Com a adesão à prática do home office e do trabalho híbrido, o conceito de BYOD - Bring Your Own Device, ou “traga seu próprio dispositivo''), ganhou maior visibilidade e aceitação por parte de diversas empresas e escritórios. Trata-se da implementação de políticas internas que permitem que os colaboradores utilizem seus próprios gadgets para acesso aos sistemas administrativos das empresas.

 

Entretanto, com a popularização dessa prática, é necessário se atentar às questões ligadas à proteção e gestão de dados com segurança, e dentro das normas especificadas pela Lei Geral de Proteção de Dados. 

 

Tecnologia mais acessível 

É cada vez mais comum que os funcionários detenham em suas casas equipamentos (principalmente smartphones) mais potentes, novos e tecnológicos do que aqueles oferecidos pelas organizações.

 

Há, ainda, que se considerar que na maioria dos casos as atualizações de programas e sistemas são muito mais recorrentes em devices “domésticos” do que nos empresariais.

 

Além disso, a utilização de devices pessoais, também, para o desempenho das atividades profissionais, possibilita que os colaboradores exerçam suas tarefas de onde desejarem, pois terão acesso aos documentos necessários de forma simples e rápida. 

 

Implementando o BYOD em sua gestão 

Para que essa prática tenha sucesso, não se pode ignorar a necessidade de implementar também uma política interna de segurança de dados e de informações corporativas. 

 

Significa dizer que um bom termo BYOD conterá em suas cláusulas as obrigações do colaborador quanto à confidencialidade das informações que estão em suas mãos, ainda que pelas vias de seu próprio computador e demais devices. 

 

É essencial que o empregado esteja ciente de suas obrigações e que lhe tenha sido disponibilizado um treinamento para garantir que entenda os direitos e obrigações contidas no documento, possibilitando que o aplique plenamente. 

 

A equipe deve estar totalmente ciente do que é, essencialmente, o BYOD; assim como suas vantagens e todos os cuidados necessários. Nesse sentido, é essencial que o acesso ao manual de segurança de informações esteja claro aos funcionários, e que possam ter acesso a ele sempre que julgarem necessário.

 

Uma das chaves para que a atividade empresarial siga tranquilamente é, também, adotar um forte controle de acesso: é essencial que este colaborador tenha acesso a todas as pastas ou apenas a algumas delas? Isso garantirá ainda mais segurança das informações e dados, evitando possíveis problemas.

 

Na implementação do BYOD, a equipe de TI será de muita utilidade. Isso porque os colaboradores precisam ter acesso a informações, como:

 

1. A importância da atualização dos programas;
2. Utilização correta de antivírus;
3. Verificação em duas etapas de softwares;
4. Acesso a terceiros (de acordo com o termo);
5. Password policy;
6. A utilização dos dispositivos dentro das diretrizes estipuladas.

 

Dada sua importância, é essencial que se conte com uma equipe jurídica especializada e capacitada para atender sua empresa, elaborar o BYOD dentro de todas as formalidades legais e garantir o bom funcionamento do termo.

O “cookie” é um dado que os navegadores solicitam ao usuário para armazenamento na plataforma, site ou aplicativo. Isso permite com que o site lembre de suas ações ou preferências toda vez que for acessado.

Por se tratar de um armazenamento de dados, algumas legislações como a europeia (GDPR) indicam que os cookies apenas podem ser armazenados por um período de 30 dias. A Lei de Proteção de Dados (LGPD) não estabeleceu nenhum limite temporal, mas ainda assim, deve sempre se pautar pela necessidade. Se um dado não precisar ser armazenado, é melhor que não o seja, para evitar problemas de privacidade.

Um cookie pode gravar, por exemplo, preferências de idioma e de login, armazenar dados para apresentação de anúncios de acordo com seu perfil online, entre muitos outros dados. É possível excluí-los, revogá-los e apagá-los, com exceção aos cookies essenciais ao funcionamento do site. O usuário deve ter o maior controle possível sobre eles e deve estar de acordo com o armazenamento destes dados.

Inicialmente, havia apenas dois tipos: Cookies de First e Third Party, que podem ser traduzidos para Cookies de Primeira ou Terceira Pessoa. Os de primeira pessoa são aqueles gerados pelo próprio site, como as páginas visitadas, formulários preenchidos, informações salvas dentro do site, carrinhos de compra, etc. Já os de terceira pessoa são provenientes de fontes externas, e aceitavam que os anunciantes, por exemplo, mapeassem o histórico de navegação e o comportamento dos usuários dentro das páginas e não são mais permitidos pela LGPD.

Atualmente, elenca-se uma variedade de espécies: cookies de sessão, cookies persistentes e cookies maliciosos.

