Com a entrada em vigor da LGPD e até mesmo antes disso, na ocasião da aprovação legislativa desta, muito se tem falado e discutido sobre a aplicação e as medidas de adequação normatizadas pela nova lei. Diversos empresários precisaram adequar seus tratamentos de dados, atualizar seus contratos e, até mesmo, capacitar seus funcionários que lidaram e lidam com os dados pessoais e sensíveis.

 

Ao redor do mundo, essa normatização não foi diferente. É certo que é uma tendência global que cada vez mais negócios atuem de forma inteiramente virtual, significando que sua base de dados também será armazenada, normalmente, em nuvem. A preocupação com o tratamento de dados se tornou uma verdade generalizada e muitos países também têm aprovado e colocado em prática algumas normas e determinações sobre o tratamento de dados. 

 

A legislação europeia, por exemplo, é chamada de Regulamento Geral da Proteção de Dados. Ela é válida em todos os países da União Europeia e do Espaço Econômico Europeu (EEE) e inspirou a produção da própria LGPD. Nesse sentido, guarda muita semelhança com a legislação brasileira que já conhecemos. 

São alguns exemplos de outros países:

 

 

No âmbito de pessoas físicas, muito se debate sobre a implementação da Agenda Digital 2014-2017, que visa incentivar o desenvolvimento do setor de TI na Alemanha, inclusive com mudanças regulatórias sobre o tratamento de dados. 

 

 

 

 

A maioria dos países se preocupa com a edição e aprovação de leis, normalmente federais, ou decretos para a regulamentação dos dados pessoais. Essa tendência existe há muitos anos e continuará a ser alterada e melhorada. A própria ONU se preocupa com a edição dessas legislações para seus países membros e muito se fala em privacidade de dados, recomendações e riscos. Você pode ler mais sobre a posição da ONU na seguinte matéria: https://news.un.org/pt/story/2020/04/1712072

 

De forma geral, o conhecimento a respeito das Leis de Proteção de Dados de outros lugares do mundo é de extrema relevância para negócios que visam atuar nestes territórios, como foi o caso da Startup Sizebay, quando procurou pela Vanzin & Penteado para a adequação dos documentos às legislações norte-americana e europeia. O case study está disponível aqui

 

Confira também nossos artigos especiais a respeito da Lei Geral de Proteção de Dados, em vigor no Brasil desde 2021:

 

Guia Completo de LGPD para Fintechs

LGPD para e-commerces

Implementação de LGPD

A nova Lei Geral de Proteção de Dados (LGPD) inaugurou uma cultura legislativa, empresarial, jurídica e social de cuidado e cautela com o uso de dados pessoais. Esse cenário, portanto, acarreta em uma necessidade ainda maior de conscientização do tratamento das informações, e da gestão dos profissionais que as possuem, assim como o alerta constante a eventuais usos indevidos. 

 

A legislação tem raízes tão importantes quanto o direito à liberdade, à dignidade da pessoa humana, à privacidade e ao livre desenvolvimento da personalidade da pessoa natural capaz. Isso porque estamos cada vez mais inseridos nas redes sociais e o compartilhamento de dados é tão rápido, que nem sempre é possível notar com clareza a necessidade ou não de compartilhamento desses dados, para qual finalidade, onde e como poderão ser utilizados. Entretanto, muito se questiona sobre a diferenciação entre dados pessoais e dados pessoais sensíveis, na medida em que a legislação explicita tratamentos diferenciados a ambos. Confira, a seguir, as principais informações acerca da classificação de cada natureza. 

 

Dados Pessoais 

Dados pessoais são aqueles que podem levar à identificação de alguém, ainda que de forma indireta. Eles vão muito além das informações contidas nas documentações pessoais das pessoas naturais, ou de seu número de telefone e endereço eletrônico. São alguns exemplos:

 

Dentre outros. Todos aqueles dados que revelem a identidade de pessoas vivas, ainda que indiretamente, são considerados dados pessoais e merecem a devida cautela, devendo ser recolhidos para finalidades determinadas, explícitas e legítimas, e não podendo ser, posteriormente, tratados de forma incompatível com essas finalidades.

 

Dados Pessoais Sensíveis

Dados pessoais sensíveis, por sua vez, são aqueles que versam sobre:

 

Tratam-se dos dados que dizem respeito a informações íntimas e que podem ser utilizados de forma discriminatória. A utilização dessas informações depende de autorização expressa do indivíduo - uma manifestação de vontade sempre livre, específica e explícita - pela qual o titular dos dados aceita que seus dados pessoais sensíveis sejam objeto de tratamento.

