O estabelecimento de uma cultura empresarial que conta com políticas internas de segurança de informação é uma grande aliada às startups e empreendimentos modernos, ainda mais com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados)

 

Essa política será a responsável por administrar e conduzir as condutas empresariais pelos critérios da integridade, confidencialidade, disponibilidade e segurança jurídica e deverá abranger todas as pessoas que tenham acesso aos dados da empresa ou de seus usuários/consumidores. São alguns pontos desses princípios, que também especificam o que é, efetivamente, a política interna de segurança da informação:

 

A confidencialidade se relaciona com as pessoas que têm acesso aos dados, e a maneira como podem ser utilizados e diz respeito a  garantir que apenas pessoas previamente autorizadas e devidamente capacitadas tenham acesso às informações, sistemas, produtos e processos. 

 

Pelos nortes da integridade, garante-se, também, que esses dados não sejam alterados de modo algum, mantendo sempre seu estado original. Já no princípio da disponibilidade, garante-se que os donos desses dados tenham acesso a eles sempre que quiserem. 

 

É importante implementar a política interna de segurança da informação, pois ela trará segurança jurídica. Essa, por sua vez,  está ligada à necessidade de cumprimento da legislação, especialmente a LGPD. Esse controle de segurança da informação deve ser utilizado em diversos casos, na medida em que os dados podem ser gravados, falados, físicos ou eletrônicos e transmitidos de uma infinidade de maneiras, como: 

 

 

Para aplicar esse tipo de política interna, considere que a maioria das empresas segue o postulado pela “ABNT NBR ISO/IEC 27002: 2005”. Trata-se de uma norma brasileira válida desde 30/09/2005, antes mesmo da entrada em vigor da LGPD, que elenca as orientações de um código de prática para qualquer caso de gestão de segurança da informação. 

 

Esse código trata as informações empresariais como um ativo, que é tão essencial para a formação do negócio e seu desenvolvimento quanto os aportes financeiros, eventuais maquinários, sistemas e pessoas e pode ser acessado clicando aqui.  

A segurança da informação pode ser operacionalizada por meio das políticas internas, implementação de softwares, capacitação do pessoal (gestores, líderes e funcionários), criação de senhas fortes, reavaliação periódica das pessoas que possuem acesso aos dados, assim como o apoio e gestão jurídica apropriada para garantir que esses dados estão sendo tratados e armazenados da maneira correta, de acordo com a legislação, evitando problemas judiciais futuros.

 

Alguns de seus maiores benefícios, bem como a importância da  Política Interna de Segurança da Informação, estão muito ligados à modernização das relações empresariais e consumeristas. Dados são compartilhados diariamente em segundos e o acesso a eles pode ser realizado de diversas formas, por diversas pessoas. A maioria dessas informações são armazenadas de forma online, normalmente em nuvem e podem ser alvos de fraudes eletrônicas, ataques cibernéticos, bem como podem sofrer alterações, furtos e até mesmo eliminações definitivas. 

 

As informações empresariais são, definitivamente, um patrimônio que deve ser protegido da maneira mais abrangente possível, sendo essencial para o bom desenvolvimento empresarial, para a alimentação de sua cultura empresarial, para uma relação de continuidade com clientes e investidores que dá uma sólida base no mercado competitivo.  

Após a superação de toda a fase de planejamento de uma startup e das definições de como se darão suas operações, a formalização por meio de um Memorando de Entendimento é ideal para garantir maior segurança até a constituição formal do empreendimento. 

 

Também conhecido como Memorandum of Understanding (MOU), o documento se trata de um contrato preliminar que servirá de guia para uma futura negociação entre sócios. É um acordo, em que as vontades de ambas as partes são expressadas de forma lícita, livre de vícios de consentimento, que oficializa a relação entre os futuros sócios e prevê os próximos passos a serem tomados. 

 

Porque o MOU é importante?

Uma característica comum às Startups é que o projeto seja desenvolvido por partes que já possuam algum relacionamento, como parentesco, amizade, afinidade técnica decorrente de relação profissional ou de estudo. Com isso, muitas das decisões e acordos acabam sendo tomados de maneira verbal, o que pode, no futuro, gerar desentendimento ou riscos para o empreendimento. Neste momento, o Memorando de Entendimento se torna essencial para o bem-estar do projeto. 

 

Outro benefício do uso do documento é que este proporciona uma ótima oportunidade de reflexão acerca do desenvolvimento futuro da ideia, uma vez que acaba por forçar os sócios a estruturarem algo mais palpável que servirá, não apenas como guia interno, mas também como um atributo de geração de confiança na busca por investidores. 

 

Apesar da importância desse documento para o alinhamento de sócios, também pode ser realizado entre empresas, com objetivo de formalizar suas intenções relativas a um determinado projeto ou plano a ser desenvolvido conjuntamente.

 

Esse tipo de documento, embora não tenha um formato específico previsto em lei, possui força vinculativa, bem como é embasado no artigo 425 do Código Civil, que permite às partes firmarem Contratos "Atípicos", conceito no qual o Memorando de Entendimento se enquadra. 