A política de cookies serve para deixar o usuário ciente dos dados que podem ser armazenados e para qual ocasião poderão ser utilizados. Também deve conter informações sobre como excluí-los. Sua política deve se preocupar com transparência: o que está sendo registrado, para que será utilizado, para onde irão esses dados e por quanto tempo irão permanecer armazenados.

Importante salientar que um simples aviso quanto aos cookies não é suficiente; é necessário que o usuário seja compelido a aceitar ou não a política em um documento de conformidade claro e objetivo, que solicite a concordância expressa.

Para elaborar uma política de cookies, é necessário reunir algumas informações:

1. Reúna, com um apoio técnico especializado, para quê seu site usará os cookies e como irá armazená-los.
2. Explique ao seu usuário/visitante como você utilizará os cookies.
3. Oriente o usuário sobre o gerenciamento destes. Precisa estar bastante claro com relação a como pagá-los, a qualquer tempo.

Se os cookies tem como principal objetivo reconhecer o usuário, a política de cookies tem por sua vez, como função, a regulamentação desse conhecimento e do armazenamento dos dados, que precisa se dar de modo claro e de acordo com a legislação. Trata-se de uma garantia de mão dupla: para os usuários, na medida em que detém conhecimento sobre seus dados; e para os provedores de sites e aplicativos, na medida em que podem garantir uma atuação legal e transparente.

Com a entrada em vigor da LGPD e até mesmo antes disso, na ocasião da aprovação legislativa desta, muito se tem falado e discutido sobre a aplicação e as medidas de adequação normatizadas pela nova lei. Diversos empresários precisaram adequar seus tratamentos de dados, atualizar seus contratos e, até mesmo, capacitar seus funcionários que lidaram e lidam com os dados pessoais e sensíveis.

 

Ao redor do mundo, essa normatização não foi diferente. É certo que é uma tendência global que cada vez mais negócios atuem de forma inteiramente virtual, significando que sua base de dados também será armazenada, normalmente, em nuvem. A preocupação com o tratamento de dados se tornou uma verdade generalizada e muitos países também têm aprovado e colocado em prática algumas normas e determinações sobre o tratamento de dados. 

 

A legislação europeia, por exemplo, é chamada de Regulamento Geral da Proteção de Dados. Ela é válida em todos os países da União Europeia e do Espaço Econômico Europeu (EEE) e inspirou a produção da própria LGPD. Nesse sentido, guarda muita semelhança com a legislação brasileira que já conhecemos. 

São alguns exemplos de outros países:

 

• Na Alemanha, figura a Lei Federal de Proteção de Dados (Bundesdatenschutzgesetz - BDSG). Essa lei entrou em vigor em 1979, sendo considerada a primeira lei sobre proteção de dados no mundo e tem sido atualizada desde então, sendo sua mudança mais expressiva no ano de 2017. Essa lei pode ser acessada, em inglês, clicando aqui.

 

No âmbito de pessoas físicas, muito se debate sobre a implementação da Agenda Digital 2014-2017, que visa incentivar o desenvolvimento do setor de TI na Alemanha, inclusive com mudanças regulatórias sobre o tratamento de dados. 

 

• Na Argentina, existe a Lei de Proteção de Dados Pessoais N.º 25.326 e o decreto Regulamentar N.º 1558/2001, bem como os chamados regulamentos suplementares (PDPA) da Argentina. São leis federais que se aplicam à proteção de dados pessoais no país, bem como sobre a transferência internacional de dados pessoais. As medidas visam  garantir a confidencialidade e integridade dos dados pessoais durante seu processamento, desde a coleta destes (online ou não) até seu arquivamento ou exclusão.

 

• No Canadá, existem 28 regulamentações (provinciais e federais) sobre a  privacidade e proteção de dados. A legislação nacional do ano de 2000, que é válida para todas as províncias canadenses, é chamada PIPEDA (Personal Information Protection and Electronic Documents Act, ou, em portugês, Lei de Proteção de Informações Pessoais e Documentos Eletrônicos). 

 

• Na China, tem-se a Lei da Tecnologia da Informação: Especificação Sobre Segurança de Informações Pessoais (GB/T 35273-2017). Também é conhecida como “O Padrão”, e traz  normas quanto à transparência, direitos do titular e consentimento destes.

 

A maioria dos países se preocupa com a edição e aprovação de leis, normalmente federais, ou decretos para a regulamentação dos dados pessoais. Essa tendência existe há muitos anos e continuará a ser alterada e melhorada. A própria ONU se preocupa com a edição dessas legislações para seus países membros e muito se fala em privacidade de dados, recomendações e riscos. Você pode ler mais sobre a posição da ONU na seguinte matéria: https://news.un.org/pt/story/2020/04/1712072

 

De forma geral, o conhecimento a respeito das Leis de Proteção de Dados de outros lugares do mundo é de extrema relevância para negócios que visam atuar nestes territórios, como foi o caso da Startup Sizebay, quando procurou pela Vanzin & Penteado para a adequação dos documentos às legislações norte-americana e europeia. O case study está disponível aqui. 

