Vanessa Pirró*
Ana Carolina Cesar**
Juliana Almeida***
Era comum escutarmos a frase de que se não pagamos o produto – somos o produto, partindo da premissa que os usuários em geral concordavam com o compartilhamento de seus dados pessoais como moeda de troca aceitável. No entanto, o que os usuários fariam de fato se pudessem ter o controle sobre os seus dados pessoais? Um exemplo recente foram os dados divulgados pela Flurry Analytics, que constataram que 96% dos usuários do sistema operacional iOS 14.5 optaram por negar o rastreamento de seus dados pelos aplicativos. Com efeito, a Apple foi bem-sucedida em suas campanhas ao enfatizar a privacidade como um diferencial dos seus produtos.
No Brasil, em meio à vigência da Lei Federal nº 13.709/18, Lei Geral de Proteção de Dados (“LGPD”), que ganhou tração com a atuação da Autoridade Nacional de Proteção de Dados (“ANPD”), estamos acompanhando o desenvolvimento das diretrizes e regulamentações necessárias para a adequada interpretação e aplicação da Lei.
Flexibilidade da lei de proteção de dados para startups
Em 28 de janeiro de 2022, foi publicada a Resolução CD/ANPD nº 2, que trata sobre a aplicação da LGPD para agentes de tratamento de pequeno porte, incluídas neste contexto as startups.
Em um cenário de adequação desafiador, inclusive para empresas com orçamento destinado e colaboradores dedicados, é notório que um Regulamento específico, com regras e disposições mais brandas beneficiarão todo o ecossistema de inovação das startups.
Desde as regras simplificadas sobre o registro das operações de tratamento até a comunicação de incidentes, além da ausência de indicação de um encarregado de proteção de dados (“Data Protection Officer”), é possível perceber a intenção da ANPD em apoiar a jornada de conformidade dos agentes de pequeno porte.
As disposições do Regulamento exigem uma contrapartida dos agentes de pequeno porte para cumprimento da Lei, como a adoção de um canal de comunicação para atendimento das solicitações de titulares e a divulgação de suas práticas e medidas de segurança em uma política de segurança da informação. Tais medidas são consideradas essenciais para atender às premissas da Lei.
No entanto, estão excluídas das disposições do Regulamento os agentes de pequeno porte que realizarem tratamento de alto risco, quando atenderem cumulativamente pelo menos um critério geral, como:
- tratamento de dados pessoais em larga escala ou
- tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares e um critério específico, como:
(a) uso de tecnologias emergentes ou inovadoras;
(b) vigilância ou controles de zonas acessíveis ao público;
(c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais e;
(d) utilização de dados pessoais sensíveis ou dados pessoais de crianças, de adolescentes e de idosos.
Por isso, é recomendado que as startups analisem seu modelo de negócios para averiguar o enquadramento à recente Resolução direcionada aos agentes de tratamento de pequeno porte.
Privacidade para startups
Para além da conformidade legal e aplicação do recente Regulamento, é importante refletir sobre as práticas que deveriam ser fomentadas pelos novos negócios e startups que estão surgindo. Quais são as alternativas de privacidade oferecidas pelas empresas quando não concordamos com sua política de privacidade? Qual será o diferencial competitivo para as startups que pensarem em privacidade como um negócio?
Demanda dos usuários
Diante do surgimento de diversas tecnologias descentralizadas, é possível notar a crescente demanda dos usuários pela autonomia e controle da sua privacidade. Certamente, existe muito espaço para inovação diante de modelos atuais que ainda insistem em extensas políticas de privacidade, banners de cookies e a famigerada “fadiga” de consentimento aos usuários.
Os usuários, ou titulares de dados, têm cada vez mais conhecimento e preocupação sobre a forma como seus dados pessoais serão tratados. Não por acaso, se antes essa troca de dados pelo produto era realizada consensualmente, atualmente os usuários querem entender exatamente quais são os dados pessoais que estão sendo compartilhados e a finalidade de coleta de cada um deles pelas empresas que estão interagindo.
Mitigação de riscos
Passamos pelo cenário da ausência de preocupação dos usuários com vulnerabilidades ou ameaças para o cenário de ações proativas destes usuários a fim de mitigar os riscos, como adoção de autenticação multifatorial (“MFA”) e conhecimento dos seus direitos previstos em legislações de proteção de dados, como a LGPD.
Privacidade como um negócio
Além disso, cresce no mundo as empresas que estão entregando privacidade como um negócio e permitindo a subscrição de seus serviços por uma taxa como contrapartida para proteção de seus dados pessoais. Como exemplo, esse é o caso da startup Privacy, desenvolvedora de software de pagamentos que protege as informações financeiras do usuário de maneira facilitada. Este modelo é a verdadeira revolução da privacidade como negócio, na qual os usuários passarão a pagar para usufruir de serviços que têm como premissa proteger os dados pessoais e informações dos usuários.
Vantagem competitiva
E, por último, um dos grandes motivos para adotar a privacidade em seus negócios é que será muito mais fácil para aquelas startups concebidas a partir de conceitos de privacidade embutidos em seu negócio manterem sua vantagem competitiva. Esse conceito, inclusive, é um dos requisitos indicados no art. 46, §2º com relação ao privacy by design e privacy by default.
É fato que os gigantes de tecnologia, apesar de possuírem a capacidade financeira e técnica, poderão sofrer com o tempo de duração da migração de suas plataformas atuais para tecnologias que possuem a privacidade como figura central. Um entrante de mercado poderá valer-se desse tempo para lançar novos produtos que já contemplem as funcionalidades desejadas pelos usuários.
Sem dúvida, trata-se uma oportunidade inestimável para as startups encararem a privacidade como parte de seu negócio, criando aplicações com tecnologias amigáveis e tornando a experiência do usuário muito mais agradável a partir do controle de seus dados pessoais. No final do jogo, tanto os usuários como as startups sairão ganhando.
Vanessa Pirró, Head da área de Tecnologia, Propriedade Intelectual e Proteção de Dados e Propriedade Intelectual do KLA Advogados. Formada em Direito pela Universidade Mackenzie e tem mestrado em Direito Comercial pela PUC-SP. Certificada como CIPM pela IAPP.
Ana Carolina Cesar, advogada da área de Tecnologia, Propriedade Intelectual e Proteção de Dados e Propriedade Intelectual do KLA Advogados. Formada em Direito pela PUC-Campinas e tem mestrado em Direito e Gestão pela Universidade Católica Portuguesa.
Juliana Almeida, advogada da área de Tecnologia, Propriedade Intelectual e Proteção de Dados e Propriedade Intelectual do KLA Advogados. Formada em Direito pela Universidade Mackenzie e tem especialização em Direito Digital e Contratos pela FGV. Certificada como CIPM pela IAPP.