 

O que pode conter no Memorando de Entendimento?

 

  1. A divisão monetária de cada sócio;
  2. Direitos e deveres dos sócios;
  3. Formas de remuneração;
  4. Cláusulas de confidencialidade;
  5. Definição específica do projeto a ser implantado;
  6. Como se darão: rescisões, aquisições e as formas de resolução de conflitos;
  7. Especificação sobre o envolvimento de terceiros;
  8. Duração do contrato;
  9. Captações de investimentos.

 

O objetivo do documento é garantir aos sócios um ambiente seguro, antes mesmo da elaboração e averbação do Contrato Social. Portanto, as cláusulas devem ser o mais específicas possíveis, qualificando as partes e o negócio a ser desenvolvido. 

 

Além disso, por ter força vinculativa, o não cumprimento do MOU pode resultar na fixação de responsabilidade sobre os danos. Isso decorre dos princípios da boa fé contratual, que existe tanto no momento de elaboração do contrato, seu cumprimento e após sua finalização.

Dessa forma, o MOU é um grande aliado e poderá auxiliar na formalização do projeto antes mesmo da constituição de seu CNPJ.

A essência do contrato é estabelecer direitos e deveres, além de garantir uma regulamentação correta, qualquer que seja sua espécie. É uma peça fundamental em uma relação empresarial, e que a torna segura e saudável em todos os seus aspectos, especialmente nos Contratos de Investimento e Acordo de Acionistas

 

Para Startups e empresas, quando lidamos com termos societários, uma das cláusulas mais específicas e que trazem grandes discussões é a Cláusula de Lock Up, que tem como objetivo limitar a venda de ações ou saída de um ou mais sócios da empresa, por um período determinado, normalmente aquele que além de sócio tem papel executivo de alta relevância para o negócio.  Tal medida tem a finalidade de garantir aos investidores e demais stakeholders envolvidos na operação, que os players com maior know-how para o desenvolvimento da empresa permaneçam vinculados a ela por um período mínimo e, consequentemente, agreguem mais valor para o projeto.

 

Trata-se, portanto, de uma cláusula de segurança social e jurídica, na medida em que evita perdas irrecuperáveis por um determinado momento. Além disso, as empresas que estão abrindo capital por meio de IPO na atual B3 (Bolsa de Valores brasileira) são obrigadas a estabelecer um período de lock-up para os acionistas controladores.

 

Outro uso do mecanismo visa impedir ou limitar compra e venda de ações ou quotas sociais com intuito de vedar a transferência dessas ações para terceiros em um determinado período, como nas fases iniciais da empresa ou em momentos de grande crescimento. Se ainda assim isso for realizado, os negócios jurídicos provenientes serão nulos de pleno direito, e ainda caberá multa ao sócio que eventualmente a tiver violado, além da obrigação civil objetiva de ressarcir eventuais danos causados pela venda. 

 

Essa cláusula pode ser aplicada por meses ou anos - não havendo determinação sobre sua validade temporal - e determinará que os sócios concordem, de forma irrevogável e irretratável, em não efetuar qualquer transferência de suas quotas ou ações a quaisquer terceiros pelo prazo que for. 

 

São algumas de suas vantagens:

 

 

Para a inclusão da cláusula no contrato é essencial que se tenha uma clara visão do tempo em que esta ficará vigente. Caso seja de curta duração, pode possibilitar a saída de membros importantes para o desenvolvimento da empresa. Uma vez muito longo, pode possibilitar novos negócios e entrada de novas pessoas. Sendo assim cada caso deve ser objetivamente analisado e planejado de acordo com as expectativas e pretensões dos empreendedores.

Um pouco da história

 

No período que antecipou a existência do Estado e do Judiciário, as relações entre os indivíduos eram reguladas por meio de acordos verbais. Embora, com o surgimento do Império e as promulgações das primeiras Constituições, ainda que houvesse um órgão judicial responsável pela resolução de litígios, o costume foi mantido: a Constituição do Império de 1824, em seu art. 160, estabeleceu que as partes envolvidas poderiam nomear juízes-árbitros para solucionar litígios cíveis, sendo o primeiro registro de norma legal sobre o assunto.

 

O que é?

 

Portanto, a Cláusula de Arbitragem, ou Cláusula Compromissória, que pode constar em alguns contratos, trata-se de uma antecipação - antes que haja litígio: caso o contrato não seja cumprido, as partes se comprometem, desde a assinatura, a se submeterem a um árbitro, e não ao Poder Judiciário, para resolução de conflitos.

 

Enquanto o juiz decide questões de mérito e de direito, o árbitro é um profissional especialista em conflito e conciliação e, ainda que não haja ligação com o Judiciário, a decisão arbitral é considerada uma sentença, devendo ser técnica. 

 

A Cláusula de Arbitragem é, portanto, uma alternativa à judicialização que contempla diversas vantagens. Na prática, isso significa uma resolução mais humanizada e mais ágil, visto que a própria lei de arbitragem permite às partes a fixação de prazos dentro do processo arbitral, visando, portanto, a celeridade. Além disso, por sua natureza essencialmente sigilosa, a arbitragem evita exposições desnecessárias aos contratantes, o que deve ser considerado de grande importância benéfica para empresas e empresários. 