 

Quais as diferenças no tratamento?

O tratamento de dado pessoal deve seguir algumas normas legais, conforme discrimina o 7º artigo da LGPD, quais como: consentimento; obrigação legal ou regulatória; para execução de políticas públicas pela administração pública; estudos por órgão de pesquisa; execução de contrato; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; interesse legítimo; proteção ao crédito.

 

Já o tratamento de dados pessoais sensíveis pode ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas, de acordo com o art. 11 da lei, além da observância dos princípios da boa-fé, finalidade, adequação e necessidade.

À medida que as Startups avançam nos Rounds de Investimento, a formalização de alguns aspectos da empresa se torna necessária. Neste cenário temos a importância da definição da Governança Corporativa como um dos pontos analisados, e por vezes exigido, por investidores, principalmente em grandes aportes como no Seed Market ou Venture Capital

 

O que é a Governança Corporativa? 

O termo Governança Corporativa diz respeito ao conjunto de práticas e condutas adotadas pela empresa, que levará em consideração o interesse de todos os agentes do negócio, como sócios, diretores, acionistas e demais stakeholders. É uma forma de estruturar a gestão do negócio uma vez que ele passa a ganhar outros players além dos sócios fundadores. Em outras palavras, pode-se definir a governança como um manual de instruções do funcionamento interno da empresa. 

 

O termo Governança Corporativa diz respeito ao conjunto de processos, normas e condutas, ou seja, o sistema, que regula os processos da empresa e proporciona uma gestão mais assertiva e coordenada. 

 

Para quê serve a Governança Corporativa? 

Em sua essência, a instalação de uma Governança Corporativa contribui para a imagem da empresa como um todo, uma vez que demonstra solidez e transparência em todas as condutas e processos, transmitindo segurança para investidores e acionistas. 

 

Além disso, a instalação da Governança faz com que todos os agentes da empresa ganhem conhecimento dos procedimentos padrões, possibilitando a tomada de decisões com maior agilidade e precisão, característica fundamental para a sustentabilidade da empresa. 

 

Quais os principais benefícios da Governança Corporativa para Startups? 

Do ponto de vista estratégico, a definição de uma Governança Corporativa na Startup oferecerá uma visão de médio e longo prazo a respeito do desenvolvimento do negócio, assim como do relacionamento entre sócios. 

 

Neste sentido a governança também oferece maior segurança na resolução de conflitos,  ao tratarmos de accountability (responsabilidade) dentro do processo e de prestação de contas. Desta forma o empreendimento se torna mais sustentável. 

 

Quando instalar uma Governança Corporativa em uma Startup? 

Devido à característica de volatilidade dos negócios caracterizados como Startups, a instalação de uma Governança Corporativa pode, inicialmente, parecer contraditória, entretanto é válido ressaltar que essas definições são flexíveis e podem ser adaptadas à medida que a empresa avança em seu estágio de desenvolvimento. 

 

Por ser um instrumento de alta contribuição estratégica, recomenda-se que a definição da governança comece a ser considerada no período de Ideação, ou seja, na etapa anterior à apresentação ao mercado. Isso porque o primeiro passo para o desenvolvimento deste instrumento é, justamente, a definição de valores, propósitos e estratégias para o escalonamento do negócio. 

 

Como iniciar uma Governança Corporativa?

O primeiro passo a ser tomado para a instalação de uma Governança Corporativa é entender os princípios norteadores da empresa, sendo necessário o envolvimento direto dos sócios-fundadores. 

 

É necessário que se realize, também, um mapeamento detalhado para que se entenda alguns aspectos como o controle da organização, o gerenciamento de riscos, processos existentes, status da definição de papéis, dentre outros pontos. Dessa forma, recomenda-se a assessoria de profissionais capacitados que poderão oferecer uma visão completa e um passo a passo de implementação, seguindo os quatro pilares de uma boa governança: transparência, equidade, prestação de contas e responsabilidade corporativa.

O Acordo de Confidencialidade, também conhecido como Non Disclosure Agreement (NDA), é um documento que pode ajudar a empresa ou empreendedor a proteger as suas informações e/ou dados confidenciais, que em virtude de relação comercial, são compartilhadas com terceiros.   

 

Ao assinar um NDA, as partes concordam em proteger as informações confidenciais compartilhadas, além de não as divulgar sem consentimento.  

