*Por Guilherme Guidi e Rodrigo Pôssas
A preocupação com a privacidade e a proteção de dados de consumidores, funcionários, clientes, fornecedores e demais titulares tem sido objeto de atenção no ambiente corporativo há anos, começando com a aprovação de leis estrangeiras como o GDPR (General Data Protection Regulation) na União Europeia e se concretizando também para as empresas brasileiras com a Lei Geral de Proteção de Dados (LGPD). Essas regras, que se aplicam a todos aqueles que tratam dados pessoais (i.e. praticamente toda e qualquer empresa ou organização), trouxeram também mudanças na dinâmica de captação de investimento para a maioria das startups.
Com a LGPD, o que antes representava mero ponto de receio, se tornou tema relevante no diagnóstico e gerenciamento de riscos de toda e qualquer empresa. Isso porque, muito além das tão temidas “multas de R$ 50 milhões”, ignorar a LGPD passou a colocar em risco não só a reputação da empresa, mas também sua capacidade de atrair investidores e “fazer crescer o bolo”.
Isso quer dizer que as empresas que não estiverem 100% adequadas à LGPD simplesmente não conseguirão assegurar novos investimentos? Não, mas a depender do seu nível de governança isso pode afetar as condições do negócio.
“Mas eu preciso investir no meu produto e na minha operação!” “Não tenho como atrair talento, obter novos clientes e me preocupar com a LGPD no momento atual da empresa.” Soa familiar?
Então venha conosco entender melhor o que preocupa o investidor e o que você pode fazer sobre isso, pois ao fim da leitura vamos compartilhar a regra de ouro para balancear investimento e riscos em proteção de dados.
Custo-benefício
O ecossistema de startups é marcado pela escassez de recursos, sobretudo financeiros, impulsionando startups e demais agentes a alocar seus recursos em áreas consideradas prioritárias. Assim, especialmente nos primeiros estágios de seu desenvolvimento é natural que a empresa prefira (corretamente) investir no seu produto ou serviço, aperfeiçoando sua oferta ao mercado, entre outras áreas que, se não essenciais, ao menos aparentam trazer benefícios tangíveis para o negócio. Não raro, temas jurídicos como proteção de dados ficam mais para o fim da fila da padaria.
Mas se “pensar fora da caixa” é marca registrada do empreendedor, deve ficar claro que a analogia da fila da padaria não é adequada: definir prioridades na alocação de recursos é uma tarefa muito mais dinâmica e que exige cuidar de muitas necessidades ao mesmo tempo, mesmo que dedicando níveis variados de atenção e recursos a cada uma.
A título de exemplo, um estudo da IBM indica que, em média, um incidente com vazamento de dados (data breach) representa um custo de USD 4,45 milhões às organizações atacadas, observando um aumento médio de 15% nos custos por incidente desde 2020. Por outro lado, as empresas que investiam em resposta a incidentes economizaram, em média, UDS 1,49 milhões, reduzindo consideravelmente os custos relacionados a incidentes de segurança.
No entanto, para além de mero custo relacionado ao cumprimento de normas e demais obstáculos burocráticos, o estudo mais relevante sobre a área já demonstrou que o retorno sobre o investimento (ROI) em matéria de privacidade pode ser de até sete vezes o valor investido. No Brasil, as empresas também já têm sentido retorno positivo em destinar recursos à área.
Dessa forma, para além de endereçar e mitigar possíveis riscos mapeados por investidores (descritos abaixo), o investimento em privacidade pode representar retorno relevante para a própria empresa, como já exploramos em artigo anterior.
O que buscam os investidores
A depender do mercado em que se realiza a operação e do seu objeto, os investidores podem buscar uma série de ativos distintos – e cada um com seu respectivo risco. A depender do ativo buscado e da empresa investida, algumas contingências são mapeadas pelos investidores, seja por uma due diligence formal ou como pesquisa prévia para abordar ou negociar com uma startup em busca de investimento. Mas o que exatamente nessa análise do investidor gera preocupação?
