Nova Economia e Privacidade de Dados

•
UNIP

Casos Reais
26/06/2024
Prévia do material em texto
1 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
Engajamento corporativo nos programas de privacidade das empresas da 
Nova Economia 
 
Corporate engagement in the privacy programs of New Economy companies 
 
Participación corporativa en los programas de privacidad de empresas de 
Nueva Economía 
 
DOI: 10.55905/revconv.17n.6-104 
 
Originals received: 05/10/2024 
Acceptance for publication: 05/31/2024 
 
Eduardo Oliveira Agustinho 
Doutor em Direito Econômico e Desenvolvimento 
Instituição: Pontifícia Universidade Católica do Paraná (PUCPR) 
Endereço: Curitiba - Paraná, Brasil 
E-mail: eduardo.agustinho@pucpr.br 
 
Gregório de Oliveira Furquim 
Mestrando em Direito e Desenvolvimento 
Instituição: Pontifícia Universidade Católica do Paraná (PUCPR) 
Endereço: Curitiba - Paraná, Brasil 
E-mail: gregorio@wsa.adv.br 
 
Henrique Carraro Bremer 
Mestrando em Direito 
Instituição: Pontifícia Universidade Católica do Paraná. (PUCPR) 
Endereço: Curitiba - Paraná, Brasil 
E-mail: bremerhenrique@gmail.com 
 
RESUMO 
O artigo examina o cenário da nova economia e os modelos de gestão que se disseminaram para 
obtenção do posicionamento no mercado ágil e hostil das Startups, traçando um paralelo com a 
necessidade de implantação de ferramentas e estruturas de governança relacionadas à proteção e 
privacidade de dados pessoais, conforme a Lei Geral de Proteção de Dados Pessoais - LGPD (Lei 
nº 13.709/2018). Assim, discute-se a organização dessas empresas, suas características, o apetite 
a riscos e a cultura dos seus colaboradores, identificando os pontos relacionados ao 
aculturamento interno no processo de amadurecimento e responsabilização frente a um novo 
processo relacionado aos critérios de governança. A identificação destes tópicos, relaciona-se 
com a relevância e necessidade da adequação das empresas da nova economia à LGPD, as 
eventuais sanções e oportunidades observadas, as dificuldades na implantação e algumas 
estratégias utilizadas para melhorar a adoção dos princípios de privacidade e proteção de dados. 
 
Palavras-chave: startups, governança, LGPD, privacidade. 
 
mailto:eduardo.agustinho@pucpr.br
mailto:gregorio@wsa.adv.br
mailto:bremerhenrique@gmail.com
 
2 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
ABSTRACT 
The article examines the scenario of the new economy and the management models that have 
spread to obtain positioning in the agile and hostile market for Startups, drawing a parallel with 
the need to implement tools and governance structures related to the protection and privacy of 
personal data, in accordance with the General Personal Data Protection Law - LGPD (Law No. 
13,709/2018). Thus, the organization of these companies, their characteristics, the risk appetite 
and the culture of their employees are discussed, identifying points related to internal 
acculturation in the process of maturity and accountability in the face of a new process related to 
governance criteria. The identification of these topics is related to the relevance and need for 
companies in the new economy to adapt to the LGPD, any sanctions and opportunities observed, 
difficulties in implementation and some strategies used to improve the adoption of privacy and 
data protection principles. . 
 
Keywords: startups, governance, LGPD, privacy. 
 
RESUMEN 
El artículo examina el escenario de la nueva economía y los modelos de gestión que se han 
extendido para obtener posicionamiento en el mercado ágil y hostil para las Startups, 
estableciendo un paralelo con la necesidad de implementar herramientas y estructuras de 
gobernanza relacionadas con la protección y privacidad de los datos personales. datos, de 
conformidad con la Ley General de Protección de Datos Personales - LGPD (Ley N° 
13.709/2018). Así, se discute la organización de estas empresas, sus características, el apetito de 
riesgo y la cultura de sus empleados, identificando puntos relacionados con la aculturación 
interna en el proceso de madurez y rendición de cuentas ante un nuevo proceso relacionado con 
criterios de gobernanza. La identificación de estos temas está relacionada con la relevancia y 
necesidad de que las empresas de la nueva economía se adapten a la LGPD, las sanciones y 
oportunidades observadas, las dificultades en la implementación y algunas estrategias utilizadas 
para mejorar la adopción de los principios de privacidad y protección de datos. 
 