 

Onde é mais utilizada? E quais os requisitos?

 

Quanto ao seu uso, qualquer contrato que verse sobre direito patrimonial pode contar com a Cláusula Arbitral, os maiores exemplos são contratos de investimento, contrato social, joint-venture.

 

Um ponto altamente relevante sobre a parte mais técnica é no que diz respeito à construção da cláusula, que no mundo jurídico chamamos de Cheia ou Vazia.

 

A Cláusula de arbitragem “cheia” é aquela que foi redigida de maneira completa, por profissionais qualificados, com experiência em arbitragem e cumpriram todos os seus requisitos formais, como:

 

 

Havendo lapso nesta construção, a cláusula será considerada “vazia” e, futuramente, na eventualidade de um conflito se instaurar, a parte poderá suscitar nulidade deste método de solução de conflitos, tornando o judiciário legítimo para julgar o caso e, trazendo consigo todas as características desta via mais tradicional, não desejada quando se opta pela arbitragem como meio de solução de conflitos.

 

Conclusão

 

Em conclusão, incluir corretamente a Cláusula de Arbitragem nos contratos proporciona diversos benefícios, como análise técnica especializada da Câmara Arbitral, rapidez, flexibilidade e segurança no procedimento, que elevam a autonomia da vontade das partes contratantes e resultam em melhor relação custo-benefício, além de preservar a relação entre os contratantes na medida em que há uma conciliação sobre o ocorrido. 

 

Importante aqui ressaltar a necessidade da presença de um profissional jurídico para redigir a cláusula compromissória de forma correta, a fim de se evitar interpretações ambíguas e demais riscos que podem anular a cláusula arbitral. 

Cap Table ou Capitalization Table, termos importados do inglês, que podem ser interpretados como Tabela de Capitalização, trata-se de uma tabela onde constam os percentuais de cada sócio na empresa e o valor patrimonial correspondente. 

 

O maior objetivo dessa ferramenta é formalizar e registrar: 

 

 

Como o Cap Table deve ser construído?

A confecção do Cap Table normalmente se inicia de uma forma mais simples, com poucas informações, equivalente ao nível de complexidade da fase na qual a empresa se encontra.  Com o desenvolvimento do projeto, tende a ficar mais complexa, seguindo o rumo do crescimento empresarial e principalmente dos negócios. 

 

Quem compõe o Cap Table?

Considerando o contexto das Startups e mecânica dos rounds de investimento, onde os investidores aportam recursos e não necessariamente ingressam imediatamente no quadro societário / acionário da empresa, o Cap Table pode trazer, além dos sócios e acionistas formalmente registrados no Contrato Social ou Estatuto, terceiros que já possuem participação negociada, neste caso, os investidores.

 

Importância do Cap Table para Startups

Startups possuem um crescimento exponencial em suas primeiras fases de vida e manter um Cap Table saudável, como ferramenta de organização, torna-se um impulsionador desse desenvolvimento ordenado e orgânico. 

 

Para tal, é essencial que se tenha um controle rígido de quem são os sócios, assim como quais as suas respectivas quotas, ações e valores de investimentos, a fim de se evitar erros e conflitos organizacionais. Isso muito se liga ao fato de que transações, contratos e negócios tendem a ser cada vez mais dinâmicos e não burocráticos, como consequência dos avanços tecnológicos e à ascensão atual das Startups como modelo de negócio mais utilizado no mercado financeiro brasileiro. Por isso, aqueles que não se atualizam, nesses termos, podem impedir ou congelar esse crescimento, ou até pior, gerar problemas futuros pela falta de organização e registro das transações, incluindo até, uma visão depreciativa de potenciais investidores pela falta desse cuidado essencial.

 

Além disso, o Cap Table é um documento essencial para a projeção de situações hipotéticas e futuras por, dentre outros motivos, atribuir transparência ao negócio. A documentação formal destas informações gera, por consequência, uma forte base de confiança para novos investidores ou rodadas de investimentos, na medida em que dá o norte e facilita simulações para análise de potenciais resultados financeiros de transações e aportes. 

O Cap Table é o esqueleto da organização empresarial, e ter um advogado ou profissional legal especializado no assunto elevará ainda mais as chances de sucesso e de um grande crescimento natural, nos termos da legislação vigente e das normas de mercado, maximizando as captações de novos investidores, o aumento do capital social, o atingimento de metas empresariais e a organização.

Early stage, é a fase inicial de desenvolvimento de projetos inovadores das Startups. Neste primeiro momento, a ideia do projeto está tomando forma e o planejamento de ações futuras começa a levantar alguns questionamentos e dúvidas por parte dos empreendedores quanto às obrigatoriedades legais exigidas e recomendadas para a segurança do negócio. 