Sob a ótica do investidor, alguns temas representam possíveis contingências relevantes à operação, sendo objeto de levantamento e mapeamento por investidores:
- Transparência: informar os titulares de dados (seu clientes e colaboradores, entre outros) sobre quais dados a empresa coleta e o que faz com eles é obrigação essencial da LGPD. Na prática, estamos falando das famosas “Políticas de Privacidade”, e sua ausência geralmente é um indicativo claro de que a empresa não está minimamente adequada aos requisitos legais.
- Incidentes de Segurança: como demonstrado acima, a ocorrência de incidentes de segurança representa risco relevante para todos os agentes envolvidos. Ainda que o investidor já possua uma estrutura de segurança da informação que possa ser aproveitada pela startup, é necessário considerar o tempo necessário para a correta integração da empresa investida. Dessa forma, a adoção pela própria empresa investida de medidas de segurança é critério relevante na classificação de possíveis contingências.
- Risco reputacional: como já demonstramos em outro artigo, a proteção adequada dos dados representa elemento relevante para se obter a confiança de consumidores, especialmente em plataformas digitais. Dessa forma, adquirir empresas com problemas pode representar risco à imagem da empresa perante os seus consumidores, seja por um problema recente (como um incidente, uma investigação ou penalidade aplicada pela Autoridade Nacional de Proteção de Dados) ou pela potencialidade de um problema futuro.
- Tratamento inadequado: o tratamento inadequado de dados pessoais, especialmente por ausência/inadequação de base legal para o tratamento, pode ser empecilho relevante na celebração e concretização de negócios. Em investimentos que têm como principal objetivo o aproveitamento de um banco de dados da empresa investida, por exemplo, é essencial para a concretização do negócio que os dados tenham origem lícita e possam ser de fato utilizados.
- Natureza e volume dos dados tratados: startups que (i) utilizam um grande volume de dados pessoais e/ou (ii) utilizam dados considerados sensíveis (como dados de saúde, vida sexual e etnia) naturalmente terão todos esses riscos aumentados, uma vez que usar os dados de forma ilegal traria maiores prejuízos para os titulares de dados (e, consequentemente, maiores responsabilidades para a empresa).
Como endereçar os riscos relevantes
Essas preocupações geralmente podem ser endereçadas por medidas técnicas e administrativas a serem adotadas pela empresa investida, com especial menção a:
- Políticas de privacidade e transparência: a adoção de mecanismos de transparência perante os titulares, como política de privacidade adequada aos parâmetros delineados pela ANPD, é critério utilizado pela própria autoridade para mensurar o grau de adequação de empresa, sendo também um fator a ser analisado por potenciais investidores.
- Canais de atendimentos a titulares: a adoção de canais de atendimento a titulares que queiram exercer seus direitos é outro mecanismo externo que, uma vez estabelecido, ajuda a empresa a mostrar que não só está ciente dos direitos dos titulares, mas que está preparada para atendê-los. Esse canal de comunicação pode tomar a forma de um simples endereço de e-mail dedicado ou mesmo a implementação de funcionalidades (especialmente em plataformas digitais) que permitem o autoatendimento.
- Governança em Privacidade: a criação de um Programa de Privacidade na geralmente envolve a criação e implementação de regras e políticas internas, definindo atribuições e as responsabilidades dos colaboradores para garantir o cumprimento de diversas regras específicas da LGPD, sendo então peça fundamental para cumprimento da lei.
- Mapeamento de Dados Pessoais: o mapeamento dos dados (i.e. de todos os processos da empresa que envolvem dados pessoais), além de ser uma obrigação legal expressa (art. 37, LGPD), é necessário também mapear os riscos e os gaps encontrados, mostrando diligência na gestão desses riscos.
- Mecanismos de Segurança da Informação: a adoção reiterada de mecanismos de segurança da informação – como um plano de resposta a incidentes, medidas técnicas de segurança e treinamentos sobre segurança para os colaboradores – é critério relevante para contenção e mitigação de riscos na operação de qualquer empresa.
“Mas preciso fazer tudo isso, mesmo se minha startup tem apenas alguns meses de operação?”