 

O Acordo de Confidencialidade pode ser firmado de forma unilateral, quando apenas uma parte revelará informações confidenciais, costumeiramente nomeada como “Parte Reveladora” e, de outro lado, a “Parte Receptora”, que terá acesso a tais informações.  Entretanto, o NDA pode ser também bilateral, quando as partes compartilharão e receberão informações entre si, situação em que as obrigações e deveres acerca da confidencialidade serão recíprocas.

 

Além da definição sobre quais dados e informações serão considerados sigilosos, o NDA também conterá disposição quanto às hipóteses de uso das informações confidenciais, incluindo, como elas poderão ser usadas, com quem poderão ser compartilhadas, quais as medidas de segurança que devem ser adotadas e, claro, as penalidades em caso de descumprimento.

 

O documento também poderá estabelecer o prazo pelo qual durará o Acordo de Confidencialidade, sendo possível, por exemplo, que as partes acordem que o sigilo das informações será mantido mesmo após findada da relação principal (comercial, parceria, investimento etc.).  Dessa forma, busca-se resguardar a Parte Reveladora quanto a eventuais questões concorrenciais, estratégicas, dentre outros fatores que podem impactar o desenvolvimento do negócio.  A depender da relação estabelecida entre as partes envolvidas, poderão ser objeto de um NDA, por exemplo, as seguintes informações:

 

 

Com o intuito de exemplificar o formato do Acordo de Confidencialidade, elaboramos um template que contém a estrutura e cláusulas básicas (clique para acessar).  É importante esclarecer que a elaboração de qualquer instrumento jurídico deve ser pautada nas especificidades de cada relação e no interesse das partes, por isso é recomendado sempre a busca por um especialista que possa melhor orientar as partes na elaboração deste documento.

 

A Sizebay é uma Startup que vem revolucionando o mercado da moda online por meio da plataforma SAAS (software as a service), identificada como provador virtual. Através da ferramenta, usuários de e-commerce descobrem o tamanho ideal para seus corpos a partir de dados como peso, altura e idade. Isso gera mais segurança para comprar, considerando o menor risco de precisar trocar devido ao tamanho.

 

Devido ao modelo de negócio da Startup, sendo ela fornecedora de serviços e por tratar os dados dos clientes dos e-commerces (Controlador) segundo a orientação e em nome destes, a Sizebay é considerada “Operadora” de dados segundo à LGPD. (Se quiser saber mais sobre os agentes de tratamento de dados, acesse o nosso ebook que trata sobre o assunto clicando aqui)

 

Diante desse contexto, é comum o Controlador submeter ao Operador um instrumento contratual chamado Data Processing Agreement (DPA), ou Acordo de Processamento de Dados, que rege todas as diretrizes acerca do tratamento de dados, como se dará o processamento, qual o escopo, finalidade, limites, compartilhamento, responsabilidades, auditorias, penalidades, dentre outras questões.  Desta forma garante-se que o tratamento dos dados esteja em conformidade com a Lei Geral de Proteção de Dados (LGPD) e que ambas as partes possuam segurança jurídica. 

 

Nessa linha, a Sizebay recebeu de um de seus clientes internacionais um Data Processing Agreement (DPA) e, antes de assinar, procurou a Vanzin & Penteado para assessorar juridicamente na análise do contrato e recomendações, de modo que o escopo definido e executado pelo escritório foi:

 

  1. Analisar e interpretar as cláusulas do DPA;
  2. Realizar paralelo entre as requisições e exigências contratuais com a operação do cliente;
  3. Apontar quais disposições contratuais estavam dentro e fora das práticas de mercado;
  4. Apresentar os reflexos futuros de cada disposição contratual;
  5. Propor eventuais novas redações e alterações nas disposições contratuais, bem como eventuais exclusões de cláusulas.

 

Após o trabalho desenvolvido, o documento foi entregue à Sizebay no idioma Inglês, pronto para devolutiva ao cliente internacional que, por sua vez, concordou com os ajustes e firmou o contrato.

 

Sobre o DPA, vale destacar que se trata de um instrumento contratual cada vez mais utilizado, pois é parte indispensável no processo de onboarding de fornecedores na cadeia de prestação de serviços, vez que torna ainda mais robusto o compromisso com o tratamento de dados de forma adequada e em compliance com as regulamentações. 

 

Por Kael Moro 

A entrada em vigor da Lei Geral de Proteção de Dados regulamentou, dentre muitos aspectos, o tratamento de dados pessoais, reconhecido como qualquer atividade que seja realizada com informações que sejam capazes de identificar uma pessoa. 