 

Confira também nossos artigos especiais a respeito da Lei Geral de Proteção de Dados, em vigor no Brasil desde 2021:

 

Guia Completo de LGPD para Fintechs

LGPD para e-commerces

Implementação de LGPD

A nova Lei Geral de Proteção de Dados (LGPD) inaugurou uma cultura legislativa, empresarial, jurídica e social de cuidado e cautela com o uso de dados pessoais. Esse cenário, portanto, acarreta em uma necessidade ainda maior de conscientização do tratamento das informações, e da gestão dos profissionais que as possuem, assim como o alerta constante a eventuais usos indevidos. 

 

A legislação tem raízes tão importantes quanto o direito à liberdade, à dignidade da pessoa humana, à privacidade e ao livre desenvolvimento da personalidade da pessoa natural capaz. Isso porque estamos cada vez mais inseridos nas redes sociais e o compartilhamento de dados é tão rápido, que nem sempre é possível notar com clareza a necessidade ou não de compartilhamento desses dados, para qual finalidade, onde e como poderão ser utilizados. Entretanto, muito se questiona sobre a diferenciação entre dados pessoais e dados pessoais sensíveis, na medida em que a legislação explicita tratamentos diferenciados a ambos. Confira, a seguir, as principais informações acerca da classificação de cada natureza. 

 

Dados Pessoais 

Dados pessoais são aqueles que podem levar à identificação de alguém, ainda que de forma indireta. Eles vão muito além das informações contidas nas documentações pessoais das pessoas naturais, ou de seu número de telefone e endereço eletrônico. São alguns exemplos:

• Nome próprio
• Gênero
• Numeração de RG e CPF
• Passaporte
• Carteira de habilitação
• Filiação
• Endereço residencial ou comercial
• Telefone
• E-mail
• Endereço de IP e cookies
• Data e local de nascimento
• Localização via GPS
• Dados bancários
• Fotografias
• Prontuários médicos
• Renda
• Identidade física, fisiológica, genética, mental, econômica, cultural ou social
  

 

Dentre outros. Todos aqueles dados que revelem a identidade de pessoas vivas, ainda que indiretamente, são considerados dados pessoais e merecem a devida cautela, devendo ser recolhidos para finalidades determinadas, explícitas e legítimas, e não podendo ser, posteriormente, tratados de forma incompatível com essas finalidades.

 

Dados Pessoais Sensíveis

Dados pessoais sensíveis, por sua vez, são aqueles que versam sobre:

• Origem racial ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato ou à organização de caráter religioso, filosófico ou político;
• Dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, de acordo com a própria legislação.

 

Tratam-se dos dados que dizem respeito a informações íntimas e que podem ser utilizados de forma discriminatória. A utilização dessas informações depende de autorização expressa do indivíduo - uma manifestação de vontade sempre livre, específica e explícita - pela qual o titular dos dados aceita que seus dados pessoais sensíveis sejam objeto de tratamento.

 

Quais as diferenças no tratamento?

O tratamento de dado pessoal deve seguir algumas normas legais, conforme discrimina o 7º artigo da LGPD, quais como: consentimento; obrigação legal ou regulatória; para execução de políticas públicas pela administração pública; estudos por órgão de pesquisa; execução de contrato; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; interesse legítimo; proteção ao crédito.

 

Já o tratamento de dados pessoais sensíveis pode ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas, de acordo com o art. 11 da lei, além da observância dos princípios da boa-fé, finalidade, adequação e necessidade.

A Sizebay, além de cliente, é uma das grandes parceiras da Vanzin & Penteado. Com uma ideia revolucionária e um timing impecável, os fundadores Janderson Araújo e Marcelo Motta desenvolveram uma plataforma de SAAS (software as a service) que garante maior segurança e qualidade de experiência de uso para consumidores de e-commerces. 

 

O Provador Virtual, como é chamado, é capaz de recomendar um tamanho ideal para o corpo dos clientes que acessam o e-commerce. Para isso, o algoritmo precisa de dados pessoais como peso, altura e idade, com resultados positivos que, em pouco tempo, a Startup já chegou aos Estados Unidos e à Europa. 

 

A Startup possui alto comprometimento com a segurança das informações, tanto perante os e-commerces que contratam o serviço, quanto aos consumidores finais que utilizam a ferramenta. 

 

Por conta disso, os fundadores sempre atribuíram alto nível de atenção às discussões acerca das legislações, internacionais e nacional, de regulamentação de tratamento de dados, o que tornou o projeto ainda mais interessante para os nossos sócios. 

