A nova Lei Geral de Proteção de Dados (LGPD) inaugurou uma cultura legislativa, empresarial, jurídica e social de cuidado e cautela com o uso de dados pessoais. Esse cenário, portanto, acarreta em uma necessidade ainda maior de conscientização do tratamento das informações, e da gestão dos profissionais que as possuem, assim como o alerta constante a eventuais usos indevidos. 

 

A legislação tem raízes tão importantes quanto o direito à liberdade, à dignidade da pessoa humana, à privacidade e ao livre desenvolvimento da personalidade da pessoa natural capaz. Isso porque estamos cada vez mais inseridos nas redes sociais e o compartilhamento de dados é tão rápido, que nem sempre é possível notar com clareza a necessidade ou não de compartilhamento desses dados, para qual finalidade, onde e como poderão ser utilizados. Entretanto, muito se questiona sobre a diferenciação entre dados pessoais e dados pessoais sensíveis, na medida em que a legislação explicita tratamentos diferenciados a ambos. Confira, a seguir, as principais informações acerca da classificação de cada natureza. 

 

Dados Pessoais 

Dados pessoais são aqueles que podem levar à identificação de alguém, ainda que de forma indireta. Eles vão muito além das informações contidas nas documentações pessoais das pessoas naturais, ou de seu número de telefone e endereço eletrônico. São alguns exemplos:

• Nome próprio
• Gênero
• Numeração de RG e CPF
• Passaporte
• Carteira de habilitação
• Filiação
• Endereço residencial ou comercial
• Telefone
• E-mail
• Endereço de IP e cookies
• Data e local de nascimento
• Localização via GPS
• Dados bancários
• Fotografias
• Prontuários médicos
• Renda
• Identidade física, fisiológica, genética, mental, econômica, cultural ou social
  

 

Dentre outros. Todos aqueles dados que revelem a identidade de pessoas vivas, ainda que indiretamente, são considerados dados pessoais e merecem a devida cautela, devendo ser recolhidos para finalidades determinadas, explícitas e legítimas, e não podendo ser, posteriormente, tratados de forma incompatível com essas finalidades.

 

Dados Pessoais Sensíveis

Dados pessoais sensíveis, por sua vez, são aqueles que versam sobre:

• Origem racial ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato ou à organização de caráter religioso, filosófico ou político;
• Dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, de acordo com a própria legislação.

 

Tratam-se dos dados que dizem respeito a informações íntimas e que podem ser utilizados de forma discriminatória. A utilização dessas informações depende de autorização expressa do indivíduo - uma manifestação de vontade sempre livre, específica e explícita - pela qual o titular dos dados aceita que seus dados pessoais sensíveis sejam objeto de tratamento.

 

Quais as diferenças no tratamento?

O tratamento de dado pessoal deve seguir algumas normas legais, conforme discrimina o 7º artigo da LGPD, quais como: consentimento; obrigação legal ou regulatória; para execução de políticas públicas pela administração pública; estudos por órgão de pesquisa; execução de contrato; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; interesse legítimo; proteção ao crédito.

 

Já o tratamento de dados pessoais sensíveis pode ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas, de acordo com o art. 11 da lei, além da observância dos princípios da boa-fé, finalidade, adequação e necessidade.

O Acordo de Confidencialidade, também conhecido como Non Disclosure Agreement (NDA), é um documento que pode ajudar a empresa ou empreendedor a proteger as suas informações e/ou dados confidenciais, que em virtude de relação comercial, são compartilhadas com terceiros.   

 

Ao assinar um NDA, as partes concordam em proteger as informações confidenciais compartilhadas, além de não as divulgar sem consentimento.  

 

O Acordo de Confidencialidade pode ser firmado de forma unilateral, quando apenas uma parte revelará informações confidenciais, costumeiramente nomeada como “Parte Reveladora” e, de outro lado, a “Parte Receptora”, que terá acesso a tais informações.  Entretanto, o NDA pode ser também bilateral, quando as partes compartilharão e receberão informações entre si, situação em que as obrigações e deveres acerca da confidencialidade serão recíprocas.

 

Além da definição sobre quais dados e informações serão considerados sigilosos, o NDA também conterá disposição quanto às hipóteses de uso das informações confidenciais, incluindo, como elas poderão ser usadas, com quem poderão ser compartilhadas, quais as medidas de segurança que devem ser adotadas e, claro, as penalidades em caso de descumprimento.

