Prévia do material em texto
1 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 Engajamento corporativo nos programas de privacidade das empresas da Nova Economia Corporate engagement in the privacy programs of New Economy companies Participación corporativa en los programas de privacidad de empresas de Nueva Economía DOI: 10.55905/revconv.17n.6-104 Originals received: 05/10/2024 Acceptance for publication: 05/31/2024 Eduardo Oliveira Agustinho Doutor em Direito Econômico e Desenvolvimento Instituição: Pontifícia Universidade Católica do Paraná (PUCPR) Endereço: Curitiba - Paraná, Brasil E-mail: eduardo.agustinho@pucpr.br Gregório de Oliveira Furquim Mestrando em Direito e Desenvolvimento Instituição: Pontifícia Universidade Católica do Paraná (PUCPR) Endereço: Curitiba - Paraná, Brasil E-mail: gregorio@wsa.adv.br Henrique Carraro Bremer Mestrando em Direito Instituição: Pontifícia Universidade Católica do Paraná. (PUCPR) Endereço: Curitiba - Paraná, Brasil E-mail: bremerhenrique@gmail.com RESUMO O artigo examina o cenário da nova economia e os modelos de gestão que se disseminaram para obtenção do posicionamento no mercado ágil e hostil das Startups, traçando um paralelo com a necessidade de implantação de ferramentas e estruturas de governança relacionadas à proteção e privacidade de dados pessoais, conforme a Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709/2018). Assim, discute-se a organização dessas empresas, suas características, o apetite a riscos e a cultura dos seus colaboradores, identificando os pontos relacionados ao aculturamento interno no processo de amadurecimento e responsabilização frente a um novo processo relacionado aos critérios de governança. A identificação destes tópicos, relaciona-se com a relevância e necessidade da adequação das empresas da nova economia à LGPD, as eventuais sanções e oportunidades observadas, as dificuldades na implantação e algumas estratégias utilizadas para melhorar a adoção dos princípios de privacidade e proteção de dados. Palavras-chave: startups, governança, LGPD, privacidade. mailto:eduardo.agustinho@pucpr.br mailto:gregorio@wsa.adv.br mailto:bremerhenrique@gmail.com 2 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 ABSTRACT The article examines the scenario of the new economy and the management models that have spread to obtain positioning in the agile and hostile market for Startups, drawing a parallel with the need to implement tools and governance structures related to the protection and privacy of personal data, in accordance with the General Personal Data Protection Law - LGPD (Law No. 13,709/2018). Thus, the organization of these companies, their characteristics, the risk appetite and the culture of their employees are discussed, identifying points related to internal acculturation in the process of maturity and accountability in the face of a new process related to governance criteria. The identification of these topics is related to the relevance and need for companies in the new economy to adapt to the LGPD, any sanctions and opportunities observed, difficulties in implementation and some strategies used to improve the adoption of privacy and data protection principles. . Keywords: startups, governance, LGPD, privacy. RESUMEN El artículo examina el escenario de la nueva economía y los modelos de gestión que se han extendido para obtener posicionamiento en el mercado ágil y hostil para las Startups, estableciendo un paralelo con la necesidad de implementar herramientas y estructuras de gobernanza relacionadas con la protección y privacidad de los datos personales. datos, de conformidad con la Ley General de Protección de Datos Personales - LGPD (Ley N° 13.709/2018). Así, se discute la organización de estas empresas, sus características, el apetito de riesgo y la cultura de sus empleados, identificando puntos relacionados con la aculturación interna en el proceso de madurez y rendición de cuentas ante un nuevo proceso relacionado con criterios de gobernanza. La identificación de estos temas está relacionada con la relevancia y necesidad de que las empresas de la nueva economía se adapten a la LGPD, las sanciones y oportunidades observadas, las dificultades en la implementación y algunas estrategias utilizadas para mejorar la adopción de los principios de privacidad y protección de datos. Palabras clave: Startups; Gobernancia; LGPD; Privacidad. 