Palabras clave: Startups; Gobernancia; LGPD; Privacidad. 
 
 
1 CONSIDERAÇÕES INICIAIS 
 
A “Nova Economia” pode ser definida como um modelo de negócio digital a qual 
diversas empresas se dobraram sobre, explorando majoritariamente sua característica de 
escalabilidade natural da própria atividade envolvendo plataformas e aplicações digitais. É um 
mercado realmente atrativo para quem decide empreender e quem já empreende, inclusive em 
organizações tradicionais, e vemos a movimentação de grandes empresas nesse vetor de 
digitalização do seu modelo de negócio, seja pela exploração de uma nova vertente dentro da sua 
 
3 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
operação, e que tenha uma afinidade elementar, seja pivotando seu modelo de negócios atual, 
atacando agressivamente os canais digitais e o próprio modelo de negócios. 
Uma verdadeira corrida na criação, prototipação, testes, validação, aplicação e 
faturamento, incluindo o próprio erro e correção permeando todas essas fases de criação de uma 
solução, balizou o funcionamento das Startups em pura ‘velocidade’. Um exemplo desse modelo 
de gestão é o conceito trabalhado por Eric Ries, no livro A Startup Enxuta, em que se deve errar 
rápido e corrigir rápido (BRASIL, 2018). O timing de um negócio na era da Nova Economia é 
um elemento importante no seu sucesso, sempre alinhado à correta execução, e essa máxima é 
levada até hoje como norte de grande parte das Startups que nascem diariamente, e não só delas, 
mas também das empresas que nasceram no modelo enxuto e já possuem uma estrutura robusta, 
porém mantém o norte de velocidade e sentem a falta de ‘controle’ nesse estágio mais maduro 
de atividade. 
Uma das ferramentas de governança é a adequação dos processos e o efetivo ‘controle’ 
da empresa, sendo abordado neste artigo a necessidade de empresas que possuem seus alicerces 
em dados pessoais, no aculturamento da equipe aos conceitos de privacidade e proteção de dados, 
especialmente no Privacy by Design. O processo de implantação de um sistema de proteção e 
privacidade, em atendimento específico e efetivo da Lei Geral de Proteção de Dados Pessoais, 
Lei nº 13.709/2018 – LGPD (RIES, 2012) se demonstra um verdadeiro desafio nas empresas que 
possuem um sistema rápido e sem controle, onde o próprio apetite a risco não é mais o mesmo 
das fases iniciais da atividade, porém a equipe permanece com a cultura agressiva de conquista 
da fatia de mercado. 
Há uma perceptível resistência da aplicação de controles internos e burocráticos com a 
finalidade de conceder alguma gestão transparente e controlada das atividades da equipe, uma 
vez que, naturalmente, o próprio time não está acostumado com esse tipo de conduta e não vê 
uma vantagem imediata neste engessamento. O próprio processo de aculturamento da equipe, 
engajamento, treinamentos, estudo sobre o tema, quando não relacionados à atividade fim do 
indivíduo, pouca assiduidade e responsabilidade ele demonstra. 
A despeito de um desafio, o trabalho para implantação de um sistema de privacidade de 
dados pessoais, que assegure algum critério de governança e controle para as Startups é 
completamente alcançável, quando tratado de forma correta e através de ferramentas que atinjam 
 
4 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024jan. 2021 
diretamente os colaboradores, representando um grande impacto no processo de amadurecimento 
das empresas velozes e sem controle, para velozes com direcionamento, controle e gestão. 
 
2 EMPRESAS DA NOVA ECONOMIA 
 
As avaliações e apontamentos feitos neste artigo não se limitam às Startups, também 
podendo serem aplicadas e constatadas nas empresas ‘tradicionais’, entretanto o racional e 
desenvolvimento do pensamento crítico e da necessidade de amadurecimento da equipe surgiu 
visualizando as dificuldades vividas pelos times formados baseando-se em velocidade e pouco 
(ou nenhum) controle, o que vemos de forma mais rara em empresas com mais tempo de atuação. 
As Startups caracterizam-se como empresas emergentes, que atuam através de negócios 
inovadores, e muitas vezes disruptivos, e que normalmente possuem a natureza tecnológica, 
escalável e repetível, atuando em um ambiente de extrema incerteza. Ser escalável significa a 
capacidade de aumentar o lucro proveniente da solução ofertada, sem aumentar seu custo na 
mesma proporção, geralmente não representando qualquer aumento relevante. É a capacidade de 
reproduzir a solução para diferentes clientes sem customizações e personalizações (SEBRAE, 
2022). 
Em uma escala mais abrangente temos a ‘Nova Economia’ que é uma expressão utilizada 
a partir da década de 80, para definir os negócios voltados para soluções tecnológicas, 
potencializados pela própria conectividade, o que vem crescendo de forma acentuada nas últimas 
décadas, demonstrando como as informações, inclusive dados pessoais, se tornaram um forte 
ativo para todas as empresas, tanto para uma atividade econômica mais assertiva, como para 
investimentos e novos negócios. 
A atuação na Nova Economia não se restringe às Startups em modelos de negócio 
disruptivos, empresas tidas como ‘tradicionais’ também realizaram uma adaptação para atuação 
neste mercado digital. Em alguns cenários vemos grandes indústrias comprando ou criando 
empresas específicas para elaboração de soluções digitais que complementam sua atuação 
absorvendo-as ou as mantendo ativas correndo de forma paralela à atividade principal. Outras 
ingressaram com tudo na onda digital, encerrando completamente as atividades ‘analógicas’ para 
atender as demandas do público, como por exemplo a Gazeta do Povo, Magalu, Banco Inter, 
BTG Pactual etc. 
 
5 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
Algo que podemos visualizar em ambos os cenários é a natureza de gestão ágil, em uma 
cultura organizacional flexível, que demonstra uma hierarquia horizontal e autonomia dos 
colaboradores para tomarem as decisões. O que valoriza o aspecto de velocidade, porém diminui 
os aspectos de controle necessários para uma maturidade de mercado. 
 
3 CARACTERÍSTICAS DE GESTÃO DAS STARTUPS E EMPRESAS DIGITAIS 
 
O mercado digital estabeleceu parâmetros de atuação distintos dos praticados. Como 
mencionado anteriormente, a velocidade é uma característica elementar do modo de gestão das 
Startups e empresas digitais (ou digitalizadas quando decorrentes de um modelo tradicional), o 
que trouxe uma atuação nova para as equipes e modelos organizacionais, desde a autonomia do 
time em tomar decisões individuais, o próprio modelo de hierarquia, antes piramidal, e que 
apresentou um achatamento migrando para um modo horizontalizado, as cobranças por entrega, 
rendimento, menor preocupação com burocracias e o foco em ser eficiente e eficaz nas atividades. 
Essa atualização dos modelos de gestão trouxe uma visão completamente diferente, e até 
animadora para os jovens ingressantes no mercado de trabalho, como também para aqueles que 
não se identificam com algo rígido e controlado, mas é claro que diversos pontos negativos 
também surgiram, como por exemplo a própria doença ocupacional do burnout que é o 
esgotamento profissional pela tensão emocional e estresse decorrente das condições de trabalho, 
somados à pouca experiência e maturidade dos ingressantes no mercado, sem falar de outras 
questões psicológicas que são agravadas, inclusive pela própria evolução da humanidade e seus 
anseios. 
A progressão natural de uma empresa, especialmente quando surge como uma Startup, é 
o seu amadurecimento e relacionamento com empresas maiores e investidores robustos dispostos 
a um alto aporte de capital, e vemos que as exigências nestes relacionamentos envolvem muitas 
vezes aspectos de controle e governança, o que há uma dificuldade perceptível nas estruturas que 
surgiram como um verdadeiro foguete, em que a única opção é acelerar e seguir em frente, onde 
ou se alcança a órbita e outras constelações, ou há a falha e destruição. 
A implantação da estrutura de governança, com controles, transparência, valores e 
princípios, é uma fase necessária e dificultosa, em que a organização enfrentará quando lidar com 
investidores e demais empresas, especialmente quando frente a uma possível fusão e aquisição, 
 
6 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
ou o próprio aporte quando há condições de controle. Nesta seara vemos os programas de 
privacidade dessas empresas digitais, especialmente quando na fase de adequação e implantação, 
o desafio de organização e responsabilidade frente a uma demanda que não é o foco principal da 
empresa, sendo uma verdadeira barreira a ser vencida e que despende energia da equipe e da alta 
direção. 
Os programas de privacidade, decorrente das legislações de versam sobre o tema, se 
tornaram indispensáveis para a segurança jurídica na atuação econômica das Startups e empresas 
em geral, visto que todas elas tratam dados pessoais em algum nível, sendo, ainda, inerente à 
atividade de muitas delas, e há o próprio apetite a risco dessas organizações que dita até onde há 
o interesse na adequação e atendimento da lei. 
 
4 SISTEMAS DE PRIVACIDADE E PROTEÇÃO DE DADOS 
 
O atendimento aos critérios objetivos da Lei Geral de Proteção de Dados Pessoais – 
LGPD não são suficientes para correta adequação à norma, sendo que ela mesma traz critérios 
subjetivos relacionados às boas práticas e governança dentro das organizações, ou seja, a 
interpretação teleológica da lei incorre no incentivo aos agentes de tratamento para que entendam 
a importância dos dados pessoais, relacionados fundamentalmente à sua proteção, liberdade, 
privacidade, e o livre desenvolvimento da sua personalidade1. 
É evidente que a adequação dos agentes de tratamento à LGPD não é um movimento 
pontual, com começo, meio e fim, mas sim uma adequação que deve agir nas entranhas do 
negócio, mudando a maneira de pensar e agir no tratamento de dados pessoais por todos os 
colaboradores, independente da estrutura organizacional garantindo que a segurança e 
privacidade das informações seja preservada. Em um primeiro momento, quando pensamos na 
segurança da informação, não só, mas também para dados pessoais, pensamos em ferramentas 
técnicas de software, atrelados todos ao departamento de infraestrutura e tecnologia da 
informação da empresa, aplicando soluções de antivírus, rede privada virtual (VPN na sigla em 
inglês), backup, controle de acessos, monitoramento da utilização dos equipamento e rede, etc. 
porém vemos que as empresas não devem olhar somente para aspectos técnicos no momento de 
 
1 Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou 
por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade 
e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. 
 
7 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
garantir a segurança das informações tratadas, mas também nos critérioscomportamentais de 
toda a equipe. Em uma clássica anedota dos profissionais de segurança e tecnologia da 
informação, não há sistema de proteção robusto o suficiente que garanta a inviolabilidade dos 
dados, quando um colaborador clica em um link malicioso que recebeu por e-mail prometendo-
lhe um prêmio em dinheiro em um sorteio que sequer tenha participado. 
Vendo a importância da estruturação de um verdadeiro sistema de proteção e privacidade 
de dados dentro da organização, e que o artigo reforçará no seu decorrer, entendemos que o 
engajamento da equipe é indispensável para o correto aculturamento e cumprimento das 
obrigações legais relacionadas às informações pessoais, ou seja, desde a decisão pela 
reestruturação dos processos internos para adequação à lei, o devido mapeamento dos atuais 
procedimentos das diferentes áreas, levantamento dos terceiros relacionados, armazenamento, 
dados pessoais coletados, base legal e finalidade específica, até os treinamentos e 
reconhecimento da importância dentro das suas atividades, a participação e comprometimento é 
crucial para o sucesso. 
Em uma fase inicial de mapeamento e levantamento de riscos atrelados à lei e a nomeação 
de um encarregado de dados pessoais, até a estruturação de políticas de tratamento, um processo 
escrito para resposta à eventuais vazamentos, atendimento dos titulares, redesenho de processos 
para adequação aos princípios da LGPD, controle de acessos e monitoramento, além dos 
treinamentos periódicos, os colaboradores, alta direção e eventualmente prestadores de serviço 
participam ativamente, então, a assiduidade e comprometimento é o fator determinante do 
processo. 
 
4.1 PRIVACY BY DESIGN E PRIVACY BY DEFAULT 
 
Esses dois conceitos são importantes àqueles que desejam adequar seus produtos e 
serviços às normas de proteção e privacidade de dados, e trazem uma base e indicador 
fundamental de como a privacidade de dados deve ser vista pelos indivíduos. 
O Privacy by Design indica que, no desenvolvimento de um produto ou serviço que 
envolva o tratamento de dados pessoais no seu ciclo de vida, o desenvolvedor deve atribuir 
ferramentas e processos internos de privacidade, para que o usuário possa escolher o seu nível 
de compartilhamento, assim como obter informações sobre o tratamento e métodos facilitados 
 
8 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
para o contato e exercício de direitos, garantindo, ainda, a segurança na transferência e 
armazenamento das informações. 
Já o Privacy by Default, pretende estabelecer que todos os serviços ou produtos, devem 
vir com as opções mais seguras de privacidade ativadas por padrão, seja para o compartilhamento 
das informações, coleta de dados, ou até mais comum, a coleta de cookies em páginas online. 
Esses conceitos são importantes para que entendamos inicialmente qual o tom que as 
normas de proteção e privacidade de dados pretendem dar ao tema em questão. Qualquer 
atividade envolvendo esse tipo de informação deve agir inclinado ao máximo para os quesitos de 
segurança e privacidade das informações do titular. 
 