 

Em vista disso, separamos alguns dos principais documentos jurídicos e práticas que devem ser levadas em consideração pelos empreendedores nesta etapa do projeto: 

 

Memorando de Entendimento 

Antes mesmo que se faça necessária a definição do modelo societário do negócio, recomenda-se a redação de um Memorando de Entendimento. Esse documento conterá algumas definições base para o bom funcionamento do projeto, e para que haja um relacionamento saudável entre os sócios fundadores. O Memorando de Entendimento poderá conter: 

 

 

Registro de Marca 

Um detalhe que por vezes passa despercebido durante a etapa da Ideação é o cuidado com a marca escolhida para o negócio. O registro feito junto ao INPI - Instituto Nacional de Propriedade Intelectual, garante o uso exclusivo da marca em território nacional, além de ser um requisito para a geração de receita através de licenciamento e franquias. 

 

Privacy by Design

Considerando a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), sugere-se que, desde o início, já na concepção do projeto, haja preocupação com a proteção dos dados pessoais tratados pela Startup, ou seja, que o produto ou serviço seja pensado e projetado sob o ponto de vista da segurança dos dados. Esse conceito ou metodologia é chamado de Privacy by Design. Além de agregar valor ao projeto, até mesmo como um diferencial perante o mercado, auxiliará no processo de compliance com a nova lei.

 

Acordo de Confidencialidade 

O Acordo de Confidencialidade, também conhecido como NDA (Non Disclosure Agreement) é um documento pensado para proteger dados e informações do projeto que, por ventura, precisem ser compartilhados com potenciais investidores ou colaboradores de desenvolvimento. Além de definir sigilo, o documento ainda pode prever o prazo de validade para a retenção das informações. No artigo “O que é NDA?”, você confere informações detalhadas acerca deste instrumento. 

 

Registro das Reuniões

Para manter o histórico do que foi discutido nas reuniões, bem como para fins de alinhamento entre os envolvidos no projeto, sugere-se, como boa prática, o registro das deliberações em ata/memória de reunião, que posteriormente deve ser compartilhada com todos os participantes envolvidos, por e-mail, via cloud drive ou outras ferramentas disponíveis no mercado. Essa simples medida contribuirá no sentido de evitar dúvidas e possíveis conflitos futuros em razão de eventuais incertezas sobre as discussões ocorridas.

 

Dica Extra 

Devido ao caráter inovador, característico do modelo de negócios conhecido como Startups, sugere-se que os empresários realizem um estudo de viabilidade junto aos órgãos reguladores para atestar a legalidade do escopo do projeto. Ressaltando sempre a necessidade de uma acompanhamento jurídico para a execução deste e dos demais procedimentos citados neste artigo. No artigo “Consulta técnica perante órgãos reguladores | Uma ferramenta de tomada de decisão em projetos inovadores”, você também pode encontrar mais detalhes sobre o assunto.

 

Dentro do universo empresarial é comum o envolvimento de mais de um personagem na tomada de decisão, justamente devido à existência de sócios, acionistas e investidores. Têm-se, portanto, um cenário propenso a eventuais divergências e conflitos escalonáveis, capazes de prejudicar o desenvolvimento do negócio, se abordados de maneira equivocada. 

 

Nestes momentos, o fato de se ter um plano de gestão de crises é de extrema importância para a empresa, assim como o planejamento prévio e a adoção de instrumentos jurídicos capazes de mitigar tais empecilhos e garantir maior segurança para todos os envolvidos. 

 

Memorando de Entendimento 

Durante a fase inicial de desenvolvimento da Startup, um equívoco comum é a percepção de que a informalidade do modelo de negócio elimina a necessidade de se discutir o relacionamento entre as partes envolvidas. 

 

A determinação prévia das diretrizes do negócio garante maior segurança para todas as partes envolvidas e para tal finalidade pode ser utilizado o Memorando de Entendimento. Este é um documento preliminar, redigido no período que precede a estruturação societária formal, e determina, dentre outros pontos: 

 

 

Acordo de Sócios 

O Acordo de Sócios é um documento responsável por vincular apenas os sócios, mas não a sociedade em si, com objetivo de conectar as partes signatárias na composição de interesses comuns. Este documento poderá prever pontos como: 

 

 

Governança Corporativa 

A Governança Corporativa é um instrumento muitas vezes requisitado por parte dos investidores em Rounds de médio e grande aporte, porém ela também carrega grande importância na prevenção e resolução de conflitos empresariais, devido a sua natureza de organização e padronização de todas as áreas do negócio. 

 

A Governança Corporativa irá definir o conjunto de regras e condutas padronizadas para cada setor de atuação, assim como a atribuição de responsabilidades, níveis hierárquicos e processos de todos os setores da empresa, resultando no que pode se comparar a um grande manual de instruções. 

 

É válido ressaltar que os diversos instrumentos jurídicos capazes de auxiliar na mitigação de conflitos futuros devem ser aplicados de acordo com a realidade atual e as necessidades específicas de cada negócio, tornando essencial a figura do advogado especializado capaz de fornecer uma assessoria jurídica planejada e eficaz. 