 

O documento também poderá estabelecer o prazo pelo qual durará o Acordo de Confidencialidade, sendo possível, por exemplo, que as partes acordem que o sigilo das informações será mantido mesmo após findada da relação principal (comercial, parceria, investimento etc.).  Dessa forma, busca-se resguardar a Parte Reveladora quanto a eventuais questões concorrenciais, estratégicas, dentre outros fatores que podem impactar o desenvolvimento do negócio.  A depender da relação estabelecida entre as partes envolvidas, poderão ser objeto de um NDA, por exemplo, as seguintes informações:

 

• Modelos de negócios a serem apresentados a um grupo de investidores;
• Planos para um novo produto, ferramenta, feature a ser produzida conjuntamente com um parceiro;
• Informações trocadas em processos de mentoria ou brainstorm;
• Contratação de fornecedor externo e/ou prestador de serviço que atuará conjuntamente com a empresa;
• Dados técnicos ou projetos;
• Estrutura de preços ou política de monetização;
• Informações financeiras e estratégicas da empresa;
• Carteira de clientes e fornecedores;
• Dentre outros.

 

Com o intuito de exemplificar o formato do Acordo de Confidencialidade, elaboramos um template que contém a estrutura e cláusulas básicas (clique para acessar).  É importante esclarecer que a elaboração de qualquer instrumento jurídico deve ser pautada nas especificidades de cada relação e no interesse das partes, por isso é recomendado sempre a busca por um especialista que possa melhor orientar as partes na elaboração deste documento.

 

Em 1º de agosto de 2021, entraram em vigor os dispositivos que tratam das penalidades em caso de descumprimento da Lei Geral de Proteção de Dados (LGPD). Ou seja, a partir dessa data a Lei está em vigor em sua plenitude, abrangendo todos os setores, como Startups, empresas e demais entes que realizam o tratamento de dados pessoais.

 

No decorrer do processo de planejamento, diagnóstico e implementação destas adequações, nota-se que o nível prévio de maturidade e preparação do negócio, influencia na celeridade e complexidade do desenvolvimento do processo. 

 

Diante desse cenário, com o intuito de melhor aparelhar as Startups e empresas que desejam simplificar e acelerar o processo, elencamos boas práticas que podem ser adotadas internamente e previamente ao processo de diagnóstico e implementação da LGPD:

 

1. Comitê Interno

Criação de comitê interno na Startup, ou empresa, com profissionais chave do negócio. Recomenda-se que participe um representante de cada grande área (comercial, operação, desenvolvimento, vendas, marketing, financeiro, RH), para que, dessa forma, conscientizem-se e conversem sobre a relevância da Proteção de Dados. 

 

2. Compreensão dos Fluxos Internos

Realizar o mapeamento de todos ou dos principais processos operacionais da empresa, com o objetivo de os empreendedores/gestores entenderem o próprio negócio, que muitas vezes não está claro ou documentado, dificultando o processo de implementação da LGPD.

 

3. Organização dos Contratos

Compilar os contratos firmados com parceiros, fornecedores, clientes, funcionários, prestadores de serviço no geral para que, na etapa futura de avaliação dos instrumentos jurídicos, todos os documentos já estejam facilmente disponíveis e organizados para análise e parecer. 

 

4. Infraestrutura virtual

Conhecer onde a plataforma, website ou app estão hospedados, quais as ferramentas de segurança, códigos e cookies utilizados. Outra questão importante é compreender quais pessoas têm acesso ao banco de dados, esses são alguns dos pontos de extrema relevância para iniciar internamente as discussões a respeito da segurança virtual dos dados e informações que transitam na Startup/Empresa.

 

5. Gestão de Fornecedores 

Listar todos os fornecedores da Startup/Empresa para identificar com quem os dados coletados estão sendo compartilhados e com qual finalidade, é de extrema relevância para iniciar o trabalho de diagnóstico da operação. O que inclui, por exemplo ferramentas tais como: gateways de pagamento, data center, CRM, ferramentas de analytics, empresa de marketing, etc.

 

6. Quais dados são coletados

Identificar todos os dados coletados, tanto dos clientes, usuários da plataforma, funcionários, dentre outros, com o objetivo de gerar um inventário de dados, que será um subsídio fundamental no processo futuro de diagnóstico.

 

É importante que as Startups e empresas encarem a LGPD não apenas como uma simples exigência regulatória, mas também como uma oportunidade de se resguardarem em relação à proteção de dados, sendo necessário reavaliar processos internos e a segurança, fatores que também contribuem para o fortalecimento da estratégia do negócio. 