 

O tratamento de dados, para ser iniciado, deve seguir alguns requisitos que variam de acordo com a natureza dos dados (pessoal, sensível, de criança ou adolescente) e a finalidade da utilização.  Desta forma, entender todas as variáveis é de extrema relevância para, posteriormente, de forma estratégica, embasar a operação da empresa conforme dispõe a Lei Geral de Proteção de Dados.

 

A Lei traz no artigo 7º, de maneira objetiva, um rol com 10 possibilidades, nas quais a empresa pode embasar o tratamento dos dados pessoais.

 

Como o objetivo do presente material é abordar o assunto com foco nos produtos e serviços desenvolvidos por Startups, destacamos 6 das 10 hipóteses de tratamento de dados pessoais, que são aplicáveis a estes negócios:

 

1. Consentimento

A primeira e mais conhecida é a utilização dos dados pessoais por meio do Consentimento do titular dos dados, ou seja, da autorização expressa, livre e inequívoca para uma finalidade determinada.

 

Nessa hipótese, o titular dos dados poderá revogar o referido consentimento a qualquer momento e, quando tal fato ocorrer, cessará a permissão para a Startup utilizar tais dados.

 

Por este motivo, em muitos casos, recomenda-se que o Consentimento seja utilizado como base para tratamento dos dados apenas quando nenhuma outra hipótese se enquadrar à situação de tratamento.

 

Um exemplo que pode ser dado é quando uma Startup deseja utilizar os dados pessoais dos usuários da plataforma, com a finalidade de promover campanhas de marketing.

 

2. Cumprimento de Obrigação Legal ou Regulatória pelo Controlador

Esta base legal diz respeito à coleta de dados para o cumprimento de obrigação legal ou regulatória da empresa.  Nesse caso, por exemplo, quando a Startup precisa da informação para cumprir alguma disposição da lei, como a coleta do CPF do comprador para emissão de nota fiscal.  

 

Por este motivo, não há exigência do consentimento, pois trata-se de obrigação legal a ser cumprida, não fazendo sentido depender de autorização do titular dos dados para tal. De todo modo, é recomendado informar aos compradores, quando da utilização desta base legal, por meio da política ou aviso de privacidade.

 

3. Execução de Contrato

Trata-se de hipótese que permite a utilização de determinados dados pessoais para a execução do contrato ou de procedimentos preliminares relacionados ao contrato, do qual seja parte o titular.

 

No caso das Startups, esta base legal pode ser utilizada para relacionar dados que tenham conexão com o escopo, por exemplo: 

 

4. Exercício de Direitos em Processos

Esta previsão diz respeito à possibilidade de utilização de dados pessoais para o exercício de direito em processos judiciais ou arbitrários, na produção de provas, defesa e outras manifestações judiciais ou administrativas.

 

Ou seja, a empresa poderá tratar tais informações, independente do consentimento do titular dos dados, mas restrita à finalidade de exercer seus direitos em processos. 

 

5. Interesse Legítimo do Controlador ou de Terceiro

Diz respeito à possibilidade de o controlador utilizar os dados do titular, sem o consentimento deste, em razão de atender a um interesse específico e legítimo.

 

Nota-se que é uma hipótese relativamente mais abrangente e flexível das listadas na LGPD e, justamente por isso, há um cuidado especial no artigo 10 da Lei que estabelece alguns parâmetros para o melhor entendimento e configuração, prezando pelo equilíbrio entre os interesses do controlador e os interesses e direitos do titular.

 

Para a aplicação desta base, é necessário avaliar em detalhes o caso concreto, realizar, inclusive, um teste subjetivo do legítimo interesse, que levará em conta: o interesse propriamente dito, análise de necessidade, razoabilidade de sua utilização frente aos direitos do titular dos dados.

 

6. Proteção ao Crédito

Esta previsão permite a utilização de dados pessoais, sem o consentimento do titular, com objetivo de proteção ao crédito, como por exemplo para realizar análise de credit score ou avaliar histórico de inadimplência. 

 

Ou seja, garante que, em situações de cobrança ou dívidas contraídas, os titulares dos dados não usem o argumento da LGPD como meio para escaparem de suas obrigações financeiras, ao não permitirem a coleta e utilização dos dados.