No dia 14 de setembro de 2021, foi transmitido através do canal do Youtube da Autoridade Nacional de Proteção de Dados (ANPD) a Audiência Pública sobre a regulamentação da aplicação da LGPD para micro e empresas de pequeno porte. A minuta de proposta da ANPD tem como objetivo facilitar e flexibilizar a adequação desses agentes à LGPD, de forma a não os onerar ou eventualmente inviabilizar negócios.

 

O tema em discussão faz parte da Agenda Regulatória da ANPD e o expediente da Audiência Pública integra o processo de regulamentação, que segue as seguintes etapas:

 

 

A Audiência Pública contou com a participação do Diretor-Presidente da ANPD, Waldemar Gonçalves Ortunho Júnior, e com uma breve exposição da minuta de regulamentação pelo Relator Arthur Pereira Sabbat. Após, integrantes da Coordenação-Geral de Normatização (CGN) esclareceram os estudos e análises realizados nas etapas anteriores do processo de regulamentação e que resultaram no texto submetido à Consulta Pública, sendo os principais destaques:

 

  1. Finalidade da Regulamentação: editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam se adequar à referida lei.

 

  1. Processo de Regulamentação: para a elaboração da minuta do Projeto de Regulamentação foi executado um processo complexo e minucioso, sendo realizada a primeira medida adotada pelo CGN a Tomada de Subsídios, com o intuito de identificar os aspectos relevantes ao tema, e assim, a CGN contou com o envio e análise de 65 contribuições realizadas por agentes econômicos, consumidores e demais entes interessados da Sociedade. No processo, também foram consultadas entidades representativas de empresas, entidades de pesquisas, órgãos públicos, escritórios de advocacia, além da análise comparativa de experiências internacionais quanto ao tema.

 

  1. Tomada de Subsídios: durante a etapa de Tomada de Subsídios, foram identificados como principais pedidos para flexibilização questões relativas ao encarregado, registro de operações de tratamento de dados e Relatório de Impacto à Proteção dos Dados Pessoais (RIDP). Também foram arguidas outras questões, como a definição de agente de pequeno porte, a segurança da informação e governança de dados e a possibilidade de portabilidade.

 

  1. Análise de Impacto Regulatório: a finalidade desta etapa do processo de regulamentação era a de realizar a análise de possíveis impactos do Projeto, com o intuito de orientar e subsidiar as tomadas de decisões pela ANPD. Foi realizada a avaliação de impacto regulatório de 03 (três) temas: (1) definição de microempresa, empresa de pequeno porte e Startups, (2) conformidade das obrigações da LGPD pelas microempresas, empresas de pequeno porte e startups e pessoas naturais que tratam dados pessoais, (3) segurança da informação para proteção de dados pessoais e boas práticas. A avaliação contemplou a análise: (a) problemas a serem solucionados, (b) competência da ANPD para solucionar os problemas, (c) existência de experiência internacional, (d) necessidade da intervenção regulatória, (e) grupos afetados. Por fim, foram realizadas propostas de alternativas para cada um dos temas e que integraram a minuta do Projeto de Regulamentação.

 

  1. Agentes de Tratamento de Pequeno Porte: são considerados nesta definição: microempresas, empresas de pequeno porte, startups, pessoas jurídicas sem fins lucrativos, pessoas naturais e entes despersonalizados.

 

  1. Dispensas e Flexibilizações de Obrigações: a proposta do Projeto de Regulamentação prevê a dispensa e flexibilização de obrigações para agentes de tratamento de pequeno porte que não realizem tratamento de alto risco e em larga escala para titulares, conforme critérios previstos na Regulamentação, e assim, prevendo a possibilidade de:
Dispensa Flexibilização
  • Conferir portabilidade dos dados do titular a outro fornecedor de serviço ou produto
  • Fornecimento de declaração ao titular dos dados que esclareça a origem dos dados, inexistência de registro, critério e utilizados e a finalidade do tratamento
  • Registro das operações de tratamento de dados pessoais
  • Indicação do encarregado (DPO)
  • Facultado, quando solicitado pelo titular de dados, optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • Relatório de Impacto à Proteção de Dados Pessoais simplificado
  • Procedimento simplificado de comunicação de incidente de segurança, que poderá até mesmo ser dispensada pela ANPD, conforme regulamentação específica
  • Política de Segurança da Informação simplificada, que garanta requisitos mínimos de segurança da informação para proteção dos dados pessoais, conforme guia orientativo a ser elaborado pela ANPD
  • Prazo em dobro para atendimento de solicitações de titulares, comunicações de ocorrência de incidência de segurança e para apresentação de documento, informações, relatórios e registros solicitados pela ANPD

 

 

Concluída a breve exposição sobre a formulação do Projeto de Regulamentação, iniciou-se a exposição de membros da Sociedade inscritos, seguindo ordem alfabética das instituições inscritas, seguida da ordem alfabética das pessoas naturais, sendo concedido a cada expositor o tempo de 5 (cinco) minutos para manifestação.