1 CONSIDERAÇÕES INICIAIS A “Nova Economia” pode ser definida como um modelo de negócio digital a qual diversas empresas se dobraram sobre, explorando majoritariamente sua característica de escalabilidade natural da própria atividade envolvendo plataformas e aplicações digitais. É um mercado realmente atrativo para quem decide empreender e quem já empreende, inclusive em organizações tradicionais, e vemos a movimentação de grandes empresas nesse vetor de digitalização do seu modelo de negócio, seja pela exploração de uma nova vertente dentro da sua 3 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 operação, e que tenha uma afinidade elementar, seja pivotando seu modelo de negócios atual, atacando agressivamente os canais digitais e o próprio modelo de negócios. Uma verdadeira corrida na criação, prototipação, testes, validação, aplicação e faturamento, incluindo o próprio erro e correção permeando todas essas fases de criação de uma solução, balizou o funcionamento das Startups em pura ‘velocidade’. Um exemplo desse modelo de gestão é o conceito trabalhado por Eric Ries, no livro A Startup Enxuta, em que se deve errar rápido e corrigir rápido (BRASIL, 2018). O timing de um negócio na era da Nova Economia é um elemento importante no seu sucesso, sempre alinhado à correta execução, e essa máxima é levada até hoje como norte de grande parte das Startups que nascem diariamente, e não só delas, mas também das empresas que nasceram no modelo enxuto e já possuem uma estrutura robusta, porém mantém o norte de velocidade e sentem a falta de ‘controle’ nesse estágio mais maduro de atividade. Uma das ferramentas de governança é a adequação dos processos e o efetivo ‘controle’ da empresa, sendo abordado neste artigo a necessidade de empresas que possuem seus alicerces em dados pessoais, no aculturamento da equipe aos conceitos de privacidade e proteção de dados, especialmente no Privacy by Design. O processo de implantação de um sistema de proteção e privacidade, em atendimento específico e efetivo da Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018 – LGPD (RIES, 2012) se demonstra um verdadeiro desafio nas empresas que possuem um sistema rápido e sem controle, onde o próprio apetite a risco não é mais o mesmo das fases iniciais da atividade, porém a equipe permanece com a cultura agressiva de conquista da fatia de mercado. Há uma perceptível resistência da aplicação de controles internos e burocráticos com a finalidade de conceder alguma gestão transparente e controlada das atividades da equipe, uma vez que, naturalmente, o próprio time não está acostumado com esse tipo de conduta e não vê uma vantagem imediata neste engessamento. O próprio processo de aculturamento da equipe, engajamento, treinamentos, estudo sobre o tema, quando não relacionados à atividade fim do indivíduo, pouca assiduidade e responsabilidade ele demonstra. A despeito de um desafio, o trabalho para implantação de um sistema de privacidade de dados pessoais, que assegure algum critério de governança e controle para as Startups é completamente alcançável, quando tratado de forma correta e através de ferramentas que atinjam 4 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024jan. 2021 diretamente os colaboradores, representando um grande impacto no processo de amadurecimento das empresas velozes e sem controle, para velozes com direcionamento, controle e gestão. 2 EMPRESAS DA NOVA ECONOMIA As avaliações e apontamentos feitos neste artigo não se limitam às Startups, também podendo serem aplicadas e constatadas nas empresas ‘tradicionais’, entretanto o racional e desenvolvimento do pensamento crítico e da necessidade de amadurecimento da equipe surgiu visualizando as dificuldades vividas pelos times formados baseando-se em velocidade e pouco (ou nenhum) controle, o que vemos de forma mais rara em empresas com mais tempo de atuação. As Startups caracterizam-se como empresas emergentes, que atuam através de negócios inovadores, e muitas vezes disruptivos, e que normalmente possuem a natureza tecnológica, escalável e repetível, atuando em um ambiente de extrema incerteza. Ser escalável significa a capacidade de aumentar o lucro proveniente da solução ofertada, sem aumentar seu custo na mesma proporção, geralmente não representando qualquer aumento relevante. É a capacidade de reproduzir a solução para diferentes clientes sem customizações e personalizações (SEBRAE, 2022). Em uma escala mais abrangente temos a ‘Nova Economia’ que é uma expressão utilizada a partir da década de 80, para definir os negócios voltados para soluções tecnológicas, potencializados pela própria conectividade, o que vem crescendo de forma acentuada nas últimas décadas, demonstrando como as informações, inclusive dados pessoais, se tornaram um forte ativo para todas as empresas, tanto para uma atividade econômica mais assertiva, como para investimentos e novos negócios. A atuação na Nova Economia não se restringe às Startups em modelos de negócio disruptivos, empresas tidas como ‘tradicionais’ também realizaram uma adaptação para atuação neste mercado digital. Em alguns cenários vemos grandes indústrias comprando ou criando empresas específicas para elaboração de soluções digitais que complementam sua atuação absorvendo-as ou as mantendo ativas correndo de forma paralela à atividade principal. Outras ingressaram com tudo na onda digital, encerrando completamente as atividades ‘analógicas’ para atender as demandas do público, como por exemplo a Gazeta do Povo, Magalu, Banco Inter, BTG Pactual etc. 5 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 Algo que podemos visualizar em ambos os cenários é a natureza de gestão ágil, em uma cultura organizacional flexível, que demonstra uma hierarquia horizontal e autonomia dos colaboradores para tomarem as decisões. O que valoriza o aspecto de velocidade, porém diminui os aspectos de controle necessários para uma maturidade de mercado. 