 

Após análise das 6 principais bases jurídicas para o tratamento de dados pessoais, conclui-se que não há melhor ou pior base jurídica a ser escolhida, é necessária uma análise minuciosa da operação que envolve o tratamento de dados para enquadramento da hipótese legal mais adequada para a situação concreta.

 

Hipóteses de tratamento para dados sensíveis

Dados sensíveis são aqueles de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física, e exigem que o tratamento seja precedido de maior cautela. 

 

Ademais, vale destacar que eventual incidente de segurança com estes dados, tem potencial altamente gravoso aos direitos e liberdades dos titulares.

 

Considerando, assim, a natureza dos dados sensíveis, as hipóteses para o tratamento são mais restritivas, e a lei dispõe, no artigo 11, como esse deve ocorrer:

 

 

 

Na prática, para as Startups que trabalham com dados sensíveis, há a necessidade da observância e seleção da base legal mais adequada para cada caso.  

 

Hipóteses para dados de crianças e adolescentes

Um ponto a ser sinalizado, em especial quando tratamos da dinâmica das Startups, são as hipóteses para tratamento de dados pessoais de crianças e adolescentes, que atualmente são players ativos no ecossistema digital.

 

O tratamento em si pode ser realizado em seu melhor interesse e nos limites estabelecidos pela LGPD, no entanto, deverá ser realizado necessariamente mediante consentimento específico e em destaque, por pelo menos um dos pais ou responsável legal.

 

Desta forma, logo na etapa do cadastro do usuário na plataforma da Startup, recomenda-se que haja uma etapa específica para identificação da idade do usuário e, caso este seja de menor, um requerimento envolvendo os pais ou representante legal.  Sendo inobservada tal disposição, a Startup estará sujeita às penalidades impostas pela Lei, em vigor a partir de agosto de 2021.

 

Por Kael Moro 

O que é a Lei geral de proteção de Dados?

 

Com a digitalização da sociedade e a popularização de tecnologias que se baseiam em dados, passou a ser necessário a regulamentação das atividades econômicas que, de alguma forma, fazem tratamento de dados pessoais.

 

Acompanhando um movimento que está ocorrendo no mundo, em 2018 foi aprovada a lei 13.709/2008, que tem por objetivo regular as atividades de tratamento de dados (LGPD). Muito tem se falado do impacto desta nova legislação ao consumidor, mas e para o empreendedor, o que muda?

 

É importante ter em mente que a LGPD não tem apenas o objetivo de proteção dos dados pessoais, mas também o” desenvolvimento econômico e tecnológico e a inovação”. Ou seja, ela também deve ser encarada como ferramenta de desenvolvimento de iniciativas inovadores e tecnológicas no país.

 

Quem está sujeito à nova lei?

 

Todo cidadão (pessoa natural) ou empresa (pessoa jurídica de direito público ou privado) que realiza operação de tratamento ou coleta de dados, bem como o fornecimento de bens e serviços em território nacional está sujeito a aplicação da lei.

 

A legislação já prevê alguns casos em que a lei não será aplicada. Entre as situações previstas temos o tratamento de dados realizado por individuo para fins domésticos, ou seja, não econômicos, fins jornalísticos, artísticos e acadêmicos.

 

A quem se aplica a nova lei?

 

A lei é aplicada aos dados de pessoas naturais, ou seja, pessoas físicas.  Não é aplicável aos dados de pessoas jurídicas, estes são tratados por outras regulamentações específicas.

 

 

 

Qual a definição de “Dados” para a LGPD?

 

 

 

*Muita atenção: Vale destacar que, estes dados não serão considerados dados pessoais para os fins da LGPD, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

 

 

No ato da coleta de dados:

 

 

 

 

Após a coleta:

 

 

 

Término do tratamento de dados:         

 

Após o término do tratamento os dados pessoais estes deverão ser eliminados, apenas mantidos para as seguintes finalidades:

 

 

 

 

 

Responsabilidade

 

É solidária, ou seja, os agentes de tratamento partilham da responsabilidade em caso de indenização de danos patrimoniais e morais, individuais ou coletivos;

Mas ela pode ser afastada, nas seguintes hipóteses:

 

 

 

 

Principais Dicas

 

 

 

 

 

 Quando a Lei passa a valer?

 

A lei aprovada em 2018 passará a ter efeitos a partir de agosto de 2020, ou seja, até lá indivíduos e empresas deverão se adaptar as novas regras.

 

 

Por Bruno Nassar e Kael Moro

© 2022 Vanzin & Penteado Advogados Associados.

crossmenu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram