* Por Luísa Carvalho

Diante de uma sociedade cada dia mais digital e que vive online durante considerável parte de seu tempo, o valor da privacidade foi redescoberto. Prova disso é a expansão mundial de leis que objetivam a preservação da privacidade do titular do dado pessoal e, para tanto, condicionam o tratamento de dados pessoais por pessoas jurídicas à observância de certas regras.

Atualmente, a edição da Lei Geral de Proteção de Dados (“LGPD”) movimenta a discussão sobre o tema no Brasil e exige que empresas movam mundos e fundos para se adequarem, considerando que a LGPD entra em vigor logo menos, em agosto de 2020.

O trabalho de adequação à lei não é superficial e exige o entendimento completo do modelo de negócio da empresa, a mudança de mindset dos empresários (a regra de ouro é clara, quanto menos dados pessoais coletados, melhor para o titular do dado e para a empresa), o treinamento dos colaboradores da empresa sobre o tema, a implementação de plano de ação a ser posto em prática caso haja vazamentos de dados pessoais, a indicação de um DPO, a possibilidade de o titular do dado exercer seus direitos, como direito de revogação de consentimento, direito à portabilidade, direito à correção dos dados tratados – são essas algumas questões que devem ser analisadas e é evidente que o custo de tempo e dinheiro a ser investido não é pouco.

Para as startups que iniciam seu negócio com recursos contados a recomendação é a implementação das regras da LGPD desde a criação do modelo de negócios, desenvolvimento da plataforma e política comercial. Essa recomendação é chamada de Privacy by Design ou privacidade desde sua concepção, em livre tradução.

A proposta do Privacy by Design é a proteção dos direitos do titular do dado pessoal desde o princípio, para que as empresas adotem medidas de caráter preventivo, como a coleta de dados pessoais restrita aos essenciais para a finalidade que motivou o titular do dado a comprar o produto/serviço ofertado; e a implementação de plano de ação para reduzir os danos causados por eventual vazamento de dados pessoais.

Por outro lado, o Privacy by Design protege também a empresa, em especial tende a reduzir o custo de adequação à LGPD, pois em eventual caso de vazamento de dados, a sanção administrativa determinada pela Agência Nacional de Proteção de Dados pode ser reduzida se notado que o negócio lançado foi projetado prezando pela privacidade do titular do dado. Além do mais, evita-se o custo financeiro com um retrabalho de desenvolvimento de sistema. Isso porque a programação do sistema é uma chave fundamental para o compliance com a lei. Vejamos exemplos que têm na programação do sistema a sua resposta:

Atendimento ao direito do titular do dado a portabilidade (obrigação da startup, no caso controladora do tratamento de dados, transferir todos os dados presentes em seu sistema para um terceiro indicado pelo titular do dado) ou comprovação pela startup de que realizou o tratamento de dados amparada em uma permissão da lei, como a comprovação de que um dos pais ou responsável legal da criança concedeu seu consentimento de maneira livre, informada, inequívoca e destacada para a realização de tratamento do dado pessoal da criança.

Esclarecemos que a LGPD é aplicável tanto para dados pessoais tratamos nos meios físicos, quanto nos meios digitais. Logo, o trabalho de compliance também deve considerar a coleta em formulários, por exemplo.

Assim, o Privacy by Design é o meio para startups reduzirem custos relacionados com o compliance à LGPD. Frisamos ser preciso a análise específica do modelo de negócio de cada startup para a determinação das medidas necessárias para atender a LGPD.


Luísa Carvalho é formada pela PUC em Direito, com pós-graduação em Direito Empresarial na instituição Getúlio Vargas e extensão em Direito digital, Luísa Carvalho é advogada especializada em Direito Empresarial e Inovação no BNZ (Braga Nascimento e Zilio Advogados Associados).