 

A elaboração de Políticas de Privacidade ou Políticas de Cookies, é apenas uma das etapas de implementação da LGPD, executada somente depois de realizado todo o diagnóstico e mapeamento da operação. Porém, além do resultado final e aparente ao usuário da plataforma, ou website, também é necessário que o projeto contemple a criação e o fortalecimento da cultura de proteção de dados, que se inicia com os gestores e acaba por envolver todos os colaboradores da organização, devendo ser uma consciência disseminada a fim de se tornar cotidiana para todos. 

 

Através destas mudanças as organizações podem gerenciar proativamente a conformidade e reduzir o risco de violações de dados - um imperativo estratégico em um momento em que os custos globais do cibercrime são estimados para dobrar nos próximos anos. 

 

Por Kael Moro

No dia 14 de setembro de 2021, foi transmitido através do canal do Youtube da Autoridade Nacional de Proteção de Dados (ANPD) a Audiência Pública sobre a regulamentação da aplicação da LGPD para micro e empresas de pequeno porte. A minuta de proposta da ANPD tem como objetivo facilitar e flexibilizar a adequação desses agentes à LGPD, de forma a não os onerar ou eventualmente inviabilizar negócios.

 

O tema em discussão faz parte da Agenda Regulatória da ANPD e o expediente da Audiência Pública integra o processo de regulamentação, que segue as seguintes etapas:

 

 

A Audiência Pública contou com a participação do Diretor-Presidente da ANPD, Waldemar Gonçalves Ortunho Júnior, e com uma breve exposição da minuta de regulamentação pelo Relator Arthur Pereira Sabbat. Após, integrantes da Coordenação-Geral de Normatização (CGN) esclareceram os estudos e análises realizados nas etapas anteriores do processo de regulamentação e que resultaram no texto submetido à Consulta Pública, sendo os principais destaques:

 

1. Finalidade da Regulamentação: editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam se adequar à referida lei.

 

2. Processo de Regulamentação: para a elaboração da minuta do Projeto de Regulamentação foi executado um processo complexo e minucioso, sendo realizada a primeira medida adotada pelo CGN a Tomada de Subsídios, com o intuito de identificar os aspectos relevantes ao tema, e assim, a CGN contou com o envio e análise de 65 contribuições realizadas por agentes econômicos, consumidores e demais entes interessados da Sociedade. No processo, também foram consultadas entidades representativas de empresas, entidades de pesquisas, órgãos públicos, escritórios de advocacia, além da análise comparativa de experiências internacionais quanto ao tema.

 

3. Tomada de Subsídios: durante a etapa de Tomada de Subsídios, foram identificados como principais pedidos para flexibilização questões relativas ao encarregado, registro de operações de tratamento de dados e Relatório de Impacto à Proteção dos Dados Pessoais (RIDP). Também foram arguidas outras questões, como a definição de agente de pequeno porte, a segurança da informação e governança de dados e a possibilidade de portabilidade.

 

4. Análise de Impacto Regulatório: a finalidade desta etapa do processo de regulamentação era a de realizar a análise de possíveis impactos do Projeto, com o intuito de orientar e subsidiar as tomadas de decisões pela ANPD. Foi realizada a avaliação de impacto regulatório de 03 (três) temas: (1) definição de microempresa, empresa de pequeno porte e Startups, (2) conformidade das obrigações da LGPD pelas microempresas, empresas de pequeno porte e startups e pessoas naturais que tratam dados pessoais, (3) segurança da informação para proteção de dados pessoais e boas práticas. A avaliação contemplou a análise: (a) problemas a serem solucionados, (b) competência da ANPD para solucionar os problemas, (c) existência de experiência internacional, (d) necessidade da intervenção regulatória, (e) grupos afetados. Por fim, foram realizadas propostas de alternativas para cada um dos temas e que integraram a minuta do Projeto de Regulamentação.

 

5. Agentes de Tratamento de Pequeno Porte: são considerados nesta definição: microempresas, empresas de pequeno porte, startups, pessoas jurídicas sem fins lucrativos, pessoas naturais e entes despersonalizados.

