LGPD nas startups

As startups são conhecidas por atuarem na inovação, operando com plataformas de tecnologias, avaliando escalabilidade desde a criação de ideia até todo o processo da operação. O principal objetivo de uma startup é acelerar o aumento do número de usuários, clientes e faturamento sem precisar aumentar proporcionalmente os seus custos.

Possuem um modelo de negócio que lida com um grande fluxo de dados e informações de clientes, fornecedores, funcionários ou terceiros. Em razão da escalabilidade ser um fator relevante para uma startup, esta não pode se desenvolver de maneira irregular perante a lei.

Com base na LGPD, qualquer pessoa física ou jurídica que realize qualquer tipo de tratamento de dados pessoais deve respeitar os princípios básicos de segurança, ao passo que, é essencial que a startup utilize medidas administrativas e técnicas eficazes para proteção dos dados pessoais e dados pessoais sensíveis que tenha acesso.

Desta forma, é imprescindível que a startup esteja em conformidade com a LGPD, e para isso, a Autoridade Nacional de Proteção de Dados (ANPD), ciente das dificuldades de adequação às regras de proteção de dados entre as empresas menores, incluindo as startups, determinou a edição de normas, orientações e procedimentos mais simplificados e diferenciados.

O processo detalhado e simplificado citado da Resolução n. 2/2022 da ANPD é fundamental para as empresas de pequeno porte, startups e microempresas, pois terão tratamento flexibilizado para o cumprimento de algumas determinações da LGPD. Além disso, o registro das atividades de tratamento exigido pela lei é condicionado a forma simplificada e com modelo fornecido pela própria ANPD.

Outro benefício concedido aos agentes de tratamento é que não precisarão indicar um Encarregado de Dados (DPO), porém continua sendo uma boa prática esta indicação. Por fim, mais um diferencial que a Resolução traz para as startups são os prazos para atendimento de requisição aos titulares de dados que serão contados em dobro.

É importante ressaltar que as condições flexibilizadas na Resolução da ANPD não se aplicam àquelas empresas que, mesmo enquadradas como startups, promovem tratamento de dados de alto risco. Aqui será considerado um tratamento de alto risco, aquele que se enquadra em, pelo menos um critério e um critério específico da redação disposta na Resolução.

Com base nisso, é importante mencionar que, nos termos do art. 7, inciso II da LGPD, a coleta e o tratamento dos dados pessoais poderão ser realizados em determinadas critérios a serem cumpridos, o principal deles é a autorização do titular. Em razão disso, é extremamente necessário que o tratamento dos dados se dê apenas visando a finalidade específica para qual o consentimento foi conferido.

Sendo assim, além de comunicar aos titulares de dados quais informações serão coletadas e para quais finalidades, é importante que as Startups criem um canal possibilitando que os usuários revoguem o seu consentimento, bem como façam requisições para obter informações sobre os seus dados.

O cumprimento das regras contidas na LGPD é fiscalizado pela ANPD, e caso haja alguma irregularidade, inicialmente poderá emitir uma advertência determinando um prazo para que o infrator regularize a sua situação de acordo com a legislação. Caso a situação não seja regularizada após a advertência, o infrator estará sujeito ao pagamento de multa simples, que pode chegar a 2% sobre o faturamento do negócio, tendo o limite de 50 milhões de reais. Há ainda a multa diária, cujo valor máximo também é de 50 milhões de reais.

Além disso, há como penalidade a publicização da infração, o bloqueio de dados pessoais e a eliminação de dados pessoais, este último sendo aplicado nos casos mais graves. Desta forma, observa-se que as penalidades da legislação são uma forma de estimular as organizações a se adequarem à regulamentação e atuarem na proteção do tratamento dos dados de terceiros.

Ademais, a fim de obter maior segurança jurídica, uma ótima opção para garantir o sigilo de algumas informações da startup que podem ser determinantes, é a elaboração do Acordo de Confidencialidade (NDA), que tem como objetivo garantir o sigilo dos dados sensíveis de clientes, empresas e fornecedores. O NDA pode ser utilizado de uma maneira estratégica, podendo ser celebrado entre prestadores de serviços, programadores e parceiros, ou até mesmo com anjos ou fundos de investimento.

É certo que a LGPD impactará na rotina e nos processos internos da startup, por isso, inicialmente é importante a prática da conscientização sobre o tema, de modo a captar todos os processos e medidas necessárias para a adequação. Frente à essa necessidade de mudança, é crucial que a startup procure apoio jurídico para adotar um cronograma do processo de conformidade à LGPD.

Diante disso, as startups não devem observar as regras dispostas na legislação como um obstáculo legal ao seu desenvolvimento, mas, visualizá-la como um diferencial de mercado, que agregará ainda mais valor às suas operações, obtendo mais confiança aos titulares de dados, e ampliando suas possibilidades de investimentos e escalabilidade.