Negócios

Aderir ou morrer? Os desafios da LGPD para startups

No Dia Internacional da Proteção de Dados, o Startups examina os desafios e oportunidades na adequação às regras

Aderir ou morrer? Os desafios da LGPD para startups

Em 2022, o Brasil entra no segundo ano de plena vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), com a atuação da Autoridade Nacional de Proteção de Dados (ANPD) como órgão responsável pelo cumprimento das regras. Porém, a maioria das empresas de menor porte, incluindo muitas startups, ainda sofrem para se adaptar à lei.

A LGPD determina que pessoas permitam o uso de suas informações e garante o direito de retirada de cadastros. Punições e multas de até R$ 50 milhões ou percentuais do faturamento podem ser impostas às empresas que não seguirem as regras. Ainda assim, lentidão é a palavra que melhor descreveria o momento de negócios menores em relação a proteção de dados, pelo menos até recentemente.

Um levantamento feito pela Fundação Dom Cabral com 207 empresas que possuem conselho de administração ou consultivo divulgado em agosto de 2021 – quando as sanções da LGPD passaram a valer – mostra que 40% delas não estavam totalmente ajustadas à Lei. Outra pesquisa, da empresa de marketing digital RD Station, também divulgada em agosto, contou com 997 participantes, sendo 60% microempresas. Desses, 69% disseram não ter o processo de políticas de proteção aos dados dos clientes, etapa básica do processo de conformidade, enquanto 22% não tinham nenhuma medida de segurança em relação às informações pessoais das pessoas com as quais interagem.

Desde então, o cenário parece estar se transformando, apesar das empresas brasileiras terem demorado para entender a importância da LGPD e o impacto real nos negócios, diz Thayse Fernandes da Cunha, coordenadora jurídica de direito digital na consultoria britânica Russell Bedford. “Somente quando a legislação efetivamente entrou em vigor é que a busca pela adequação ganhou força, e isso não foi diferente em relação a startups”, aponta a especialista, acrescentando que a entrada em vigor das sanções no ano passado provocou uma corrida para atender às novas exigências.

Sobre o que startups tem a perder ao não dar a devida importância ao tema da proteção de dados, Thayse é categórica: “De forma orgânica, serão excluídas do mercado,” declara. Ela acrescenta que regras como a GDPR (equivalente da LGPD implementado na Europa em 2018), vieram para garantir a competitividade do mercado e zelar pela continuidade das relações comerciais internacionais – e o impacto disso no Brasil não será diferente.

“As startups que aderirem a legislação, implementando medidas de proteção de dados, garantindo privacidade, vão se destacar no mercado, ganharão confiança dos titulares de dados – os consumidores – e ampliarão suas possibilidades de investimentos”, aponta.

O barato sai caro

Founders normalmente tem um conhecimento razoável sobre a LGPD, mas há um consenso entre especialistas de que startups não conseguem, ou não priorizam, o investimento de capital nos processos de proteção de dados, ou na contratação de pessoas com expertise na área – os chamados data protection officers (DPOs) – para garantir a conformidade às regras.

Thayse Cunha, da Russell Bedford: conformidade à LGPD é um diferencial de startups

O que acontece nestes casos, segundo Thayse, é a adoção de medidas “caseiras” – muitas vezes, ineficazes – para ficar em dia com a lei, o que pode gerar impactos negativos à imagem e aos negócios da startup. “A pressa de estar [em conformidade] para manutenção de relações com parceiros maiores, bem como perante aos titulares de dados, sem o acompanhamento de um profissional especializado poderá custar mais caro no final”, pontua.

Ciente das dificuldades na adequação às regras de proteção de dados entre empresas menores (incluindo startups), a ANPD determinou a edição de normas, orientações e procedimentos simplificados e diferenciados, e lançou um guia para orientar pequenas empresas sobre o tratamento de dados.

Parte do contexto da discussão sobre proteção de dados entre empresas da nova economia inclui o Marco Legal das Startups, que estabelece regras específicas para o setor no país. Ainda assim, Thayse nota que a ausência de regulamentação para os tipos de negócios que se enquadrem ou não nesses requisitos para a implementação da LGPD também tem sido um entrave.

LEIA TAMBÉM: Ciberataques avançam e criam oportunidade de negócio para startups

Além da complexidade e custos de uma implementação efetiva, a especialista ressalta que fundadores costumam ter dúvidas quanto à necessidade de atender, bem como implementar certos requisitos da lei para estar em conformidade. Isso pode impactar o fluxo de caixa de uma startup, mas também evidencia uma dor ainda não endereçada.

“Considerando startups como modelo de negócio apto a mudanças com produtos e serviços inovadores, a proteção de dados pode servir como uma oportunidade um novo nicho de mercado com o desenvolvimento de soluções, produtos, específicos aptos a assegurar a privacidade e proteção de dados das organizações”, diz Thayse.

Jornada de conscientização

Na Convenia, HRtech focada na digitalização e automatização de processos de recursos humanos e department pessoal, o desafio foi entender as motivações para mudar uma rotina já estabelecida na empresa.