 

Nesse sentido, procuraram a assessoria do escritório Vanzin & Penteado, para novos insights e aprimoramento dos controles já existentes.  Foi quando, após a reunião inicial, definiu-se o escopo do projeto:

 

• Adequar toda a operação da empresa sob o ponto de vista das regulamentações aplicáveis à plataforma Sizebay, sendo elas: A LGPD - Lei Geral de Proteção de Dados, do Brasil; a GDPR - General Data Protection Regulation, da Europa; e a CCPA - California Customer Privacy Act, da Califórnia. 

 

O projeto teve as seguintes etapas:

 

• Reunião inicial de alinhamento;
• Planejamento: Definição de escopo, criação de comitê do projeto, criação e validação de cronograma, itens a serem verificados;
• Diagnóstico, que envolveu: Plataforma, Inventário dos dados, Análise dos fluxos da operação, Análise dos contratos e políticas, Compartilhamento de dados, lista de fornecedores e clientes, pessoal Interno, fluxo de contratação, dentre outros;
• Elaboração e apresentação de relatório;
• Implementação.

 

Eis que, após o diagnóstico, o relatório foi, então, apresentado à Sizebay, através de uma rica reunião virtual, em que dúvidas foram sanadas e outros insights foram levantados para depois serem adicionados aos documentos finais. 

 

Finalizada a etapa de análise, a Vanzin & Penteado deu início à implementação e instrumentalização dos itens identificados no relatório. Com o apoio de um check-list detalhado, a Startup pode acompanhar o desenvolvimento do projeto que contou com: revisão e redação de documentos jurídicos, em português e inglês; alteração no fluxo; ajustes na coleta de dados através de cookies; e diversas outras boas práticas de segurança da informação. 

 

A conclusão do projeto culminou, dentre outros pontos, na criação de uma legal page nas versões em inglês e em português, que você pode conferir no site da Sizebay ou no próprio aplicativo. 

 

Confira também

Ebook de LGPD para Ecommerce feito em parceria com a Sizebay, como resultado da Sizetalk entre o fundador Janderson Araújo e o sócio da Vanzin & Penteado, Kael Moro.  

Case Study da Sizebay, envolvendo a revisão do documento DPA - Data Process Agreement para adequação às legislações internacionais. 

À medida que as Startups avançam nos Rounds de Investimento, a formalização de alguns aspectos da empresa se torna necessária. Neste cenário temos a importância da definição da Governança Corporativa como um dos pontos analisados, e por vezes exigido, por investidores, principalmente em grandes aportes como no Seed Market ou Venture Capital. 

 

O que é a Governança Corporativa? 

O termo Governança Corporativa diz respeito ao conjunto de práticas e condutas adotadas pela empresa, que levará em consideração o interesse de todos os agentes do negócio, como sócios, diretores, acionistas e demais stakeholders. É uma forma de estruturar a gestão do negócio uma vez que ele passa a ganhar outros players além dos sócios fundadores. Em outras palavras, pode-se definir a governança como um manual de instruções do funcionamento interno da empresa. 

 

O termo Governança Corporativa diz respeito ao conjunto de processos, normas e condutas, ou seja, o sistema, que regula os processos da empresa e proporciona uma gestão mais assertiva e coordenada. 

 

Para quê serve a Governança Corporativa? 

Em sua essência, a instalação de uma Governança Corporativa contribui para a imagem da empresa como um todo, uma vez que demonstra solidez e transparência em todas as condutas e processos, transmitindo segurança para investidores e acionistas. 

 

Além disso, a instalação da Governança faz com que todos os agentes da empresa ganhem conhecimento dos procedimentos padrões, possibilitando a tomada de decisões com maior agilidade e precisão, característica fundamental para a sustentabilidade da empresa. 

 

Quais os principais benefícios da Governança Corporativa para Startups? 

Do ponto de vista estratégico, a definição de uma Governança Corporativa na Startup oferecerá uma visão de médio e longo prazo a respeito do desenvolvimento do negócio, assim como do relacionamento entre sócios. 

 

Neste sentido a governança também oferece maior segurança na resolução de conflitos,  ao tratarmos de accountability (responsabilidade) dentro do processo e de prestação de contas. Desta forma o empreendimento se torna mais sustentável. 

 

Quando instalar uma Governança Corporativa em uma Startup? 

Devido à característica de volatilidade dos negócios caracterizados como Startups, a instalação de uma Governança Corporativa pode, inicialmente, parecer contraditória, entretanto é válido ressaltar que essas definições são flexíveis e podem ser adaptadas à medida que a empresa avança em seu estágio de desenvolvimento. 

 

Por ser um instrumento de alta contribuição estratégica, recomenda-se que a definição da governança comece a ser considerada no período de Ideação, ou seja, na etapa anterior à apresentação ao mercado. Isso porque o primeiro passo para o desenvolvimento deste instrumento é, justamente, a definição de valores, propósitos e estratégias para o escalonamento do negócio. 

