Muito se discute no ambiente de inovação se a proteção de dados seria uma barreira ao desenvolvimento das Startups. Isso porque, a despeito de não se ter um conceito único sobre Startups, elas são, em síntese, um modelo de negócios de base tecnológica que possui como características essenciais a repetição e escalabilidade.
Mas, o que seria repetível e escalável?
Bem, por repetível, pode-se entender que é aquele modelo de negócios que possui a capacidade de reproduzir produtos ou serviços de forma simples, sem que haja a necessidade de customizações, ou seja, a reprodução em massa.
Já escalável seria o crescimento exponencial em um curto espaço de tempo, uma vez que o produto ou serviço atinge um grande número de consumidores a um custo muito baixo, tornando a margem de lucro da Startup expressivamente alta.
E como isso se relaciona com a proteção de dados?
Vejamos!
Os produtos ou serviços das Startups utilizam tecnologia, tais como, inteligência artificial (dispositivos eletrônicos que executam funções mentais do ser humano), machine learning (aprendizado de máquina), algoritmos (sequência de regras que determinam o funcionamento de um software), internet da coisas (conexão entre aparelhos físicos e a rede mundial de computadores), big data (grande quantidade de produção e armazenamento de dados) e a sua utilização integrada possibilita ,por exemplo, traçar perfil de consumidores, realizar análises preditivas e tomar decisões, inclusive, automatizadas baseadas nas informações oriundas do tratamento de dados pessoais dos consumidores.
Nesse sentido, os dados são ativos extremamente valiosos na indústria[1] e economia 4.0[2], sendo utilizados, principalmente, pelas Startups para escalabilidade.
É aí que entra a proteção de dados!
Desde o final da segunda guerra mundial, a Europa tem legislado bastante sobre a concepção do direito de privacidade e proteção de dados, mas com o aumento expressivo do tratamento dos dados pessoais, a complexidade das operações de tratamento e aumento dos incidentes, a União Europeia constatou que era necessário uma legislação que s eaplicasse a todos os Estados-Membros de modo a tornar mais uniforme a forma como as empresas deveriam observar as normas relativas à proteção de dados. Assim, nasceu o GDPR!
O Brasil, consoante a tendência mundial em observar a proteção de dados, tendo como referência o GDPR, editou a Lei Geral de Proteção de Dados (LGPD) que, finalmente, entrou em vigor no dia 18 de setembro de 2020.
O art. 1º da LGPD determina que “esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentaisde liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Por tratamento de dados pessoais, o art. 5º, X da referida lei, dispõe que é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”[3].
Perceba que a LGPD visa precipuamente a proteger o tratamento dos dados pessoais da pessoa natural de modo a garantir-lhe seus direitos fundamentais e como as Startups utilizam dados pessoais em grande escala, muitos entendem que essa legislação promove um desincentivo à inovação, uma vez que o custo para adequação à lei não é baixo e, dependendo do modelo de negócio, torna-se inviável a sua continuidade e conformidade com a legislação.
Considerando que (i) a LGPD acabou de entrar em vigor; (ii) a cultura de proteção de dados no Brasil ainda é muito insipiente; (iii) não há referências nacionais para avaliar o posicionamento de que a lei seria um entrave à inovação; e (iv) a legislação seguiu o modelo do GDPR, é possível utilizar como parâmetro a pesquisar ealizada por Nicholas Martin, Christian Matt, Crispin Niebel e Knut Blind, publicada em novembro de 2019, no Information Systems Frontiers, que avaliou como o GDPR afetou as Startups na Alemanha[4].
A conclusão sintética da pesquisa é que há três pontos positivos (inovação em conformidade, inovação que explora a regulamentação e “compra de produtos europeus”) e três negativos (abandono do negócio, desestímulo empresarial e minimização dos dados).
Aqui focaremos em pontos positivos, demonstrando como é possível as Startups utilizarem a LGPD como oportunidade de crescimento de seus negócios!
· Privacy by Design:
O art. 46, § 2º da LGPD determina que “as medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução”.