3 CARACTERÍSTICAS DE GESTÃO DAS STARTUPS E EMPRESAS DIGITAIS O mercado digital estabeleceu parâmetros de atuação distintos dos praticados. Como mencionado anteriormente, a velocidade é uma característica elementar do modo de gestão das Startups e empresas digitais (ou digitalizadas quando decorrentes de um modelo tradicional), o que trouxe uma atuação nova para as equipes e modelos organizacionais, desde a autonomia do time em tomar decisões individuais, o próprio modelo de hierarquia, antes piramidal, e que apresentou um achatamento migrando para um modo horizontalizado, as cobranças por entrega, rendimento, menor preocupação com burocracias e o foco em ser eficiente e eficaz nas atividades. Essa atualização dos modelos de gestão trouxe uma visão completamente diferente, e até animadora para os jovens ingressantes no mercado de trabalho, como também para aqueles que não se identificam com algo rígido e controlado, mas é claro que diversos pontos negativos também surgiram, como por exemplo a própria doença ocupacional do burnout que é o esgotamento profissional pela tensão emocional e estresse decorrente das condições de trabalho, somados à pouca experiência e maturidade dos ingressantes no mercado, sem falar de outras questões psicológicas que são agravadas, inclusive pela própria evolução da humanidade e seus anseios. A progressão natural de uma empresa, especialmente quando surge como uma Startup, é o seu amadurecimento e relacionamento com empresas maiores e investidores robustos dispostos a um alto aporte de capital, e vemos que as exigências nestes relacionamentos envolvem muitas vezes aspectos de controle e governança, o que há uma dificuldade perceptível nas estruturas que surgiram como um verdadeiro foguete, em que a única opção é acelerar e seguir em frente, onde ou se alcança a órbita e outras constelações, ou há a falha e destruição. A implantação da estrutura de governança, com controles, transparência, valores e princípios, é uma fase necessária e dificultosa, em que a organização enfrentará quando lidar com investidores e demais empresas, especialmente quando frente a uma possível fusão e aquisição, 6 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 ou o próprio aporte quando há condições de controle. Nesta seara vemos os programas de privacidade dessas empresas digitais, especialmente quando na fase de adequação e implantação, o desafio de organização e responsabilidade frente a uma demanda que não é o foco principal da empresa, sendo uma verdadeira barreira a ser vencida e que despende energia da equipe e da alta direção. Os programas de privacidade, decorrente das legislações de versam sobre o tema, se tornaram indispensáveis para a segurança jurídica na atuação econômica das Startups e empresas em geral, visto que todas elas tratam dados pessoais em algum nível, sendo, ainda, inerente à atividade de muitas delas, e há o próprio apetite a risco dessas organizações que dita até onde há o interesse na adequação e atendimento da lei. 4 SISTEMAS DE PRIVACIDADE E PROTEÇÃO DE DADOS O atendimento aos critérios objetivos da Lei Geral de Proteção de Dados Pessoais – LGPD não são suficientes para correta adequação à norma, sendo que ela mesma traz critérios subjetivos relacionados às boas práticas e governança dentro das organizações, ou seja, a interpretação teleológica da lei incorre no incentivo aos agentes de tratamento para que entendam a importância dos dados pessoais, relacionados fundamentalmente à sua proteção, liberdade, privacidade, e o livre desenvolvimento da sua personalidade1. É evidente que a adequação dos agentes de tratamento à LGPD não é um movimento pontual, com começo, meio e fim, mas sim uma adequação que deve agir nas entranhas do negócio, mudando a maneira de pensar e agir no tratamento de dados pessoais por todos os colaboradores, independente da estrutura organizacional garantindo que a segurança e privacidade das informações seja preservada. Em um primeiro momento, quando pensamos na segurança da informação, não só, mas também para dados pessoais, pensamos em ferramentas técnicas de software, atrelados todos ao departamento de infraestrutura e tecnologia da informação da empresa, aplicando soluções de antivírus, rede privada virtual (VPN na sigla em inglês), backup, controle de acessos, monitoramento da utilização dos equipamento e rede, etc. porém vemos que as empresas não devem olhar somente para aspectos técnicos no momento de 1 Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. 