 

Como iniciar uma Governança Corporativa?

O primeiro passo a ser tomado para a instalação de uma Governança Corporativa é entender os princípios norteadores da empresa, sendo necessário o envolvimento direto dos sócios-fundadores. 

 

É necessário que se realize, também, um mapeamento detalhado para que se entenda alguns aspectos como o controle da organização, o gerenciamento de riscos, processos existentes, status da definição de papéis, dentre outros pontos. Dessa forma, recomenda-se a assessoria de profissionais capacitados que poderão oferecer uma visão completa e um passo a passo de implementação, seguindo os quatro pilares de uma boa governança: transparência, equidade, prestação de contas e responsabilidade corporativa.

O Acordo de Confidencialidade, também conhecido como Non Disclosure Agreement (NDA), é um documento que pode ajudar a empresa ou empreendedor a proteger as suas informações e/ou dados confidenciais, que em virtude de relação comercial, são compartilhadas com terceiros.   

 

Ao assinar um NDA, as partes concordam em proteger as informações confidenciais compartilhadas, além de não as divulgar sem consentimento.  

 

O Acordo de Confidencialidade pode ser firmado de forma unilateral, quando apenas uma parte revelará informações confidenciais, costumeiramente nomeada como “Parte Reveladora” e, de outro lado, a “Parte Receptora”, que terá acesso a tais informações.  Entretanto, o NDA pode ser também bilateral, quando as partes compartilharão e receberão informações entre si, situação em que as obrigações e deveres acerca da confidencialidade serão recíprocas.

 

Além da definição sobre quais dados e informações serão considerados sigilosos, o NDA também conterá disposição quanto às hipóteses de uso das informações confidenciais, incluindo, como elas poderão ser usadas, com quem poderão ser compartilhadas, quais as medidas de segurança que devem ser adotadas e, claro, as penalidades em caso de descumprimento.

 

O documento também poderá estabelecer o prazo pelo qual durará o Acordo de Confidencialidade, sendo possível, por exemplo, que as partes acordem que o sigilo das informações será mantido mesmo após findada da relação principal (comercial, parceria, investimento etc.).  Dessa forma, busca-se resguardar a Parte Reveladora quanto a eventuais questões concorrenciais, estratégicas, dentre outros fatores que podem impactar o desenvolvimento do negócio.  A depender da relação estabelecida entre as partes envolvidas, poderão ser objeto de um NDA, por exemplo, as seguintes informações:

 

• Modelos de negócios a serem apresentados a um grupo de investidores;
• Planos para um novo produto, ferramenta, feature a ser produzida conjuntamente com um parceiro;
• Informações trocadas em processos de mentoria ou brainstorm;
• Contratação de fornecedor externo e/ou prestador de serviço que atuará conjuntamente com a empresa;
• Dados técnicos ou projetos;
• Estrutura de preços ou política de monetização;
• Informações financeiras e estratégicas da empresa;
• Carteira de clientes e fornecedores;
• Dentre outros.

 

Com o intuito de exemplificar o formato do Acordo de Confidencialidade, elaboramos um template que contém a estrutura e cláusulas básicas (clique para acessar).  É importante esclarecer que a elaboração de qualquer instrumento jurídico deve ser pautada nas especificidades de cada relação e no interesse das partes, por isso é recomendado sempre a busca por um especialista que possa melhor orientar as partes na elaboração deste documento.

 

O aplicativo WhatsApp é uma ferramenta utilizada por grande parte das empresas visando eficiência, pessoalidade e rapidez na comunicação. Por isso, grandes dúvidas surgiram com a entrada em vigência da Lei de Proteção de Dados (LGPD), que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.

A LGPD determina que seus princípios e normas devem ser observadas em qualquer situação, independente do meio utilizado (redes sociais, WhatsApp, banco de dados, etc.), inclusive no envio de e-mails, qualquer seja seu cunho (como informativo ou convidativo, por exemplo). É uma grande chance e incentivo para que as empresas invistam, cada vez mais, em sistemas seguros de proteção de dados e de transparência ao consumidor. 

O sistema interno de gerenciamento dessas informações e de dados pessoais dos clientes, uma vez fortalecido, dificultará vazamentos de informações ou uso indevido dos dados que podem custar milhões de reais a título de indenização. Nesse caso, a tecnologia ajudará, cada vez mais, a impulsionar o crescimento da empresa e a confiança depositada por seus clientes.

Mesmo sendo uma tecnologia que facilita o cotidiano das empresas, o uso do WhatsApp deve ser feito com cautela, a equipe que está destinada a utilizá-lo como ferramenta de trabalho deve estar, sempre, ciente das regras de proteção de dados e das obrigações inerentes aos tratamentos desses dados, na medida em que haverá responsabilização solidária entre os agentes caso algo venha a ocasionar algum inconveniente. 