Equilibrando riscos e expectativas
Não precisamos dourar a pílula: proteção de dados é um tema complicado quando falamos de captação de investimentos. Enquanto os estudos mostram uma tendência de aumento do ROI do compliance em proteção de dados, é difícil (se não impossível) quantificar quanto é razoável investir para ter mínima segurança ou para evitar um impacto no valuation da startup.
Assim, a primeira superstição a ser superada é a de que é necessário ter uma operação 100% adequada à LGPD para captar investimento. A maioria dos investidores, especialmente quando lidando com startups em early stage, já esperam que a investida não esteja 100% adequada, preferindo avaliar como o empreendedor pretende encarar esse desafio ao longo do desenvolvimento da empresa. Por isso, o primeiro pulo do gato: mesmo que a startup não esteja totalmente adequada, é essencial demonstrar consciência e comprometimento.
Em outras palavras, para o investidor o empreendedor deve entender que:
- Mesmo que hoje não haja recursos, esse é um tema importante; e
- Mesmo que hoje a empresa seja pequena (e os riscos pequenos), amanhã ela será grande (e os riscos aumentados), esse tema terá que ser enfrentado em algum momento.
E como demonstrar compromisso? Bem, voltamos à metáfora da fila da padaria. Não adiantar alinhar as prioridades da empresa e trabalhar exclusivamente apenas na mais importante, pois as prioridades menores ainda podem afundar um negócio. Mostrar comprometimento, nesse cenário, significa dedicar a atenção adequada a cada tema, simultaneamente e na quantidade necessária, conforme o momento da empresa.
Na prática, isso pode significar que uma startup em ideação, mesmo que não tenha políticas, normas e documentos sobre proteção de dados, deve levar em consideração a privacidade dos seus clientes e consumidores quando estiver construindo o seu produto. Já a startup que está iniciando sua operação deve, no mínimo, dar alguma transparência sobre o tratamento dos dados pessoais de seus clientes, publicando uma política de privacidade em seu website e talvez preparando seu time de atendimento ao cliente para lidar com questionamentos e solicitações dos titulares de dados. Contar com um assessor para decidir o que é necessário em qual etapa da empresa pode auxiliar a startup a tomar decisões mais informadas.
Isso significa que a startup não está violando a LGPD ao não cumprir esta ou aquela obrigação específica? Ou que não estaria sujeita a ter problemas legais? Não. A LGPD é plenamente aplicável hoje e não cumprir integralmente suas regras pode acarretar problemas legais, como processos judiciais, multas e prejuízo à imagem da empresa. No entanto, como qualquer atividade empresarial, se essa meta não é 100% factível diante da realidade da startup, é necessário avaliar a situação pelo prisma do risco, que é exatamente o que o investidor faz.
A regra de ouro, assim, é que os esforços da empresa em temas de proteção de dados, ainda que tenham como objetivo final a adequação total da empresa à lei, devem avaliar os riscos mais relevantes da sua operação, implementando progressivamente melhorias com base no seu estágio de desenvolvimento. Contar com um assessor jurídico para avaliar esses riscos e auxiliar na definição de quais são essas medidas geralmente traz os melhores resultados, tanto pela especialização técnica quanto por fornecer uma visão externa, mais imparcial, do contexto da empresa.
A barra do que é aceitável não é uma só, podendo ser mais alta ou mais baixa a depender do mercado da startup, das expectativas do investidor e diversos outros fatores, mas se o contexto da operação for corretamente avaliado, incluindo as características da operação, principais riscos, recursos disponíveis e práticas adotadas pelo mercado, a chance de que uma operação de investimento seja concluída sem maiores engasgos no tema de proteção de dados cresce substancialmente.
Para conhecer um pouco mais sobre o tema, nossa equipe está pronta para atender quaisquer demandas relacionadas ao tema. Consulte nosso site para entender mais!
Teremos o maior prazer em atendê-lo(a).Para saber mais sobre o Freitas Ferraz Advogados, não deixe de nos acompanhar no LinkedIn e no Instagram!