7 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 garantir a segurança das informações tratadas, mas também nos critérioscomportamentais de toda a equipe. Em uma clássica anedota dos profissionais de segurança e tecnologia da informação, não há sistema de proteção robusto o suficiente que garanta a inviolabilidade dos dados, quando um colaborador clica em um link malicioso que recebeu por e-mail prometendo- lhe um prêmio em dinheiro em um sorteio que sequer tenha participado. Vendo a importância da estruturação de um verdadeiro sistema de proteção e privacidade de dados dentro da organização, e que o artigo reforçará no seu decorrer, entendemos que o engajamento da equipe é indispensável para o correto aculturamento e cumprimento das obrigações legais relacionadas às informações pessoais, ou seja, desde a decisão pela reestruturação dos processos internos para adequação à lei, o devido mapeamento dos atuais procedimentos das diferentes áreas, levantamento dos terceiros relacionados, armazenamento, dados pessoais coletados, base legal e finalidade específica, até os treinamentos e reconhecimento da importância dentro das suas atividades, a participação e comprometimento é crucial para o sucesso. Em uma fase inicial de mapeamento e levantamento de riscos atrelados à lei e a nomeação de um encarregado de dados pessoais, até a estruturação de políticas de tratamento, um processo escrito para resposta à eventuais vazamentos, atendimento dos titulares, redesenho de processos para adequação aos princípios da LGPD, controle de acessos e monitoramento, além dos treinamentos periódicos, os colaboradores, alta direção e eventualmente prestadores de serviço participam ativamente, então, a assiduidade e comprometimento é o fator determinante do processo. 4.1 PRIVACY BY DESIGN E PRIVACY BY DEFAULT Esses dois conceitos são importantes àqueles que desejam adequar seus produtos e serviços às normas de proteção e privacidade de dados, e trazem uma base e indicador fundamental de como a privacidade de dados deve ser vista pelos indivíduos. O Privacy by Design indica que, no desenvolvimento de um produto ou serviço que envolva o tratamento de dados pessoais no seu ciclo de vida, o desenvolvedor deve atribuir ferramentas e processos internos de privacidade, para que o usuário possa escolher o seu nível de compartilhamento, assim como obter informações sobre o tratamento e métodos facilitados 8 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 para o contato e exercício de direitos, garantindo, ainda, a segurança na transferência e armazenamento das informações. Já o Privacy by Default, pretende estabelecer que todos os serviços ou produtos, devem vir com as opções mais seguras de privacidade ativadas por padrão, seja para o compartilhamento das informações, coleta de dados, ou até mais comum, a coleta de cookies em páginas online. Esses conceitos são importantes para que entendamos inicialmente qual o tom que as normas de proteção e privacidade de dados pretendem dar ao tema em questão. Qualquer atividade envolvendo esse tipo de informação deve agir inclinado ao máximo para os quesitos de segurança e privacidade das informações do titular. 4.2 RISCOS RELACIONADOS AO NÃO CUMPRIMENTO DA LEI GERAL DE PROTEÇÃO DE DADOS – LGPD A Lei traz as sanções administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados Pessoais – ANPD, sendo apresentados no artigo 52 da LGPD: Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III - multa diária, observado o limite total a que se refere o inciso II; IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI - eliminação dos dados pessoais a que se refere a infração; (...) X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019) XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019) XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019) Dentre as sanções apresentadas, de competência administrativa, todas afetam a atividade econômica da empresa, impactando direta ou indiretamente o faturamento e, nos casos mais https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2 https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2 https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2 https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2 9 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 graves, a existência da própria estrutura, tendo em vista a incidência direta na saúde financeira