Ademais, se for o primeiro contato com o cliente e ele ainda não teve ciência/anuiu com a Política ou Aviso de Privacidade da Empresa, será obrigatório, nos termos da LGPD, que a empresa o faça.

Para isso, recomendamos algumas boas práticas às empresas que desejam promover o contato com seus clientes, via WhatsApp, e mitigar os riscos decorrentes da utilização:

 

1. Implementação de Programa de Governança de Dados: Em primeiro lugar recomendamos que, tanto quanto possível, a empresa faça previamente trabalho multidisciplinar de diagnóstico e implementação do programa de Governança de Dados, com a finalidade de alcançar o compliance com as Leis de Proteção de Dados aplicáveis ao seu negócio. Este trabalho facilitará e estruturará, de forma personalizada, toda a comunicação da empresa, independente da ferramenta utilizada;

 

2. Política Interna de Segurança da Informação: como um dos desdobramentos do Programa de Governança de Dados, é importante que a empresa possua uma política interna que determinará como os dados coletados são, além disso, recomenda-se que os colaboradores da empresa manifestem formalmente o compromisso com a segurança e com as diretrizes internas.

 

3. Finalidade do Contato: A empresa deverá, inicialmente, estabelecer uma finalidade para o contato realizado pelo WhatsApp, tais como: i) enviar informativo sobre promoções; ii) abordagem de venda; iii) pesquisa de satisfação; iv) agendamento de horário; v) prestar suporte; dentre outros.

 

4. Dados que serão coletados: Com a finalidade estabelecida, a empresa deverá identificar quais dados do cliente são necessários/essenciais para aquele contato e quais dados serão coletados ao longo da conversa.

 

5. Hipótese Legal de Tratamento de Dados: após delimitada a finalidade da coleta e os dados que serão tratados, é importante avaliar qual(is) a(s) hipótese(s) legais para tratamento dos dados pessoais em questão, no caso, por exemplo, da coleta de dados pessoais sensíveis (ex. dados de saúde, opinião política, convicção religiosa, dentre outros) será necessária a observância dos requisitos legais para coleta de consentimento específico do titular dos dados;

 

6. Fluxo em conformidade com LGPD: Estruturar fluxo específico para as comunicações, em especial a realizada pelo WhatsApp, que deverá contemplar todas as alternativas possíveis da conversa, como por exemplo: i) saudação e mensagem inicial da empresa; ii) possíveis respostas do cliente; iii) respostas para cada retorno do cliente; iv) mensagem final.

 

7. Política de Privacidade: Com todas as etapas anteriores cumpridas, será imprescindível que seja apresentada a Política de Privacidade da empresa, que conterá, dentre várias informações sobre os dados do cliente, tópico específico sobre o contato via WhatsApp, que registrará: i) rol de situações que esse contato poderá ser realizado; ii) quais dados são coletados; iii) qual finalidade; iv) com quem serão compartilhados; v) por quanto tempo essas informações serão trabalhadas e armazenadas; vi) bem como um canal para que o cliente possa se comunicar com a empresa a respeito dos seus dados.

 

Essa apresentação poderá ser realizada, por exemplo, por meio de um parágrafo específico que trate sobre o tema, direcionando a um link que revelará a Política de Privacidade de Dados da empresa, onde o cliente poderá ter acesso a todas as informações e dar sua ciência ou manifestar o aceite, quando necessário.

 

 

8. Interlocutor Robô: Caso a empresa utilize um chatbot para realizar o contato: i) que este seja programado seguindo todos os parâmetros e fluxo estabelecido com base nas legislações de proteção de dados aplicáveis ao negócio; ii) apresentar a Política de Privacidade da empresa; iii) bem como deixar alternativa livre e fácil para o cliente encerrar o contato e solicitar a eliminação dos seus dados.

 

Todas as recomendações listadas acima são apenas exemplos, com base em situações hipotéticas delineadas para finalidades didáticas e ilustrativas, para facilitar a compreensão sobre o tema.  Todo o trabalho relacionado com Proteção de Dados deve ser realizado de forma personalizada, sem utilização de templates, de modo a analisar com profundidade cada caso e suas respectivas peculiaridades.

 

Por fim, destacamos que: não há na Lei Geral de Proteção de Dados nenhuma proibição de envio de promoções, convites, comunicados; mas quem os recebe deve ter tido ciência, e eventualmente aceitado e consentido os termos, a depender da base legal utilizada para o referido contato, sob pena de não-cumprimento da LGPD.

 

A legislação tem como objetivo estabelecer as regras para que os agentes de tratamento de dados garantam maior segurança aos titulares de dados, e assim, mitigando e evitando problemas relacionados à vazamentos de dados ou tratamentos indevidos.

