento seja utilizado como base para tratamento dos dados apenas quando nenhuma outra hipótese se enquadrar à situação de tratamento.

 

Um exemplo que pode ser dado é quando uma Startup deseja utilizar os dados pessoais dos usuários da plataforma, com a finalidade de promover campanhas de marketing.

 

2. Cumprimento de Obrigação Legal ou Regulatória pelo Controlador

Esta base legal diz respeito à coleta de dados para o cumprimento de obrigação legal ou regulatória da empresa.  Nesse caso, por exemplo, quando a Startup precisa da informação para cumprir alguma disposição da lei, como a coleta do CPF do comprador para emissão de nota fiscal.  

 

Por este motivo, não há exigência do consentimento, pois trata-se de obrigação legal a ser cumprida, não fazendo sentido depender de autorização do titular dos dados para tal. De todo modo, é recomendado informar aos compradores, quando da utilização desta base legal, por meio da política ou aviso de privacidade.

 

3. Execução de Contrato

Trata-se de hipótese que permite a utilização de determinados dados pessoais para a execução do contrato ou de procedimentos preliminares relacionados ao contrato, do qual seja parte o titular.

 

No caso das Startups, esta base legal pode ser utilizada para relacionar dados que tenham conexão com o escopo, por exemplo: 

• Dados do cartão de crédito: dado necessário para processar o pagamento da assinatura do serviço ou compra;
• E-mail e telefone: realizar comunicação ou prestar suporte em relação a serviços oferecidos por meio de plataforma;

 

4. Exercício de Direitos em Processos

Esta previsão diz respeito à possibilidade de utilização de dados pessoais para o exercício de direito em processos judiciais ou arbitrários, na produção de provas, defesa e outras manifestações judiciais ou administrativas.

 

Ou seja, a empresa poderá tratar tais informações, independente do consentimento do titular dos dados, mas restrita à finalidade de exercer seus direitos em processos. 

 

5. Interesse Legítimo do Controlador ou de Terceiro

Diz respeito à possibilidade de o controlador utilizar os dados do titular, sem o consentimento deste, em razão de atender a um interesse específico e legítimo.

 

Nota-se que é uma hipótese relativamente mais abrangente e flexível das listadas na LGPD e, justamente por isso, há um cuidado especial no artigo 10 da Lei que estabelece alguns parâmetros para o melhor entendimento e configuração, prezando pelo equilíbrio entre os interesses do controlador e os interesses e direitos do titular.

 

Para a aplicação desta base, é necessário avaliar em detalhes o caso concreto, realizar, inclusive, um teste subjetivo do legítimo interesse, que levará em conta: o interesse propriamente dito, análise de necessidade, razoabilidade de sua utilização frente aos direitos do titular dos dados.

 

6. Proteção ao Crédito

Esta previsão permite a utilização de dados pessoais, sem o consentimento do titular, com objetivo de proteção ao crédito, como por exemplo para realizar análise de credit score ou avaliar histórico de inadimplência. 

 

Ou seja, garante que, em situações de cobrança ou dívidas contraídas, os titulares dos dados não usem o argumento da LGPD como meio para escaparem de suas obrigações financeiras, ao não permitirem a coleta e utilização dos dados.

 

Após análise das 6 principais bases jurídicas para o tratamento de dados pessoais, conclui-se que não há melhor ou pior base jurídica a ser escolhida, é necessária uma análise minuciosa da operação que envolve o tratamento de dados para enquadramento da hipótese legal mais adequada para a situação concreta.

 

Hipóteses de tratamento para dados sensíveis

Dados sensíveis são aqueles de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física, e exigem que o tratamento seja precedido de maior cautela. 

 

Ademais, vale destacar que eventual incidente de segurança com estes dados, tem potencial altamente gravoso aos direitos e liberdades dos titulares.

 

Considerando, assim, a natureza dos dados sensíveis, as hipóteses para o tratamento são mais restritivas, e a lei dispõe, no artigo 11, como esse deve ocorrer:

 

• Com o consentimento: Com consentimento do titular ou seu responsável legal, de forma específica e destacada, para finalidades determinadas; 

 

• Sem o consentimento: i) para cumprimento de obrigação legal; ii) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; iii) realização de estudos por órgãos de pesquisa; iv) para exercício de direitos em contratos, processos judiciais e administrativos; v) proteção à vida do titular; vi) tutela da saúde por profissionais da saúde; vii) prevenção à fraude e à segurança do titular dos dados na identificação ou autenticação de cadastro em sistemas eletrônicos.

 

Na prática, para as Startups que trabalham com dados sensíveis, há a necessidade da observância e seleção da base legal mais adequada para cada caso.  

 

Hipóteses para dados de crianças e adolescentes

Um ponto a ser sinalizado, em especial quando tratamos da dinâmica das Startups, são as hipóteses para tratamento de dados pessoais de crianças e adolescentes, que atualmente são players ativos no ecossistema digital.

 

O tratamento em si pode ser realizado em seu melhor interesse e nos limites estabelecidos pela LGPD, no entanto, deverá ser realizado necessariamente mediante consentimento específico e em destaque, por pelo menos um dos pais ou responsável legal.

 

Desta forma, logo na etapa do cadastro do usuário na plataforma da Startup, recomenda-se que haja uma etapa específica para identificação da idade do usuário e, caso este seja de menor, um requerimento envolvendo os pais ou representante legal.  Sendo inobservada tal disposição, a Startup estará sujeita às penalidades impostas pela Lei, em vigor a partir de agosto de 2021.

 

Por Kael Moro