“A conscientização sobre o tema foi muito importante”, diz Anderson Poli, cofundador da startup. As regras em torno da LGPD não são totalmente claras, diz o empreendedor, o que significa que o aprendizado e evolução constante das medidas tomadas foram cruciais no processo.

Para lidar com as mudanças, a startup teve apoio jurídico e endereçou a conformidade em etapas, que envolveu o mapeamento de dados, e a revisão de posse dos dados, bem como uma avaliação da necessidade de ter o dado armazenado ou não, além de um processo de conscientização na empresa.

Anderson Poli, da Convenia: conscientização para virar a chave

Segundo Poli, repercussões da jornada de proteção de dados da companhia incluem evoluções técnicas na empresa e no produto. “Para esse processo não existe uma receita pronta, cada caso é um caso. Por isso, é muito importante definir a trilha de evolução contínua e os processos de comunicação com todas as partes”, pontua.

A startup de pagamentos Transfeera partiu de um ponto diferente: assim que a liderança soube da LGPD, já criou um roadmap de adequação até a entrada em vigor da lei. Também com o apoio de um time jurídico, a startup fez um mapeamento de todos os dados gerenciados, além da revisão de contratos e de documentos com cliente e fornecedores, levando em conta as novas regras, além de boas práticas de segurança da informação, com base no framework de Cybersecurity CIS (Center for Internet Security).

Treinamentos com todos os colaboradores sobre LGPD foi crucial para garantir a conformidade à lei, segundo Rafael Aceno, especialista em segurança digital e DevSecOps na Transfeera. “No cenário de uma fintech — em que tudo é muito dinâmico e novos processos e produtos são criados de um dia para a noite — é importante que todos entendam os detalhes da LGPD e como identificar dados pessoais e sensíveis, para que todos os processos criados pelas áreas atendam às regras”, ressalta.

Rafael Aceno, da Transfeera: foco na troca de dados com fornecedores

Mas ainda existem complexidades, apesar de todo o preparo. Segundo o especialista da Transfeera, um dos entraves é a interação e troca de dados com fornecedores, em que a segurança da informação acaba sendo compartilhada. “Para mitigar esse risco, criamos procedimentos para avaliar a segurança e o compliance de todos os nossos fornecedores e parceiros, para garantir a proteção dos dados e a aderência com a LGPD”, ressalta.

Na Jobecam, startup que desenvolve um software que apoia empresas em processos de recrutamento às cegas, a LGPD impactou os processos internos da empresa. Mas as maiores adaptações foram as que tiveram de ser realizadas no produto e serviço, segundo Diogo Felizardo, data protection officer da empresa.

“No produto, tivemos a revisão e adequação dos nossos termos de uso para que estivessem alinhados com a lei,” explica Diogo. “As pessoas candidatas podem decidir quais informações elas querem disponibilizar para a empresa ou não, e temos mais mecanismos de configurações de contas e dos dados disponíveis.”

Colocando a casa em ordem

Startups que querem ganhar escala terão a conformidade com a LGPD como um diferencial de mercado, e vale a pena colocar a casa em ordem, segundo Thayse, da Russell Bedford. “O movimento que se tem hoje, principalmente dentro do mercado de investimentos e parcerias, é a busca por empresas que estão adequadas a essa legislação, uma vez que a responsabilidade é solidária”, diz a especialista.

“Diagnosticar o fluxo de dados, os gaps, e a cultura interna da empresa é o primeiro passo. Depois, startups precisam analisar e lapidar os processos internos já existentes e implementar o que falta para atender às diretrizes da LGPD e, por fim, trabalhar o aculturamento, com a visão partindo da liderança”, acrescenta.

Pensando nas startups que já avançam nessa agenda, a especialista aponta as melhores práticas: conhecer o próprio negócio, saber qual é o fluxo de dados tratados para o desenvolvimento das atividades e se os dados coletados são mesmo necessários para tanto. “Além disso, é preciso adotar processos internos que atendam a necessidade do seu negócio e que prezem pelas [regras de proteção de dados] e garantir que esses processos sejam efetivos, que os envolvidos no negócio pratiquem as medidas que foram adotadas”, ressalta.

Tendências

A aceleração na geração de unicórnios e o interesse de investidores em startups brasileiras, bem como a internacionalização das empresas de tecnologia nascidas no Brasil sugerem que o país “possui chances exponenciais de ser o próximo Vale do Silício”, diz Thayse.

A especialista vê com bons olhos as medidas de fomento ao empreendedorismo de parte do governo federal com o Marco Legal das Startups, bem como a flexibilização de regras da ANPD para agentes de pequeno porte, que mostra o conhecimento da importância das startups para a economia por parte do governo. A maturidade do ecossistema de forma geral, segundo ela, está diretamente ligada aos temas de privacidade e proteção de dados.

“A expectativa nesse momento social é acelerar, e cada vez mais, a transformação digital, impulsionando o desenvolvimento de ideias e negócios de jovens empreendedores, no contexto brasileiro, na busca de soluções inteligentes adaptadas ao novo cotidiano da era do big data, metadados, machine learning”, pontua Thayse. “Neste contexto, é fácil constatar o grau de importância das startups buscarem a conformidade com a Lei Geral de Proteção de Dados.”