 

A Audiência Pública ainda prossegue no dia 15 de setembro de 2021 através do canal do Youtube da Autoridade Nacional de Proteção de Dados – ANPD, além disso, é possível apresentar contribuições até o dia 29 de setembro de 2021 através do canal Participa + Brasil, no qual também é possível a consulta à íntegra do Projeto, bem como aos documentos que embasaram a proposta.

 

É importante esclarecer que a minuta do Projeto de Regulamentação que se encontra em consulta pública não é o texto final da regulamentação quanto ao tema e nem se encontra em vigência. Após concluído o debate, o texto com as contribuições passará por uma análise jurídica e posterior deliberação do Conselho Diretor da ANPD.

 

Por Vanessa Naunapper

A Sizebay é uma Startup que vem revolucionando o mercado da moda online por meio da plataforma SAAS (software as a service), identificada como provador virtual. Através da ferramenta, usuários de e-commerce descobrem o tamanho ideal para seus corpos a partir de dados como peso, altura e idade. Isso gera mais segurança para comprar, considerando o menor risco de precisar trocar devido ao tamanho.

 

Devido ao modelo de negócio da Startup, sendo ela fornecedora de serviços e por tratar os dados dos clientes dos e-commerces (Controlador) segundo a orientação e em nome destes, a Sizebay é considerada “Operadora” de dados segundo à LGPD. (Se quiser saber mais sobre os agentes de tratamento de dados, acesse o nosso ebook que trata sobre o assunto clicando aqui)

 

Diante desse contexto, é comum o Controlador submeter ao Operador um instrumento contratual chamado Data Processing Agreement (DPA), ou Acordo de Processamento de Dados, que rege todas as diretrizes acerca do tratamento de dados, como se dará o processamento, qual o escopo, finalidade, limites, compartilhamento, responsabilidades, auditorias, penalidades, dentre outras questões.  Desta forma garante-se que o tratamento dos dados esteja em conformidade com a Lei Geral de Proteção de Dados (LGPD) e que ambas as partes possuam segurança jurídica. 

 

Nessa linha, a Sizebay recebeu de um de seus clientes internacionais um Data Processing Agreement (DPA) e, antes de assinar, procurou a Vanzin & Penteado para assessorar juridicamente na análise do contrato e recomendações, de modo que o escopo definido e executado pelo escritório foi:

 

  1. Analisar e interpretar as cláusulas do DPA;
  2. Realizar paralelo entre as requisições e exigências contratuais com a operação do cliente;
  3. Apontar quais disposições contratuais estavam dentro e fora das práticas de mercado;
  4. Apresentar os reflexos futuros de cada disposição contratual;
  5. Propor eventuais novas redações e alterações nas disposições contratuais, bem como eventuais exclusões de cláusulas.

 

Após o trabalho desenvolvido, o documento foi entregue à Sizebay no idioma Inglês, pronto para devolutiva ao cliente internacional que, por sua vez, concordou com os ajustes e firmou o contrato.

 

Sobre o DPA, vale destacar que se trata de um instrumento contratual cada vez mais utilizado, pois é parte indispensável no processo de onboarding de fornecedores na cadeia de prestação de serviços, vez que torna ainda mais robusto o compromisso com o tratamento de dados de forma adequada e em compliance com as regulamentações. 

 

Por Kael Moro 

A entrada em vigor da Lei Geral de Proteção de Dados regulamentou, dentre muitos aspectos, o tratamento de dados pessoais, reconhecido como qualquer atividade que seja realizada com informações que sejam capazes de identificar uma pessoa. 

 

O tratamento de dados, para ser iniciado, deve seguir alguns requisitos que variam de acordo com a natureza dos dados (pessoal, sensível, de criança ou adolescente) e a finalidade da utilização.  Desta forma, entender todas as variáveis é de extrema relevância para, posteriormente, de forma estratégica, embasar a operação da empresa conforme dispõe a Lei Geral de Proteção de Dados.

 

A Lei traz no artigo 7º, de maneira objetiva, um rol com 10 possibilidades, nas quais a empresa pode embasar o tratamento dos dados pessoais.

 

Como o objetivo do presente material é abordar o assunto com foco nos produtos e serviços desenvolvidos por Startups, destacamos 6 das 10 hipóteses de tratamento de dados pessoais, que são aplicáveis a estes negócios:

 

1. Consentimento

A primeira e mais conhecida é a utilização dos dados pessoais por meio do Consentimento do titular dos dados, ou seja, da autorização expressa, livre e inequívoca para uma finalidade determinada.

 

Nessa hipótese, o titular dos dados poderá revogar o referido consentimento a qualquer momento e, quando tal fato ocorrer, cessará a permissão para a Startup utilizar tais dados.

 

Por este motivo, em muitos casos, recomenda-se que o Consentimento seja utilizado como base para tratamento dos dados apenas quando nenhuma outra hipótese se enquadrar à situação de tratamento.

 

Um exemplo que pode ser dado é quando uma Startup deseja utilizar os dados pessoais dos usuários da plataforma, com a finalidade de promover campanhas de marketing.