da empresa. Um dano consequencial das sanções administrativas é o caráter reputacional que a publicização de eventual incidente pode causar, impactando o relacionamento direto com o cliente, como também com terceiros que se relacionam diretamente, seja prestando serviços ou em regime de parceria. Imagine uma empresa que oferece soluções de armazenamento em nuvem e que sofre um vazamento de dados em um dos seus servidores locais que trata somente dados internos, nesse caso, mesmo não havendo vazamento de dados dos clientes, a confiança do serviço, relacionado especialmente à segurança da informação tratada, cai drasticamente e irá refletir diretamente na participação dessa empresa no mercado. Ainda, o artigo 52, no seu parágrafo 1º prevê que tais sanções somente serão aplicadas após o procedimento administrativo que possibilite a ampla defesa, analisando o caso concreto, e nesta previsão temos a menção à critérios potencialmente atenuantes relacionados à adequação prévia da empresa aos critérios objetivos e subjetivos da lei, como por exemplo a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados para o tratamento seguro e adequado de dados (inciso VIII, do parágrafo 1º, do artigo 52) e a adoção de políticas e de boas práticas e governança (inciso IX, do parágrafo 1º, do artigo 52). Passando das questões administrativas, temos a possível responsabilização frente ao próprio titular de dados, quando o vazamento de dados, ou o próprio tratamento inadequado das informações, em descumprimento à LGPD, trouxer danos materiais ou não ao proprietário das informações, ele poderá provocar o judiciário em busca de compensação pelo prejuízo sofrido. Já estão presentes no judiciário questões neste sentido, aplicando multas aos titulares de dados que tiveram suas informações compartilhadas com terceiros sem a devida informação, base legal e finalidade respeitada. Tanto a atuação da própria ANPD, como do poder judicial, ainda estão em uma fase de maturação em relação ao peso que darão nos assuntos relacionados aos vazamentos de informação e danos gerados aos titulares de dados, sendo que eventual responsabilização pelo dano ao titular de dados pode acarretar um valor representativo dentro da saúde financeira de uma empresa, já que não é incomum vermosoperações dados de milhares e milhões de titulares. 10 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 4.3 APETITE A RISCOS Pode-se entender o apetite a riscos como o nível agregado e os tipos de risco que a empresa está disposta a assumir, em relação à sua visão, considerando a capacidade para atingir seus objetivos estratégicos e de negócio. Outros aspectos são levados em consideração quando se avalia o apetite a riscos, como por exemplo a capacidade máxima de assunção de riscos, a exposição atual, e a tolerância de variação. Esses critérios são cotidianamente atualizados, mesmo que de forma intrínseca na atuação do corpo diretivo de uma empresa. Em uma realidade das empresas que migraram ou se adaptaram ao ambiente digital, temos os riscos medidos de forma minuciosa, controlada e periódica, sendo que, para a tomada de novos riscos ou variação dos existentes, diversos graus hierárquicos devem ser consultados. Já na realidade das Startups, temos os planos de negócio, que envolvem um crescimento agressivo e ágil, com o objetivo de conquistar um percentual de mercado de forma que minimamente estabilizam o negócio sem, é claro, parar de crescer voluptuosamente. Nesses casos, a medição dos riscos ocorre de forma muito mais orgânica e até de forma imprudente, sendo que a tomada de decisão ocorre rápida e diariamente, em questões de risco alto para a continuidade da Startup e, nem sempre o tomador de decisão está totalmente alinhado com a estratégia final do corpo diretivo. Em relação à LGPD, vemos diversas Startups e empresas que atuam na nova economia buscarem a adequação às normas de proteção e privacidade de dados pelo receio das sanções provenientes da ANPD, e também das exigências que recebem dos seus clientes, sejam eles titulares de dados ou empresas que também realizam o tratamento de informações pessoais, e a tomada de decisão pela adequação à lei sempre passa pelo crivo do apetite a risco, principalmente envolvendo a seriedade e profundidade da implantação. É comum vermos um paralelo com o que ocorre nos sistemas de compliance, no que trata da criação de ferramentas, políticas e procedimentos voltados apenas para que o mercado ache que a empresa está adequada. Da mesma forma ocorre na implantação dos sistemas de privacidade, em que a empresa quer cumprir estritamente o que a lei exige, sem qualquer iniciativa de aculturamento pelos treinamentos e comunicação, que dizem respeito a um ponto importante da finalidade da LGPD. 11 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 