 

6. Dispensas e Flexibilizações de Obrigações: a proposta do Projeto de Regulamentação prevê a dispensa e flexibilização de obrigações para agentes de tratamento de pequeno porte que não realizem tratamento de alto risco e em larga escala para titulares, conforme critérios previstos na Regulamentação, e assim, prevendo a possibilidade de:

Dispensa

Flexibilização

Conferir portabilidade dos dados do titular a outro fornecedor de serviço ou produto Fornecimento de declaração ao titular dos dados que esclareça a origem dos dados, inexistência de registro, critério e utilizados e a finalidade do tratamento Registro das operações de tratamento de dados pessoais Indicação do encarregado (DPO)

Facultado, quando solicitado pelo titular de dados, optar entre anonimizar, bloquear ou eliminar os dados desnecessários, excessivos ou tratados em desconformidade com a LGPD Relatório de Impacto à Proteção de Dados Pessoais simplificado Procedimento simplificado de comunicação de incidente de segurança, que poderá até mesmo ser dispensada pela ANPD, conforme regulamentação específica Política de Segurança da Informação simplificada, que garanta requisitos mínimos de segurança da informação para proteção dos dados pessoais, conforme guia orientativo a ser elaborado pela ANPD Prazo em dobro para atendimento de solicitações de titulares, comunicações de ocorrência de incidência de segurança e para apresentação de documento, informações, relatórios e registros solicitados pela ANPD

 

Concluída a breve exposição sobre a formulação do Projeto de Regulamentação, iniciou-se a exposição de membros da Sociedade inscritos, seguindo ordem alfabética das instituições inscritas, seguida da ordem alfabética das pessoas naturais, sendo concedido a cada expositor o tempo de 5 (cinco) minutos para manifestação.

 

A Audiência Pública ainda prossegue no dia 15 de setembro de 2021 através do canal do Youtube da Autoridade Nacional de Proteção de Dados – ANPD, além disso, é possível apresentar contribuições até o dia 29 de setembro de 2021 através do canal Participa + Brasil, no qual também é possível a consulta à íntegra do Projeto, bem como aos documentos que embasaram a proposta.

 

É importante esclarecer que a minuta do Projeto de Regulamentação que se encontra em consulta pública não é o texto final da regulamentação quanto ao tema e nem se encontra em vigência. Após concluído o debate, o texto com as contribuições passará por uma análise jurídica e posterior deliberação do Conselho Diretor da ANPD.

 

Por Vanessa Naunapper

A Sizebay é uma Startup que vem revolucionando o mercado da moda online por meio da plataforma SAAS (software as a service), identificada como provador virtual. Através da ferramenta, usuários de e-commerce descobrem o tamanho ideal para seus corpos a partir de dados como peso, altura e idade. Isso gera mais segurança para comprar, considerando o menor risco de precisar trocar devido ao tamanho.

 

Devido ao modelo de negócio da Startup, sendo ela fornecedora de serviços e por tratar os dados dos clientes dos e-commerces (Controlador) segundo a orientação e em nome destes, a Sizebay é considerada “Operadora” de dados segundo à LGPD. (Se quiser saber mais sobre os agentes de tratamento de dados, acesse o nosso ebook que trata sobre o assunto clicando aqui)

 

Diante desse contexto, é comum o Controlador submeter ao Operador um instrumento contratual chamado Data Processing Agreement (DPA), ou Acordo de Processamento de Dados, que rege todas as diretrizes acerca do tratamento de dados, como se dará o processamento, qual o escopo, finalidade, limites, compartilhamento, responsabilidades, auditorias, penalidades, dentre outras questões.  Desta forma garante-se que o tratamento dos dados esteja em conformidade com a Lei Geral de Proteção de Dados (LGPD) e que ambas as partes possuam segurança jurídica. 

 

Nessa linha, a Sizebay recebeu de um de seus clientes internacionais um Data Processing Agreement (DPA) e, antes de assinar, procurou a Vanzin & Penteado para assessorar juridicamente na análise do contrato e recomendações, de modo que o escopo definido e executado pelo escritório foi:

 

1. Analisar e interpretar as cláusulas do DPA;
2. Realizar paralelo entre as requisições e exigências contratuais com a operação do cliente;
3. Apontar quais disposições contratuais estavam dentro e fora das práticas de mercado;
4. Apresentar os reflexos futuros de cada disposição contratual;
5. Propor eventuais novas redações e alterações nas disposições contratuais, bem como eventuais exclusões de cláusulas.

 

Após o trabalho desenvolvido, o documento foi entregue à Sizebay no idioma Inglês, pronto para devolutiva ao cliente internacional que, por sua vez, concordou com os ajustes e firmou o contrato.

 

Sobre o DPA, vale destacar que se trata de um instrumento contratual cada vez mais utilizado, pois é parte indispensável no processo de onboarding de fornecedores na cadeia de prestação de serviços, vez que torna ainda mais robusto o compromisso com o tratamento de dados de forma adequada e em compliance com as regulamentações. 

 

Por Kael Moro 

A entrada em vigor da Lei Geral de Proteção de Dados regulamentou, dentre muitos aspectos, o tratamento de dados pessoais, reconhecido como qualquer atividade que seja realizada com informações que sejam capazes de identificar uma pessoa. 