 

Por Kael Moro

A Sizebay é uma Startup que vem revolucionando o mercado da moda online por meio da plataforma SAAS (software as a service), identificada como provador virtual. Através da ferramenta, usuários de e-commerce descobrem o tamanho ideal para seus corpos a partir de dados como peso, altura e idade. Isso gera mais segurança para comprar, considerando o menor risco de precisar trocar devido ao tamanho.

 

Devido ao modelo de negócio da Startup, sendo ela fornecedora de serviços e por tratar os dados dos clientes dos e-commerces (Controlador) segundo a orientação e em nome destes, a Sizebay é considerada “Operadora” de dados segundo à LGPD. (Se quiser saber mais sobre os agentes de tratamento de dados, acesse o nosso ebook que trata sobre o assunto clicando aqui)

 

Diante desse contexto, é comum o Controlador submeter ao Operador um instrumento contratual chamado Data Processing Agreement (DPA), ou Acordo de Processamento de Dados, que rege todas as diretrizes acerca do tratamento de dados, como se dará o processamento, qual o escopo, finalidade, limites, compartilhamento, responsabilidades, auditorias, penalidades, dentre outras questões.  Desta forma garante-se que o tratamento dos dados esteja em conformidade com a Lei Geral de Proteção de Dados (LGPD) e que ambas as partes possuam segurança jurídica. 

 

Nessa linha, a Sizebay recebeu de um de seus clientes internacionais um Data Processing Agreement (DPA) e, antes de assinar, procurou a Vanzin & Penteado para assessorar juridicamente na análise do contrato e recomendações, de modo que o escopo definido e executado pelo escritório foi:

 

1. Analisar e interpretar as cláusulas do DPA;
2. Realizar paralelo entre as requisições e exigências contratuais com a operação do cliente;
3. Apontar quais disposições contratuais estavam dentro e fora das práticas de mercado;
4. Apresentar os reflexos futuros de cada disposição contratual;
5. Propor eventuais novas redações e alterações nas disposições contratuais, bem como eventuais exclusões de cláusulas.

 

Após o trabalho desenvolvido, o documento foi entregue à Sizebay no idioma Inglês, pronto para devolutiva ao cliente internacional que, por sua vez, concordou com os ajustes e firmou o contrato.

 

Sobre o DPA, vale destacar que se trata de um instrumento contratual cada vez mais utilizado, pois é parte indispensável no processo de onboarding de fornecedores na cadeia de prestação de serviços, vez que torna ainda mais robusto o compromisso com o tratamento de dados de forma adequada e em compliance com as regulamentações. 

 

Por Kael Moro 

A entrada em vigor da Lei Geral de Proteção de Dados regulamentou, dentre muitos aspectos, o tratamento de dados pessoais, reconhecido como qualquer atividade que seja realizada com informações que sejam capazes de identificar uma pessoa. 

 

O tratamento de dados, para ser iniciado, deve seguir alguns requisitos que variam de acordo com a natureza dos dados (pessoal, sensível, de criança ou adolescente) e a finalidade da utilização.  Desta forma, entender todas as variáveis é de extrema relevância para, posteriormente, de forma estratégica, embasar a operação da empresa conforme dispõe a Lei Geral de Proteção de Dados.

 

A Lei traz no artigo 7º, de maneira objetiva, um rol com 10 possibilidades, nas quais a empresa pode embasar o tratamento dos dados pessoais.

 

Como o objetivo do presente material é abordar o assunto com foco nos produtos e serviços desenvolvidos por Startups, destacamos 6 das 10 hipóteses de tratamento de dados pessoais, que são aplicáveis a estes negócios:

 

1. Consentimento

A primeira e mais conhecida é a utilização dos dados pessoais por meio do Consentimento do titular dos dados, ou seja, da autorização expressa, livre e inequívoca para uma finalidade determinada.

 

Nessa hipótese, o titular dos dados poderá revogar o referido consentimento a qualquer momento e, quando tal fato ocorrer, cessará a permissão para a Startup utilizar tais dados.

 

Por este motivo, em muitos casos, recomenda-se que o Consentimento seja utilizado como base para tratamento dos dados apenas quando nenhuma outra hipótese se enquadrar à situação de tratamento.

 

Um exemplo que pode ser dado é quando uma Startup deseja utilizar os dados pessoais dos usuários da plataforma, com a finalidade de promover campanhas de marketing.

 

2. Cumprimento de Obrigação Legal ou Regulatória pelo Controlador

Esta base legal diz respeito à coleta de dados para o cumprimento de obrigação legal ou regulatória da empresa.  Nesse caso, por exemplo, quando a Startup precisa da informação para cumprir alguma disposição da lei, como a coleta do CPF do comprador para emissão de nota fiscal.  