4.4 OPORTUNIDADES NO CENÁRIO ATUAL Muitas empresas agiram rapidamente para responder à regulamentação sobre o tratamento de dados pessoais para se destacar no mercado aplicando funcionalidades no produto e serviço, atrelado ao marketing agressivo, caracterizando como um diferencial competitivo, como é o caso da Apple que já possuía certa apelação no sentido que possuir um número menor de arquivos maliciosos, decorrente do menor número de equipamentos existentes no mercado com o seu sistema operacional e, após alguns casos famosos envolvendo manipulação de dados pessoais em outras empresas, investiu fortemente nas ferramentas envolvendo privacidade dentro dos seus produtos e serviços, criando bloqueador de rastreadores, sinalização da utilização dos recursos de microfone e câmera durante a utilização de uma aplicação, gerar endereços de e-mail aleatórios para cadastros em sites específicos, gerenciador de senhas seguro, que indica quando há um potencial vazamento das informações, entre outros. Diante da necessidade de adequação e o anseio dos indivíduos por mais controle e protagonismo, diversas empresas uniram o útil ao agradável e adicionaram um toque de marketing à implantação do sistema de proteção e privacidade de dados, divulgando seus princípios, treinamentos, funcionalidades, governança e outros aspectos que colaboram para a demonstração para o mercado e titulares de como a organização vê e se compromete em relação à proteção e privacidade de dados. É evidente que somente a divulgação e o puro marketing não garantem que a empresa esteja efetivamente adequada e cumprindo as disposições e princípios da LGPD, porém um dos quesitos importantes que é o aculturamento está presente neste tipo de comunicação, que compromete publicamente a empresa com o respeito aos direitos individuais e coletivos dos titulares de dados. Além do aumento da confiança no mercado em relação aos clientes e fornecedores, aumentando consequentemente o faturamento e posicionamento no mercado da empresa, outro ponto que é bastante relevante é o de recebimento de aportes financeiros, investimento anjo, capital semente, rodadas de investimento mais robustos (série A, B, C…), até uma futura fusão ou aquisição, os critérios de governança, inclusive relacionados à maturidade em relação à LGPD, especialmente para as Startups e empresas de tecnologia (ou inseridas na nova economia), são pontos cruciais para a decisão dos investidores em realizar a movimentação ou não. As rodadas de investimento podem apresentar um valor consideravelmente menor nos casos em que 12 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 a empresa objeto do aporte não apresente uma estrutura mínima de governança relacionada à proteção e privacidade de dados, ou seja, representando um risco operacional e regulatório maior. 5 ENGAJAMENTO NA IMPLANTAÇÃO DO SISTEMA DE PROTEÇÃO E PRIVACIDADE DE DADOS Como passamos pelo item 1. a respeito das “Empresas da Nova Economia”, diversas questões de gestão afetam diretamente a cultura da organização. Em um cenário de velocidade e alto apetite a riscos, os colaboradores decidem tomar decisões não voltadas para o controle e segurança, mas sim para os resultados e metas e, quando se deparam com estruturas de governança, só conseguem visualizar uma burocracia desnecessária para a atividade que já estão acostumados a fazer. A tomada de decisão pela adequação pode vir tanto da alta direção, que contrata uma consultoria ou profissionais especializados, como dos próprios colaboradores organizados, que propõem para a direção da empresa um plano de ação, que após aprovado, é posto em prática. Como já mencionado, a implantação de estruturas de governança relacionadas à privacidade e proteção de dados envolve não só um grupo seleto de colaboradores, seja da alta administração, seja do nível gerencial ou operacional, mas de toda a cadeia decisória e produtiva da empresa. Ou seja, caso haja um elo fraco, sua fragilidade é passada por toda a corrente, que não traciona de forma suficiente para que haja um aculturamento organizacional. Conseguir cativar e engajar a equipe, que está diretamente envolvida com o tratamento de dados pessoais, para que realize treinamentos, estude, adapte, e altere seus fluxos de trabalho visando uma maior proteção, privacidade e segurança das informações pessoais é um desafio que a maioria das empresas ‘jovens’ enfrenta, isso em vista da cultura da agilidade, riscos, e hierarquia horizontal. Algumas estratégias aumentam o engajamento dos colaboradores, seja pela exigência do cumprimento, sanções aplicadas, incentivos positivos, ou mesmo a conscientização da importância do assunto, que ao meu ver, e acredito que da maioria dos estudiosos e interessados no tema, é o melhor caminho. Passarei por alguns pontos relevantes que agregam valor ao processo de implantação de um sistema de proteção e privacidade de dados, relacionada à atuação dos colaboradores diretos do negócio. 