 

2. Cumprimento de Obrigação Legal ou Regulatória pelo Controlador

Esta base legal diz respeito à coleta de dados para o cumprimento de obrigação legal ou regulatória da empresa.  Nesse caso, por exemplo, quando a Startup precisa da informação para cumprir alguma disposição da lei, como a coleta do CPF do comprador para emissão de nota fiscal.  

 

Por este motivo, não há exigência do consentimento, pois trata-se de obrigação legal a ser cumprida, não fazendo sentido depender de autorização do titular dos dados para tal. De todo modo, é recomendado informar aos compradores, quando da utilização desta base legal, por meio da política ou aviso de privacidade.

 

3. Execução de Contrato

Trata-se de hipótese que permite a utilização de determinados dados pessoais para a execução do contrato ou de procedimentos preliminares relacionados ao contrato, do qual seja parte o titular.

 

No caso das Startups, esta base legal pode ser utilizada para relacionar dados que tenham conexão com o escopo, por exemplo: 

 

4. Exercício de Direitos em Processos

Esta previsão diz respeito à possibilidade de utilização de dados pessoais para o exercício de direito em processos judiciais ou arbitrários, na produção de provas, defesa e outras manifestações judiciais ou administrativas.

 

Ou seja, a empresa poderá tratar tais informações, independente do consentimento do titular dos dados, mas restrita à finalidade de exercer seus direitos em processos. 

 

5. Interesse Legítimo do Controlador ou de Terceiro

Diz respeito à possibilidade de o controlador utilizar os dados do titular, sem o consentimento deste, em razão de atender a um interesse específico e legítimo.

 

Nota-se que é uma hipótese relativamente mais abrangente e flexível das listadas na LGPD e, justamente por isso, há um cuidado especial no artigo 10 da Lei que estabelece alguns parâmetros para o melhor entendimento e configuração, prezando pelo equilíbrio entre os interesses do controlador e os interesses e direitos do titular.

 

Para a aplicação desta base, é necessário avaliar em detalhes o caso concreto, realizar, inclusive, um teste subjetivo do legítimo interesse, que levará em conta: o interesse propriamente dito, análise de necessidade, razoabilidade de sua utilização frente aos direitos do titular dos dados.

 

6. Proteção ao Crédito

Esta previsão permite a utilização de dados pessoais, sem o consentimento do titular, com objetivo de proteção ao crédito, como por exemplo para realizar análise de credit score ou avaliar histórico de inadimplência. 

 

Ou seja, garante que, em situações de cobrança ou dívidas contraídas, os titulares dos dados não usem o argumento da LGPD como meio para escaparem de suas obrigações financeiras, ao não permitirem a coleta e utilização dos dados.

 

Após análise das 6 principais bases jurídicas para o tratamento de dados pessoais, conclui-se que não há melhor ou pior base jurídica a ser escolhida, é necessária uma análise minuciosa da operação que envolve o tratamento de dados para enquadramento da hipótese legal mais adequada para a situação concreta.

 

Hipóteses de tratamento para dados sensíveis

Dados sensíveis são aqueles de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física, e exigem que o tratamento seja precedido de maior cautela. 

 

Ademais, vale destacar que eventual incidente de segurança com estes dados, tem potencial altamente gravoso aos direitos e liberdades dos titulares.

 

Considerando, assim, a natureza dos dados sensíveis, as hipóteses para o tratamento são mais restritivas, e a lei dispõe, no artigo 11, como esse deve ocorrer:

 

 

 

Na prática, para as Startups que trabalham com dados sensíveis, há a necessidade da observância e seleção da base legal mais adequada para cada caso.  

 

Hipóteses para dados de crianças e adolescentes

Um ponto a ser sinalizado, em especial quando tratamos da dinâmica das Startups, são as hipóteses para tratamento de dados pessoais de crianças e adolescentes, que atualmente são players ativos no ecossistema digital.

 

O tratamento em si pode ser realizado em seu melhor interesse e nos limites estabelecidos pela LGPD, no entanto, deverá ser realizado necessariamente mediante consentimento específico e em destaque, por pelo menos um dos pais ou responsável legal.

 

Desta forma, logo na etapa do cadastro do usuário na plataforma da Startup, recomenda-se que haja uma etapa específica para identificação da idade do usuário e, caso este seja de menor, um requerimento envolvendo os pais ou representante legal.  Sendo inobservada tal disposição, a Startup estará sujeita às penalidades impostas pela Lei, em vigor a partir de agosto de 2021.

 

Por Kael Moro 

A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) trouxe a inauguração de alguns conceitos, como é o caso dos agentes de tratamento de dados, que podem ser classificados como controladores, operadores, encarregados e titulares de dados. O texto prevê responsabilidades e obrigações de cada espécie segmentada, assim como quem é passível de receber cada função. 

 

Frente a esse cenário, é importante que o avançar das operações econômicas e comerciais que tratam dados pessoais realizem uma correta definição acerca das responsabilidades destes agentes, que precisam, inclusive, ser delimitadas em contratos das mais diversas naturezas, com objetivo de proporcionar às partes a segurança jurídica adequada, e de facilitar eventuais penalizações em caso de incidentes que, devido à falta de jurisprudências disponíveis como consequência da recente promulgação da Lei, seguem a GDPR, lei de privacidade e segurança de dados da União Européia, por analogia. 