 

Por este motivo, não há exigência do consentimento, pois trata-se de obrigação legal a ser cumprida, não fazendo sentido depender de autorização do titular dos dados para tal. De todo modo, é recomendado informar aos compradores, quando da utilização desta base legal, por meio da política ou aviso de privacidade.

 

3. Execução de Contrato

Trata-se de hipótese que permite a utilização de determinados dados pessoais para a execução do contrato ou de procedimentos preliminares relacionados ao contrato, do qual seja parte o titular.

 

No caso das Startups, esta base legal pode ser utilizada para relacionar dados que tenham conexão com o escopo, por exemplo: 

• Dados do cartão de crédito: dado necessário para processar o pagamento da assinatura do serviço ou compra;
• E-mail e telefone: realizar comunicação ou prestar suporte em relação a serviços oferecidos por meio de plataforma;

 

4. Exercício de Direitos em Processos

Esta previsão diz respeito à possibilidade de utilização de dados pessoais para o exercício de direito em processos judiciais ou arbitrários, na produção de provas, defesa e outras manifestações judiciais ou administrativas.

 

Ou seja, a empresa poderá tratar tais informações, independente do consentimento do titular dos dados, mas restrita à finalidade de exercer seus direitos em processos. 

 

5. Interesse Legítimo do Controlador ou de Terceiro

Diz respeito à possibilidade de o controlador utilizar os dados do titular, sem o consentimento deste, em razão de atender a um interesse específico e legítimo.

 

Nota-se que é uma hipótese relativamente mais abrangente e flexível das listadas na LGPD e, justamente por isso, há um cuidado especial no artigo 10 da Lei que estabelece alguns parâmetros para o melhor entendimento e configuração, prezando pelo equilíbrio entre os interesses do controlador e os interesses e direitos do titular.

 

Para a aplicação desta base, é necessário avaliar em detalhes o caso concreto, realizar, inclusive, um teste subjetivo do legítimo interesse, que levará em conta: o interesse propriamente dito, análise de necessidade, razoabilidade de sua utilização frente aos direitos do titular dos dados.

 

6. Proteção ao Crédito

Esta previsão permite a utilização de dados pessoais, sem o consentimento do titular, com objetivo de proteção ao crédito, como por exemplo para realizar análise de credit score ou avaliar histórico de inadimplência. 

 

Ou seja, garante que, em situações de cobrança ou dívidas contraídas, os titulares dos dados não usem o argumento da LGPD como meio para escaparem de suas obrigações financeiras, ao não permitirem a coleta e utilização dos dados.

 

Após análise das 6 principais bases jurídicas para o tratamento de dados pessoais, conclui-se que não há melhor ou pior base jurídica a ser escolhida, é necessária uma análise minuciosa da operação que envolve o tratamento de dados para enquadramento da hipótese legal mais adequada para a situação concreta.

 

Hipóteses de tratamento para dados sensíveis

Dados sensíveis são aqueles de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física, e exigem que o tratamento seja precedido de maior cautela. 

 

Ademais, vale destacar que eventual incidente de segurança com estes dados, tem potencial altamente gravoso aos direitos e liberdades dos titulares.

 

Considerando, assim, a natureza dos dados sensíveis, as hipóteses para o tratamento são mais restritivas, e a lei dispõe, no artigo 11, como esse deve ocorrer:

 

• Com o consentimento: Com consentimento do titular ou seu responsável legal, de forma específica e destacada, para finalidades determinadas; 

 

• Sem o consentimento: i) para cumprimento de obrigação legal; ii) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; iii) realização de estudos por órgãos de pesquisa; iv) para exercício de direitos em contratos, processos judiciais e administrativos; v) proteção à vida do titular; vi) tutela da saúde por profissionais da saúde; vii) prevenção à fraude e à segurança do titular dos dados na identificação ou autenticação de cadastro em sistemas eletrônicos.

 

Na prática, para as Startups que trabalham com dados sensíveis, há a necessidade da observância e seleção da base legal mais adequada para cada caso.  

 

Hipóteses para dados de crianças e adolescentes

Um ponto a ser sinalizado, em especial quando tratamos da dinâmica das Startups, são as hipóteses para tratamento de dados pessoais de crianças e adolescentes, que atualmente são players ativos no ecossistema digital.

 

O tratamento em si pode ser realizado em seu melhor interesse e nos limites estabelecidos pela LGPD, no entanto, deverá ser realizado necessariamente mediante consentimento específico e em destaque, por pelo menos um dos pais ou responsável legal.

 

Desta forma, logo na etapa do cadastro do usuário na plataforma da Startup, recomenda-se que haja uma etapa específica para identificação da idade do usuário e, caso este seja de menor, um requerimento envolvendo os pais ou representante legal.  Sendo inobservada tal disposição, a Startup estará sujeita às penalidades impostas pela Lei, em vigor a partir de agosto de 2021.

 

Por Kael Moro