13 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 5.1 COMPROMETIMENTO DA ALTA DIREÇÃO Uma questão de grande importânciaé o comprometimento e o exemplo da alta direção da empresa em relação aos dados pessoais. Um diretor que descumpre abertamente os procedimentos e políticas relacionadas à proteção e privacidade de dados contagia todos os colaboradores e pares, fazendo com que ninguém leve a sério a iniciativa da organização no aculturamento aos princípios e valores da LGPD. É indispensável que a alta direção da empresa demonstre que tem interesse e está comprometida em mudar e aprender sobre o tema, se mostrando disponível e no mesmo nível dos demais colaboradores no sentido de entender sobre a seriedade e importância do tema. Essa participação se demonstra pela presença em treinamentos, questionamentos e conversas sobre o tema, comunicação interna, entre outras condutas do dia a dia que atestam o efetivo interesse e disseminação do assunto. 5.2 COLABORADORES COMO TITULARES DE DADOS Outro ponto que contribui para o comprometimento dos colaboradores é os colocar no papel do titular de dados, que naturalmente já são, porém não conseguem visualizar a situação relacionada à sua atividade profissional. Os colaboradores, antes de mais nada, são indivíduos proprietários dos seus dados, e que são tratados por as mais diversas empresas, como lojas de varejo, farmácias, redes sociais, aplicativos de entregas etc. e, como titulares de dados, desejamos que nossas informações sejam tratadas com a devida segurança necessária, não só pelos diretores da empresa, mas sim por cada colaborador que tiver acesso às nossas informações. Isso vale para as informações que tratamos durante o desempenho das nossas atividades. Realizamos o tratamento de dados pessoais durante nossa jornada, simplesmente abrindo um e- mail, salvando um anexo, enviando um formulário etc., e saber reconhecer que não são meras informações sem valor, mas dizem respeito à privacidade de cada indivíduo, agrega um valor ao que se está fazendo com as informações e faz com que, quem esteja efetivamente tratando os dados, consiga se colocar no lugar do titular e olhar com mais cuidado com o que realiza com aquela informação. 14 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 5.3 TREINAMENTOS Este ponto é evidente, porém pouco aplicado e até subestimado. Os treinamentos apresentam uma complexidade na sua organização e assiduidade, porém a realização de pequenos treinamentos, rápidos, tocando sobre assuntos do dia a dia da empresa e que envolvam diretamente dados pessoais aproxima o colaborador da sua realidade. Por exemplo, na hipótese anteriormente mencionada de uma empresa que oferece o serviço de armazenamento em nuvem, trazer hipóteses de vazamento de dados e segurança da informação, explicar as bases legais relacionadas ao serviço, esclarecer quais são as informações tratadas, faz com que o colaborador que atua diariamente reconheça a importância e criticidade da sua atividade, e preste mais atenção em todo compartilhamento e armazenamento que realiza. 5.4 LIDERANÇA Este item diz respeito à identificação de perfis de liderança dentro dos times, para que se atribuam algumas tarefas que contribuam para o aumento do engajamento, como disseminação da cultura de proteção e privacidade de dados, comunicação direta, e esclarecimentos sobre o tema. Trabalhar com a figura dos pilares de disseminação da cultura é uma estratégia recorrente e que gera resultados satisfatórios, sendo selecionado o colaborador que desenvolve um papel importante dentro de um time, e que possui uma influência natural, para que aprenda e se comprometa com os princípios e políticas de LGPD de uma empresa. Assim, por meio do exemplo e orientação, os demais colaboradores assimilarão a importância dada pela empresa ao tema. 5.5 ATRIBUIÇÕES ESPECÍFICAS Este item diz respeito a atribuir a um responsável uma tarefa específica relacionada ao processo de implantação e manutenção do sistema de proteção e privacidade de uma empresa. Por exemplo, revisar uma política de segurança da informação, atribuir um profissional da área de infraestrutura ou tecnologia da informação o papel de realizar a revisão prévia, e submeter para avaliação do comitê de privacidade (que iremos mencionar a diante), ou propriamente da 15 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 alta direção, determinar um responsável por organizar um treinamento específico, ou um para mapear os processos de tratamento de dados existentes na área de recursos humanos, até o responsável por desempenhar o papel do Encarregado de Dados da empresa. Tais atribuições geram o sentimento de propriedade sobre um projeto, e a participação ativa na implantação do sistema de proteção e privacidade de dados faz com que o colaborador se sinta parte e dono da iniciativa, garantindo que assimile e compartilhe melhor as informações dentro da empresa. 