Há algumas décadas, passamos a vivenciar uma mudança radical em nosso modo de vida, notadamente em relação aos meios de comunicação e nas novas formas de consumo e prestação de serviços. Essa transformação é facilmente observada na instantaneidade da transmissão de informação diante das novas tecnologias.
Muitas das nossas questões diárias se resolvem por meio de cliques em aplicativos: o que comer, qual lugar frequentar, qual rota escolher, até mesmo um prestador de serviço aparece em nossas casas sem um contato telefônico ser necessário. Mas, em todas estas ações, existem informações sendo trocadas: os pedidos de comida já realizados, dos quais é possível deduzir o estilo de vida de uma pessoa e seu ticket médio de consumo; os lugares frequentados; os serviços consumidos etc.
Na chamada Sociedade da Informação, as informações e, especialmente, os dados pessoais, passam a compor novos modelos de negócios, principalmente os mais flexíveis e inovadores, como as startups, que serão um dos elementos principais do artigo deste mês. Dados pessoais se tornaram, assim, um elemento fundamental em nosso dia a dia.
As startups, ao focarem no valor e no resultado visando ao alcance da prestação de serviço ou oferecimento de produto de forma lucrativa e resolutiva ao cliente, distanciam-se dos modelos empresariais tradicionais. São negócios que apresentam repetibilidade e escalabilidade, tendentes a crescer exponencialmente. Por isso, desde o início, é extremamente importante a conformidade da sua estrutura com a legislação vigente, ainda sem engessar a solução apresentada ao usuário.
Parte-se do pressuposto de que as startups (como a maioria das empresas) tratarão dados pessoais em algum momento, sejam dados pessoais de clientes, de fornecedores, de funcionários ou de terceiros. Portanto, um dos pontos de atenção se refere à necessidade de os tratamentos obedecerem às exigências da Lei Geral de Proteção de Dados Pessoais (LGPD),1 ponto que focaremos aqui.
Esta conformidade será mais fácil à medida que for construída com o desenvolvimento do negócio, aplicando-se o chamado Privacy by Design, também conhecido como privacidade pela estrutura do sistema. Tal conceito está presente explicitamente no Regulamento Geral sobre Proteção de Dados Pessoais da União Europeia (GDPR). Já na LGPD, o Privacy by Design pode ser depreendido do disposto no artigo 46, cujo texto indica o dever de garantir medidas técnicas e administrativas desde a concepção do produto ou serviço até o seu descarte, evitando um tratamento em desconformidade com a legislação.
Mencionada expressão foi criada por Ann Cavoukian, ex-comissária de Informação e Privacidade na Província de Ontário no Canadá, na década de 1990, para se referir a uma estratégia metodológica de proteção à privacidade. De acordo com a estratégia, tal proteção se incorpora desde o início ao projeto, ou seja, desde a estrutura e concepção dos sistemas, processos e serviços que envolvem o tratamento de dados pessoais.2
Entre os princípios contemplados pelo Privacy by Design estão:
(i) proatividade e prevenção – como uma metodologia preventiva, antecipando eventos que possam colocar em risco a privacidade dos usuários;
(ii) privacidade como configuração padrão – no primeiro momento que o usuário tiver contato com o produto ou serviço, a configuração padrão prezará pela sua privacidade, como ocorre na minimização dos dados pessoais e no opt-in;
(iii) privacidade incorporada ao projeto – a privacidade deve estar embutida no design do produto ou serviço, como um pano de fundo em sua arquitetura;
(iv) funcionalidade total – a privacidade e a proteção de dados pessoais não devem impedir ou dificultar o desempenho de alguma característica do produto ou serviço, mas estar integradas e potencializar suas funcionalidades;
(v) segurança de ponta-a-ponta – a proteção dos dados pessoais dos usuários e sua privacidade devem estar garantidas por meio de rígidos padrões de segurança, desde a coleta do dado até o seu descarte completo;
(vi) visibilidade e transparência – obrigações da LGPD, a transparência é fundamental para que o usuário tenha visibilidade sobre o tratamento de seus dados pessoais, o que pode ocorrer por meio de avisos claros sobre as operações realizadas, em linguagem acessível e concisa; e
(vii) solução centrada no usuário – ao usuário caberá a decisão sobre o tratamento de seus dados pessoais.
Posto isso, ressalta-se que pensar em Privacy by Design deve ser uma das principais metas ao desenvolver as soluções buscadas pelas startups, ainda que por meio de aplicativos ou plataformas digitais, pois tal conceito permite focar na mitigação do risco desde o desenho inicial do modelo de negócio. Uma startup que tem como base tal princípio estará passos à frente das demais, transmitindo segurança e confiabilidade aos seus usuários e investidores.
Contudo, importante relembrar que tal conceito não serve apenas para startups. Todas as empresas que pretendem desenvolver algum produto ou serviço devem dar atenção à sua estrutura, prezando pela privacidade e pela proteção de dados desde a concepção do que será idealizado.
____________________
Referências
________________________________________
1. QUINELATO, Pietra. A proteção de dados pessoais no âmbito das startups. In: OIOLI, Erik; RODRIGUES, Amanda (Coords.). Manual de Direito para startups: conheça os principais aspectos jurídicos que afetam a constituição e desenvolvimento de uma startup. São Paulo: Revista dos Tribunais, 2019, p. 2434-250.
2. ALVES, Carla Segala; VAINZOF, Rony. Privacy by design e proteção de dados pessoais. Jota, 2016.