 

O tratamento de dados, para ser iniciado, deve seguir alguns requisitos que variam de acordo com a natureza dos dados (pessoal, sensível, de criança ou adolescente) e a finalidade da utilização.  Desta forma, entender todas as variáveis é de extrema relevância para, posteriormente, de forma estratégica, embasar a operação da empresa conforme dispõe a Lei Geral de Proteção de Dados.

 

A Lei traz no artigo 7º, de maneira objetiva, um rol com 10 possibilidades, nas quais a empresa pode embasar o tratamento dos dados pessoais.

 

Como o objetivo do presente material é abordar o assunto com foco nos produtos e serviços desenvolvidos por Startups, destacamos 6 das 10 hipóteses de tratamento de dados pessoais, que são aplicáveis a estes negócios:

 

1. Consentimento

A primeira e mais conhecida é a utilização dos dados pessoais por meio do Consentimento do titular dos dados, ou seja, da autorização expressa, livre e inequívoca para uma finalidade determinada.

 

Nessa hipótese, o titular dos dados poderá revogar o referido consentimento a qualquer momento e, quando tal fato ocorrer, cessará a permissão para a Startup utilizar tais dados.

 

Por este motivo, em muitos casos, recomenda-se que o Consentimento seja utilizado como base para tratamento dos dados apenas quando nenhuma outra hipótese se enquadrar à situação de tratamento.

 

Um exemplo que pode ser dado é quando uma Startup deseja utilizar os dados pessoais dos usuários da plataforma, com a finalidade de promover campanhas de marketing.

 

2. Cumprimento de Obrigação Legal ou Regulatória pelo Controlador

Esta base legal diz respeito à coleta de dados para o cumprimento de obrigação legal ou regulatória da empresa.  Nesse caso, por exemplo, quando a Startup precisa da informação para cumprir alguma disposição da lei, como a coleta do CPF do comprador para emissão de nota fiscal.  

 

Por este motivo, não há exigência do consentimento, pois trata-se de obrigação legal a ser cumprida, não fazendo sentido depender de autorização do titular dos dados para tal. De todo modo, é recomendado informar aos compradores, quando da utilização desta base legal, por meio da política ou aviso de privacidade.

 

3. Execução de Contrato

Trata-se de hipótese que permite a utilização de determinados dados pessoais para a execução do contrato ou de procedimentos preliminares relacionados ao contrato, do qual seja parte o titular.

 

No caso das Startups, esta base legal pode ser utilizada para relacionar dados que tenham conexão com o escopo, por exemplo: 

• Dados do cartão de crédito: dado necessário para processar o pagamento da assinatura do serviço ou compra;
• E-mail e telefone: realizar comunicação ou prestar suporte em relação a serviços oferecidos por meio de plataforma;

 

4. Exercício de Direitos em Processos

Esta previsão diz respeito à possibilidade de utilização de dados pessoais para o exercício de direito em processos judiciais ou arbitrários, na produção de provas, defesa e outras manifestações judiciais ou administrativas.

 

Ou seja, a empresa poderá tratar tais informações, independente do consentimento do titular dos dados, mas restrita à finalidade de exercer seus direitos em processos. 

 

5. Interesse Legítimo do Controlador ou de Terceiro

Diz respeito à possibilidade de o controlador utilizar os dados do titular, sem o consentimento deste, em razão de atender a um interesse específico e legítimo.

 

Nota-se que é uma hipótese relativamente mais abrangente e flexível das listadas na LGPD e, justamente por isso, há um cuidado especial no artigo 10 da Lei que estabelece alguns parâmetros para o melhor entendimento e configuração, prezando pelo equilíbrio entre os interesses do controlador e os interesses e direitos do titular.

 

Para a aplicação desta base, é necessário avaliar em detalhes o caso concreto, realizar, inclusive, um teste subjetivo do legítimo interesse, que levará em conta: o interesse propriamente dito, análise de necessidade, razoabilidade de sua utilização frente aos direitos do titular dos dados.

 

6. Proteção ao Crédito

Esta previsão permite a utilização de dados pessoais, sem o consentimento do titular, com objetivo de proteção ao crédito, como por exemplo para realizar análise de credit score ou avaliar histórico de inadimplência. 

 

Ou seja, garante que, em situações de cobrança ou dívidas contraídas, os titulares dos dados não usem o argumento da LGPD como meio para escaparem de suas obrigações financeiras, ao não permitirem a coleta e utilização dos dados.