5.6 PENALIDADES Um ponto relativo a um incentivo ‘negativo’ é pela aplicação de penalidades pelo descumprimento de políticas e procedimentos da empresa. Perceba que, na hipótese de não se cumprir com eventual aplicação da sanção, o clima de impunidade pairará sobre os colaboradores, retirando a seriedade do tema dentro de uma organização. Ou seja, na previsão de penalidades pelo descumprimento de qualquer política, deve-se aplicar uma sanção proporcional, seguindo a finalidade orientativa e cumprindo-se o processo interno estabelecido. Inclusive, já existem decisões na justiça do trabalho sobre demissão por justa causa pelo não cumprimento específico da Política de Segurança da Informação de determinada empresa, previamente entregue ao colaborador, que assinou um termo de ciência e cumprimento específico. Ou seja, vê-se a aplicação de sanções justificadas nos próprios procedimentos internos das empresas, referentes à adequação à LGPD. 5.7 ESTRUTURAS DE GOVERNANÇA EM PRIVACIDADE DE DADOS Para fins de estrutura, temos um critério objetivo exigido por lei, que é a figura do Encarregado de Dados (artigo 5º, inciso VIII, da LGPD), que é o canal de comunicação, externo, em relação à Autoridade Nacional de Proteção de Dados - ANPD, os titulares de dados e terceiros. e interno, em relação aos colaboradores da própria empresa. É uma figura de extrema importância para o aculturamento, esclarecimento e transparência em relação de como a organização trata dados pessoais na sua infraestrutura, além do seu papel determinado por lei para atendimento da LGPD. 16 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 Outra estrutura importante é a do Comitê de Privacidade, órgão interno colegiado específico para os assuntos envolvendo o tratamento de dados pessoais, que dará suporte às decisões do Encarregado de Dados, realizando estudos e atualizações sobre as políticas da empresa, acompanhando as atualizações das legislações, disseminando a cultura de privacidade e proteção de dados, facilitando a implantação medidas técnicas e organizacionais em diferentes áreas, além de funcionar como uma estrutura de mitigação de conflitos de interesses relacionados à atividades envolvendo segurança, proteção de dados pessoais, e a tolerância à riscos. O comitê deliberará sobre questões estratégicas do tema, e submeterá sua decisão à alta direção que, seguindo seu apetite a riscos, tomará a decisão que entender adequada para a continuidade da empresa. A estrutura de proteção e privacidade de dados, contemplando o Encarregado de Dados e o Comitê de Privacidade, deve ter autonomia suficiente para questionar e não se submeter a qualquer nível hierárquico, senão à alta direção que tomará as decisões conscientes sobre os riscos de tratamento de dados pessoais, assumindo a responsabilidade por seus atos. 6 CONSIDERAÇÕES FINAIS A necessidade deadequação às normas e princípios de proteção e privacidade de dados é cada vez mais exigida, não só pela lei e titulares, como também os fornecedores, clientes e a sociedade em unicidade. As empresas que atuam no novo mercado e tratam dados pessoais no ciclo de vida da sua atividade já devem atender a Lei Geral de Proteção de Dados Pessoais - LGPD, e o processo de aculturamento da equipe interna se demonstra um desafio para os gestores e líderes presentes em cada organização. O processo de implantação de um Sistema de Proteção e Privacidade de Dados ocorre no tempo, devendo ser compreendido dentro de cada realidade e urgência de mercado, se caracterizando como uma atividade a ser internalizada do cotidiano da empresa, sendo algo perene e agregado aos valores defendidos pela organização. 17 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 jan. 2021 REFERÊNCIAS BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD) Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/l13709.htm. Acesso em: 10 de maio de 2020. RIES, E. A Startup Enxuta: como os empreendedores atuais utilizam a inovação contínua para criar empresas extremamente bem-sucedidas. Tradução Texto Editores. São Paulo: Lua de Papel, 2012. SEBRAE. O que é uma Startup? 25 de Março de 2022. Disponível em: https://www.sebrae.com.br/sites/PortalSebrae/artigos/o-que-e-uma- startup,6979b2a178c83410VgnVCM1000003b74010aRCRD. Acesso em: 10 de maio de 2022 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm https://www.sebrae.com.br/sites/PortalSebrae/artigos/o-que-e-uma-startup,6979b2a178c83410VgnVCM1000003b74010aRCRD https://www.sebrae.com.br/sites/PortalSebrae/artigos/o-que-e-uma-startup,6979b2a178c83410VgnVCM1000003b74010aRCRD