Este parágrafo da lei se baseia no Privacy by Design, uma a metodologia desenvolvida na década de 1990, por Ann Cavoukian, que visa a proteção da privacidade do titular desde a concepção do negócio, ou seja, desde a criação do produto ou serviço, a Startup deverá implementar medidas técnicas e administrativas de proteção de dados e respeito à privacidade do titular.
Essa metodologia baseia-se em 07 princípios:
1) Proatividade e não reativo: atuação preventiva. Ao criar o produto ou serviço, a Startup deverá adotar medidas concretas que garantam a privacidade do titular desde a modelagem do negócio;
2) Privacidade por padrão: preservação da privacidade como padrão. A Startup deve configurar o produto ou serviço para que a proteção de dados seja um padrão, delimitando a finalidade, necessidade, adequação e segurança dos dados. Isso permite que a Startup demonstre que mesmos e o titular de dados não tiver nenhuma interação em sua máquina ou postura de se proteger, o produto ou serviço possui mecanismos e processos de proteção;
3) Privacidade Incorporada ao Design: criação de arquitetura técnica que propicie a proteção dos dados. Exemplo: quando os desenvolvedores estiverem programando um software, eles devem inserir funcionalidades de proteção de dados para que o produto ou serviço já nasça em conformidade com a lei;
4) Funcionalidade total: os objetivos daStartup devem ser preservados igualmente a privacidade. As funcionalidades do produto ou serviço da Startup devem atender a ambos e afastar a falsa dicotomia de que não é possível ter segurança e privacidade ao mesmo tempo;
5) Segurança de ponta a ponta em todo ciclo de vida dos dados: é a proteção de todo o tratamento do dado pessoal, desde a sua coleta até a eliminação definitiva através da segurança da informação. Assim, a Startup ao desenvolver o seu produto ou serviço deverá garantir a adoção de medidas técnicas que visem a confidencialidade, integridade e disponibilidade, utilizando, por exemplo, a criptografia e controle de acesso;
6) Transparência: estabelecimento de políticas e procedimentos de compliance e governança que sejam de fácil acesso ao usuário com linguagem clara, precisa e adequada de modo a garantir a transparência no tratamento dos dados. Dessa forma, a Startup estará apta a realizar a gestão dos dados através dos registros de suas atividades, monitoramento e avaliação, o que, inclusive, demonstra a sua conformidade com alei; e
7) Respeito à Privacidade do Usuário: manutenção de altos padrões de privacidade. A Startup deve incluir a privacidade do titular como prioridade. Isso significa que a privacidade e proteção dos dados devem ser objeto de atenção da alta corporação e fazer parte dos valores, missão, visão e propósitos da Startup[5].
As Startups, especialmente as early stage[6], que incluírem o privacy by design durante a criação e validação de seu produto ou serviço, reduzirão custos de adequação posterior e certamente possuirão um diferencial competitivo em relação às Startups que não estão adequadas à lei e isso não é somente em termos de maiores possibilidade de atração de investidores, mas também na consolidação da sua posição de mercado, reputação e valorização da marca perante o consumidor, uma vez que a cultura de privacidade da Startup nascerá e se desenvolverá junto com ela.
· Inovação através da exploração da LGPD:
Tendo em vista que o Brasil ainda carece de sólida cultura de privacidade e proteção de dados, é possível que o empreendedor utilize a LGPD para desenvolver produtos ou serviços que visem a conformidade com a lei.
The International Association of Privacy Professionals (AssociaçãoI nternacional de Profissionais da Privacidade) – IAPP define Technology-based model da seguinte forma:
“The technology-based model for data protection utilizes technological security measures to protect individual’s personal data. While it is common place for companies to utilize technology to protect data, developments in commercially available hardware ands oftware have enabled consumers to establish privacy protections for their own online activity[7].”.
O relatório anual produzido pela IAPP – Privacy Tech Vendor Report[8] de 2017[9] identificou 44 empresas especializadas neste tipo de serviço, já o relatório de 2020[10] apontou 343 empresas, ou seja, em três anos houve um crescimento exponencial neste nicho, o que demonstra que a LGPD é uma ótima oportunidade de mercado para Startups desenvolverem produtos específicos para assegurar a proteção de dados das organizações.
Assim, apresentam-se alguns produtos que podem ser desenvolvidos nacionalmente:
· Softwares de monitoramento do fluxo do dado;
· Gestão do consentimento;
· Gerenciamento de requerimento dos titulares;
· Gerenciamento de senhas, controles de acesso.
Ademais, é possível explorar a tecnologia blockchain[11] para desenvolver produtos em segurança da informação. Contudo, é necessário que a compatibilidade do blockchain e proteção de dados seja avaliada por profissional que entenda da tecnologia, pois ainda se estuda a sua amplitude e potencial de aplicação em variados modelos de negócio, sendo essencial a análise do caso em que se queira utilizá-la[12].
Segundo o StartupBase, o Brasil possui 13.322 startups[13]. Em 19/10/2020, foi apresentado à Câmara dos Deputados o PLP 249/2020 que está apensado ao PLP146/2019, ambos se encontram em regime de tramitação de prioridade e tratam sobre a instituição do marco legal das startups cujo o objetivo é fomentar oempreendedorismo inovador e alavancar o ecossistema de Startups no Brasil.
O art. 55-J, XVIII daLGPD determina que compete à ANPD “editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclare startups ou empresas de inovação, possam adequar-se a esta Lei”.
Veja que o Brasil é um celeiro de startups e as iniciativas governamentais, bem como a LGPD visam impulsionar o mercado inovador sem desrespeitar a privacidade e proteção de dados.
Portanto, é possível entender que a proteção de dados é muito mais uma oportunidade para as Startups do que um entrave, tendo em vista que se trata de um modelo de negócios apto a mudanças, podendo criar produtos ou serviços imbuídos de privacidade e proteção de dados desde a sua concepção e aproveitar a escassez de produtos nacionais para desenvolverem soluções específicas voltadas para o cumprimento da lei e obterem vantagem competitiva e se posicionarem no mercado com escalabilidade estratégica.
[1]Indústria 4.0 ou QuartaRevolução Industrial é a era dos sistemas ciberfísicos que envolve a utilizaçãode tecnologias como Internet da Coisa, automação de softwares, robôs autônomos, dentre outros.
[2] Interação da indústria 4.0 com os modelos de negócios, relações de emprego, formas de consumo que tem transformado a sociedade em si.
[3]http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
[4]Martin2019_Article_HowDataProtectionRegulationAff
[5] MALDONADO, Viviane Nobrega. BLUM,Renato Opice. LGPD: Lei Geral de Proteção de Dados Comentada. Ed. Thomson Reuters Brasil Conteúdo e Tecnologia Ltda. 2ª ed. 2020, págs.: 340/342.
[6] Fase em que a startup está testando e validando seu produto no mercado.
[7] Modelo de negócios baseado em tecnologia para segurança da informação e proteção de dados. As empresas passaram a não apenas utilizarem tecnologia para proteção de seus dados, mas também desenvolverem produtos que permitiram ao consumidor estabelecer a proteção de sua privacidade em suas atividades online. (tradução livre)
[8] Relatório de empresas que oferecem soluções tecnológicas para organizações que trabalham para a conformidade e avaliação de risco em proteção de dados e suas mitigações.
[9]https://iapp.org/media/pdf/resource_center/Tech-Vendor-Directory-1.4.1-electronic.pdf
[10]https://iapp.org/media/pdf/resource_center/2020TechVendorReport.pdf
[11] Tecnologia desenvolvida para criptomoeda bitcoin que permite a privacidade financeira e pode ser aplicada em diversos modelos de negócios por ser um sistema que rastreia o envio e recebimento de informações pela internet através de códigos conectados por blocos.
[12] Curso de Blockchain, Contratos Inteligentes e Proteção de Dados. Tatiana Revoredo. Nextlaw Academy
[13]https://startupbase.com.br/home/stats
________________________________________________________________________________________________________________________________________
Já conhece nosso curso de Blockchain, Contratos Inteligentes e Proteção de Dados? Inscreva-se aqui.