 

Após análise das 6 principais bases jurídicas para o tratamento de dados pessoais, conclui-se que não há melhor ou pior base jurídica a ser escolhida, é necessária uma análise minuciosa da operação que envolve o tratamento de dados para enquadramento da hipótese legal mais adequada para a situação concreta.

 

Hipóteses de tratamento para dados sensíveis

Dados sensíveis são aqueles de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física, e exigem que o tratamento seja precedido de maior cautela. 

 

Ademais, vale destacar que eventual incidente de segurança com estes dados, tem potencial altamente gravoso aos direitos e liberdades dos titulares.

 

Considerando, assim, a natureza dos dados sensíveis, as hipóteses para o tratamento são mais restritivas, e a lei dispõe, no artigo 11, como esse deve ocorrer:

 

• Com o consentimento: Com consentimento do titular ou seu responsável legal, de forma específica e destacada, para finalidades determinadas; 

 

• Sem o consentimento: i) para cumprimento de obrigação legal; ii) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; iii) realização de estudos por órgãos de pesquisa; iv) para exercício de direitos em contratos, processos judiciais e administrativos; v) proteção à vida do titular; vi) tutela da saúde por profissionais da saúde; vii) prevenção à fraude e à segurança do titular dos dados na identificação ou autenticação de cadastro em sistemas eletrônicos.

 

Na prática, para as Startups que trabalham com dados sensíveis, há a necessidade da observância e seleção da base legal mais adequada para cada caso.  

 

Hipóteses para dados de crianças e adolescentes

Um ponto a ser sinalizado, em especial quando tratamos da dinâmica das Startups, são as hipóteses para tratamento de dados pessoais de crianças e adolescentes, que atualmente são players ativos no ecossistema digital.

 

O tratamento em si pode ser realizado em seu melhor interesse e nos limites estabelecidos pela LGPD, no entanto, deverá ser realizado necessariamente mediante consentimento específico e em destaque, por pelo menos um dos pais ou responsável legal.

 

Desta forma, logo na etapa do cadastro do usuário na plataforma da Startup, recomenda-se que haja uma etapa específica para identificação da idade do usuário e, caso este seja de menor, um requerimento envolvendo os pais ou representante legal.  Sendo inobservada tal disposição, a Startup estará sujeita às penalidades impostas pela Lei, em vigor a partir de agosto de 2021.

 

Por Kael Moro 

A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) trouxe a inauguração de alguns conceitos, como é o caso dos agentes de tratamento de dados, que podem ser classificados como controladores, operadores, encarregados e titulares de dados. O texto prevê responsabilidades e obrigações de cada espécie segmentada, assim como quem é passível de receber cada função. 

 

Frente a esse cenário, é importante que o avançar das operações econômicas e comerciais que tratam dados pessoais realizem uma correta definição acerca das responsabilidades destes agentes, que precisam, inclusive, ser delimitadas em contratos das mais diversas naturezas, com objetivo de proporcionar às partes a segurança jurídica adequada, e de facilitar eventuais penalizações em caso de incidentes que, devido à falta de jurisprudências disponíveis como consequência da recente promulgação da Lei, seguem a GDPR, lei de privacidade e segurança de dados da União Européia, por analogia. 

 

Todavia, embora os agentes estejam corretamente especificados em documentos que regulam a relação entre as partes, a mera definição em contrato de quem são os agentes de tratamento de dados pessoais não será suficiente numa discussão jurídica, devendo a autoridade nacional avaliar o contexto prático da situação. É possível, ainda, que em algumas hipóteses estes papéis se confundam, isto é, a prática em países desenvolvidos mostrou que é possível que dois ou mais agentes atuem na figura de Controladores.

 

Este fato apenas corrobora com a necessidade de se olhar a correta definição dos agentes de tratamento de dados, tanto sob o prisma da situação prática, quanto da contratual. 

 

Nesta última, a correta definição das partes e agentes de tratamento é indispensável e de extrema importância. Por mais complexa que possa ser, tal exercício é necessário para garantir segurança jurídica aos envolvidos. Neste aspecto, inclusive, é de se esperar que a Autoridade Nacional de Proteção de Dados (ANPD), supra estas lacunas interpretativas deixadas pelo legislador, assim como fizeram as autoridades europeias através do Article 29 Data Protection Working Party:

“O Working Party reconhece as dificuldades em aplicar as definições da Diretiva em um ambiente complexo, no qual podem ser previstos vários cenários envolvendo controladores e operadores, de forma independente ou conjunta, com diferentes níveis de autonomia e responsabilidade.”