 

Todavia, embora os agentes estejam corretamente especificados em documentos que regulam a relação entre as partes, a mera definição em contrato de quem são os agentes de tratamento de dados pessoais não será suficiente numa discussão jurídica, devendo a autoridade nacional avaliar o contexto prático da situação. É possível, ainda, que em algumas hipóteses estes papéis se confundam, isto é, a prática em países desenvolvidos mostrou que é possível que dois ou mais agentes atuem na figura de Controladores.

 

Este fato apenas corrobora com a necessidade de se olhar a correta definição dos agentes de tratamento de dados, tanto sob o prisma da situação prática, quanto da contratual

 

Nesta última, a correta definição das partes e agentes de tratamento é indispensável e de extrema importância. Por mais complexa que possa ser, tal exercício é necessário para garantir segurança jurídica aos envolvidos. Neste aspecto, inclusive, é de se esperar que a Autoridade Nacional de Proteção de Dados (ANPD), supra estas lacunas interpretativas deixadas pelo legislador, assim como fizeram as autoridades europeias através do Article 29 Data Protection Working Party:

“O Working Party reconhece as dificuldades em aplicar as definições da Diretiva em um ambiente complexo, no qual podem ser previstos vários cenários envolvendo controladores e operadores, de forma independente ou conjunta, com diferentes níveis de autonomia e responsabilidade.”

 

Conclui-se, portanto, que resta clara a importância da devida atenção a este ponto, tendo em vista as consequências que decorrem desta questão, seja em razão da correta alocação de responsabilidades entre os agentes, seja em caso de aplicação da lei por parte de autoridade competente. 

 

Recomenda-se, então, analisar os cenários a partir dos julgados brasileiros para entender como adequar e interpretar as relações entre os agentes de tratamento de dados pessoais, garantindo aos mais diversos indivíduos a máxima segurança jurídica possível.

 

Por Lucas Willian Farias

 

¹ Article 29 Working Party, Opinon 01/2010 (WP 169, 16 de fevereiro de 2010) 00264/10/EN. 2010. p. 1. Tradução livre. Texto original: “The Working Party recognizes the difficulties in applying the definitions of the Directive in a complex environment, where many scenarios can be foreseen involving controllers and processors, alone or jointly, with different degrees of autonomy and responsibility”.

 

Os empreendedores da Transfeera, fintech de gestão e processamento de pagamentos, consultam a Vanzin & Penteado para avaliar, revisar e atualizar o pacote de documentos jurídicos relacionados à plataforma.

 

Desta forma, os objetivos definidos e executados pela Vanzin & Penteado Advogados foram:

  1. Avaliar e revisar os documentos já existentes;
  2. Propor eventuais novos instrumentos;
  3. Atualizar constantemente o conteúdo dos documentos, diretamente na landing page da Transfeera.

 

Após a revisão dos documentos existentes e confecção dos novos, o pack de termos e políticas foi compilado e inserido na landing page, que reuniu, em um só lugar, todos os documentos jurídicos relacionados à plataforma.

 

No caso da Transfeera, o CFO Rodrigo Kratzer comenta: “nosso principal objetivo com a Legal Page era o de tornar todos os nossos termos transparentes para quem aderisse a nossa plataforma. A VP Advogados, como referência de mercado, nos auxiliou em todo o processo, avaliando nossa política da época e propondo novos instrumentos”.

 

De acordo com estudos realizados pela Statista, os usuários virtuais mais preocupados com a privacidade on-line são aqueles que residem na América Latina.

 

Diante desse cenário, e somado ao recente fato da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), ressalta-se a transparência como uma das condutas mais recomendadas para Startups, e-commerces e outras empresas que operam por meio ou no mundo virtual. A LGPD conceitua a transparência (art. 5º., VI) e a contempla no capítulo de governança e boas práticas, demonstrando seu protagonismo nos negócios que prezam pela proteção de dados pessoais.

 

Assim, a publicação dos instrumentos jurídicos que permeiam as relações entre empresa e usuários, no website, plataforma ou aplicativo, é essencial para demonstrar transparência e aumentar a confiabilidade perante o mercado.

 

Além dos conhecidos termos de uso, há outros documentos de extrema importância, como a política de privacidade, política de cookies, política de marcas, Acordo de Nível de Serviço – SLA, Termos de uso de API, dentre outros específicos e requisitados por órgãos reguladores.

 

Considerando esse contexto, a Vanzin & Penteado recomenda e auxilia seus clientes na elaboração da Legal Page: uma página única que concentra o conjunto de todos os documentos considerados essenciais para os negócios digitais, permanentemente atualizados, redigidos de forma acessível e em conformidade com a Lei - especialmente de acordo com a recente LGPD, agora, plenamente em vigor.

 

Por Kael Moro.

© 2022 Vanzin & Penteado Advogados Associados.

crossmenu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram