*Por: Giulio Franchi e Maria Beatriz Torquato
A necessidade de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) para as startups que realizem o tratamento de dados pessoais não é uma novidade, sobretudo após a recentíssima publicação da Resolução CD/ANPD nº 2/2022[i], que foi tema do nosso último bate papo (https://jornalvisaodenegocios.com.br/pequenas-e-medias-empresas-nao-precisam-cumprir-a-lgpd-verdade/).
Para além de necessário, a conformidade com a lei e com a Resolução, também tem sido visto como um grande diferencial competitivo. Sabe por quê?
Uma das consequências negativas da falta de adequação de uma empresa à LGPD é o prejuízo reputacional que isso traz, tanto no que diz respeito a relação que a empresa possui com as pessoas cujos dados trata (titulares dos dados), a exemplo de clientes e colaboradores, quanto na relação da empresa com seus parceiros comerciais, a exemplo de outras empresas.
Em última análise, quando uma empresa não se adequa à LGPD, a mensagem que passa é a de que não cuida das informações das pessoas e não se preocupa com os danos (morais, materiais, físicos etc.) a que essas pessoas estão sujeitas em decorrência de um tratamento indevido de dados pessoais.
A consequência disso é perda de confiança e reputação. Afinal, você contrataria uma empresa em que não confia ou que pode te proporcionar um risco de dano?
Além disso, o prejuízo reputacional decorrente da não adequação à LGPD também envolve o risco de perder parceiros comerciais estratégicos. Isso porque a LGPD traz no art. 42, § 1º[ii], hipóteses de responsabilidade – perante terceiros – conjunta ou solidária (como diz a lei) das empresas que realizam o compartilhamento de dados entre si, a quem a LGPD chama de agentes de tratamento e denomina, caso a caso, de operador e/ou controlador.
Responder em conjunto com seu parceiro estratégico significa ter que, eventualmente, pagar pelo erro do seu parceiro. Ninguém quer isso, certo?
É também por isso que escolher bem seus parceiros e ter capacidade de demonstrar que sua startup está adequada à LGPD é tão importante.
Como toda relação com terceiros, formalizar os direitos e obrigações de cada um é extremamente relevante e, quando o assunto é proteção de dados, antes de fazer isso, é essencial que a startup conheça bem as operações de tratamento de dados pessoais que pretende realizar e entenda bem os conceitos de controlador e operador para atribuir corretamente os direitos e deveres de cada um no documento.
Nos termos da lei, o controlador é o agente responsável pelo poder decisório sobre o tratamento de dados pessoais e por definir os elementos essenciais para o cumprimento das finalidades, enquanto o operador é o responsável por realizar o tratamento de dados em nome do controlador[iii].Trocando em miúdos, quando o tratamento de dados pessoais é realizado por mais de uma empresa, o controlador é quem, em determinada operação, tem o poder de decisão e o operador é quem executa o que é decidido, conforme as orientações dadas pelo controlador.
Para te ajudar a entender melhor este conceito e, eventualmente, identificar onde a sua startup se encaixa em determinada situação, trago abaixo uma linha de raciocínio publicada pela própria Autoridade Nacional de Proteção de Dados.
Dito isso, considerando o diferencial competitivo que a adequação à LGPD pode proporcionar à startup, pode se dizer que investir nesta área muitas vezes vai significar melhorar a reputação da sua empresa e consequentemente proporcionar a conquista de mais clientes e parceiros.
Portanto, é importante levar em consideração que o investimento na conformidade com a lei possivelmente irá gerar um retorno muito maior do que o aplicado, haja vista que se espera diante das condutas adotadas evitar sanções da ANPD e atrair mais negócios e principalmente mais clientes, em virtude do respeito aos direitos dos titulares e da consequente boa reputação bilateral, tanto perante os clientes quanto os parceiros.
A importância dada ao investimento é tão grande que já existem bancos oferecendo financiamento para consultoria para adequação à LGPD; soluções de tecnologia e capacitação/treinamento.
Sendo assim, você – empresário – que ainda não adequou o seu negócio, está na hora de investir e enxergar na prática os benefícios deste investimento.
[1] Disponível em: <https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019> Acesso em 06 fev. 2022.
[1] Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm> Acesso em: 07 fev. 2022.
[1] Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf>. Acesso em: 19 dez. 2021.
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).