 

Conclui-se, portanto, que resta clara a importância da devida atenção a este ponto, tendo em vista as consequências que decorrem desta questão, seja em razão da correta alocação de responsabilidades entre os agentes, seja em caso de aplicação da lei por parte de autoridade competente. 

 

Recomenda-se, então, analisar os cenários a partir dos julgados brasileiros para entender como adequar e interpretar as relações entre os agentes de tratamento de dados pessoais, garantindo aos mais diversos indivíduos a máxima segurança jurídica possível.

 

Por Lucas Willian Farias

 

¹ Article 29 Working Party, Opinon 01/2010 (WP 169, 16 de fevereiro de 2010) 00264/10/EN. 2010. p. 1. Tradução livre. Texto original: “The Working Party recognizes the difficulties in applying the definitions of the Directive in a complex environment, where many scenarios can be foreseen involving controllers and processors, alone or jointly, with different degrees of autonomy and responsibility”.

 

Os empreendedores da Transfeera, fintech de gestão e processamento de pagamentos, consultam a Vanzin & Penteado para avaliar, revisar e atualizar o pacote de documentos jurídicos relacionados à plataforma.

 

Desta forma, os objetivos definidos e executados pela Vanzin & Penteado Advogados foram:

1. Avaliar e revisar os documentos já existentes;
2. Propor eventuais novos instrumentos;
3. Atualizar constantemente o conteúdo dos documentos, diretamente na landing page da Transfeera.

 

Após a revisão dos documentos existentes e confecção dos novos, o pack de termos e políticas foi compilado e inserido na landing page, que reuniu, em um só lugar, todos os documentos jurídicos relacionados à plataforma.

 

No caso da Transfeera, o CFO Rodrigo Kratzer comenta: “nosso principal objetivo com a Legal Page era o de tornar todos os nossos termos transparentes para quem aderisse a nossa plataforma. A VP Advogados, como referência de mercado, nos auxiliou em todo o processo, avaliando nossa política da época e propondo novos instrumentos”.

 

De acordo com estudos realizados pela Statista, os usuários virtuais mais preocupados com a privacidade on-line são aqueles que residem na América Latina.

 

Diante desse cenário, e somado ao recente fato da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), ressalta-se a transparência como uma das condutas mais recomendadas para Startups, e-commerces e outras empresas que operam por meio ou no mundo virtual. A LGPD conceitua a transparência (art. 5º., VI) e a contempla no capítulo de governança e boas práticas, demonstrando seu protagonismo nos negócios que prezam pela proteção de dados pessoais.

 

Assim, a publicação dos instrumentos jurídicos que permeiam as relações entre empresa e usuários, no website, plataforma ou aplicativo, é essencial para demonstrar transparência e aumentar a confiabilidade perante o mercado.

 

Além dos conhecidos termos de uso, há outros documentos de extrema importância, como a política de privacidade, política de cookies, política de marcas, Acordo de Nível de Serviço – SLA, Termos de uso de API, dentre outros específicos e requisitados por órgãos reguladores.

 

Considerando esse contexto, a Vanzin & Penteado recomenda e auxilia seus clientes na elaboração da Legal Page: uma página única que concentra o conjunto de todos os documentos considerados essenciais para os negócios digitais, permanentemente atualizados, redigidos de forma acessível e em conformidade com a Lei - especialmente de acordo com a recente LGPD, agora, plenamente em vigor.

 

Por Kael Moro.

Investimento em Seed Market

 

A Transfeera é uma Startup que desenvolve uma plataforma completa para gestão e processamento de pagamentos, recebimentos e validação de dados bancários. Fundada em 2017, a fintech open banking atraiu o interesse de investidores desde o começo das operações e escolheu a Vanzin & Penteado como parceira para intermediar a operação de investimento em curso.

 

Por já possuir um histórico de proposta em Seed, a empresa contava com alguns instrumentos jurídicos essenciais previamente formatados. Sendo assim, houve a necessidade de realizar uma análise preliminar do Term Sheet e, a posteriori, quando as negociações evoluíram, de melhor avaliar a estrutura jurídica para a formalização do investimento, além da elaboração do Acordo de Acionistas.

 

Nesse sentido, também foi necessária a assessoria de nossos sócios para a interpretação das cláusulas dos documentos, para que ambas as partes entendessem com clareza as relações firmadas no instrumento e os reflexos de cada disposição no futuro.

 

Desta forma, o escopo definido e executado pela Vanzin & Penteado foi:

 

• Interpretar as cláusulas do Contrato;
• Elaborar e interpretar as cláusulas do Acordo de Acionistas;
• Apresentar os reflexos futuros de cada disposição contratual, para a Empresa e para os Fundadores;
• Apontar quais disposições contratuais estavam dentro e fora das práticas de mercado;
• Auxiliar na negociação com os investidores e redação de novas cláusulas contratuais;
• Auxiliar na organização e elaboração de documentos relativos à Assembleia Geral Extraordinária de aumento de capital.

 

Após a análise do Contrato e do Acordo de Acionistas, foram registrados comentários e recomendações no documento, seguido de devolutiva aos fundadores por meio de reuniões virtuais.  Na sequência, o documento revisado foi entregue aos investidores em reunião de apresentação dos pontos trabalhados. Por fim, após algumas trocas e ajustes de redação, a negociação foi concluída com êxito, e a Assembleia Geral Extraordinária foi realizada, viabilizando o investimento à Transfeera.

“O momento do aporte Seed que recebemos no fim de 2020 foi decisivo em muitos fatores para a Transfeera, precisávamos de um parceiro jurídico de confiança, que fornecesse um serviço estratégico e eficiente. Encontramos na Vanzin & Penteado uma referência, com capacidade técnica, time dedicado e qualidade de atendimento. Além disso, a experiência com termos jurídicos no meio de pagamentos foi um diferencial crucial.” – Guilherme Verdasca, CEO da Transfeera.

 

Para um entendimento completo a respeito dos Rounds de Investimento em Startups confira o conteúdo exclusivo desenvolvido pelos sócios da Vanzin & Penteado clicando aqui.

Desenvolvendo um e-commerce do zero

 

Nos últimos anos foi possível identificar um crescimento astronômico de empresas de pequeno porte se adequando ao cenário de vendas online, como aconteceu com a Sempre Comigo Joias.

 

O ateliê de peças foi idealizado pela Aline Cezaro e se baseia na produção inovadora de peças em metais nobres a partir das cinzas e pelos de animais de estimação. Trata-se de uma execução artesanal, mas que têm adquirido cada vez mais volume e escala à medida que se torna conhecida no mercado.

 

Foi neste cenário que a assessoria jurídica da Vanzin & Penteado foi requisitada. Com o interesse de adequar a loja ao ambiente digital, surgiram diversas dúvidas quanto à formalização da relação com os clientes da plataforma, qual contrato utilizar, se físico ou virtual, e dúvidas sobre os instrumentos jurídicos estarem adequados à Lei Geral de Proteção de Dados (LGPD).

 

Para tal, nossos sócios realizaram análise do negócio com a fundadora da Sempre Comigo, para compreender todo o processo de criação e vendas. Assim, após compreendido todo o processo, foi possível recomendar as melhoras práticas de segurança para a empresa, bem como sugerir os instrumentos jurídicos que melhor se adequam ao cenário:

 

• Termos e Condições de Serviço
• Política de Privacidade
• Política de Cookies
• Política de Pagamentos
• Política de Troca e Devolução
• Política de Garantia
• Política de Marcas

 

“A rapidez e o respeito ao prazo foram dois pontos que se destacaram para mim. Tínhamos pressa para colocar o site no ar e a Vanzin & Penteado agilizou todo o processo para atender a nossa expectativa”, comentou Aline.

 

A elaboração do pack de documentos foi precedida de um planejamento, diagnóstico da empresa e da operação de tratamento de dados que levou em consideração:

 

• o modelo de negócio, e a natureza jurídica da relação econômica, neste caso a confecção e venda de artefatos de joalheria personalizados conforme especificações e dados fornecidos pelos clientes;
• estrutura do e-commerce e fluxos operacionais de cadastro, input de informações, solicitações, pagamentos e entrega;
• a confecção do produto de maneira inovadora em razão do material utilizado;
• a classificação dos clientes, pessoa física e/ou jurídica;
• análise e enquadramento da empresa como agente de tratamento de dados, perante à LGPD;
• conexão e compartilhamento de dados com terceiros;
• dentre outros.

 

Após confecção dos instrumentos jurídicos, foi realizada devolutiva à empreendedora, seguido de instruções sobre o funcionamento e utilização de cada um deles. 

 

Considerando a experiência e o case em análise, destaca-se a importância do processo de construção dos instrumentos jurídicos que dispõe sobre o funcionamento da plataforma, não só aos e-commerces, mas a todas as empresas independente do estágio de maturidade ou modelo de negócio, para mitigarem riscos inerentes à atuação com o mercado, bem como para estarem em compliance com as leis regulatórias.

 

Por Kael Moro

(mais…)