4.2 RISCOS RELACIONADOS AO NÃO CUMPRIMENTO DA LEI GERAL DE PROTEÇÃO 
DE DADOS – LGPD 
 
A Lei traz as sanções administrativas aplicáveis pela Autoridade Nacional de Proteção de 
Dados Pessoais – ANPD, sendo apresentados no artigo 52 da LGPD: 
 
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas 
previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela 
autoridade nacional: 
I - advertência, com indicação de prazo para adoção de medidas corretivas; 
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de 
direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os 
tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por 
infração; 
III - multa diária, observado o limite total a que se refere o inciso II; 
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; 
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 
VI - eliminação dos dados pessoais a que se refere a infração; 
(...) 
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração 
pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a 
regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, 
de 2019) 
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se 
refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 
(Incluído pela Lei nº 13.853, de 2019) 
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de 
dados. (Incluído pela Lei nº 13.853, de 2019) 
 
Dentre as sanções apresentadas, de competência administrativa, todas afetam a atividade 
econômica da empresa, impactando direta ou indiretamente o faturamento e, nos casos mais 
https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
https://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
 
9 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
graves, a existência da própria estrutura, tendo em vista a incidência direta na saúde financeira 
da empresa. Um dano consequencial das sanções administrativas é o caráter reputacional que a 
publicização de eventual incidente pode causar, impactando o relacionamento direto com o 
cliente, como também com terceiros que se relacionam diretamente, seja prestando serviços ou 
em regime de parceria. 
Imagine uma empresa que oferece soluções de armazenamento em nuvem e que sofre um 
vazamento de dados em um dos seus servidores locais que trata somente dados internos, nesse 
caso, mesmo não havendo vazamento de dados dos clientes, a confiança do serviço, relacionado 
especialmente à segurança da informação tratada, cai drasticamente e irá refletir diretamente na 
participação dessa empresa no mercado. 
Ainda, o artigo 52, no seu parágrafo 1º prevê que tais sanções somente serão aplicadas 
após o procedimento administrativo que possibilite a ampla defesa, analisando o caso concreto, 
e nesta previsão temos a menção à critérios potencialmente atenuantes relacionados à adequação 
prévia da empresa aos critérios objetivos e subjetivos da lei, como por exemplo a adoção reiterada 
e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados 
para o tratamento seguro e adequado de dados (inciso VIII, do parágrafo 1º, do artigo 52) e a 
adoção de políticas e de boas práticas e governança (inciso IX, do parágrafo 1º, do artigo 52). 
Passando das questões administrativas, temos a possível responsabilização frente ao 
próprio titular de dados, quando o vazamento de dados, ou o próprio tratamento inadequado das 
informações, em descumprimento à LGPD, trouxer danos materiais ou não ao proprietário das 
informações, ele poderá provocar o judiciário em busca de compensação pelo prejuízo sofrido. 
Já estão presentes no judiciário questões neste sentido, aplicando multas aos titulares de dados 
que tiveram suas informações compartilhadas com terceiros sem a devida informação, base legal 
e finalidade respeitada. 
Tanto a atuação da própria ANPD, como do poder judicial, ainda estão em uma fase de 
maturação em relação ao peso que darão nos assuntos relacionados aos vazamentos de 
informação e danos gerados aos titulares de dados, sendo que eventual responsabilização pelo 
dano ao titular de dados pode acarretar um valor representativo dentro da saúde financeira de 
uma empresa, já que não é incomum vermosoperações dados de milhares e milhões de titulares. 
 
 
 
10 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
4.3 APETITE A RISCOS 
 
Pode-se entender o apetite a riscos como o nível agregado e os tipos de risco que a 
empresa está disposta a assumir, em relação à sua visão, considerando a capacidade para atingir 
seus objetivos estratégicos e de negócio. Outros aspectos são levados em consideração quando 
se avalia o apetite a riscos, como por exemplo a capacidade máxima de assunção de riscos, a 
exposição atual, e a tolerância de variação. 
Esses critérios são cotidianamente atualizados, mesmo que de forma intrínseca na atuação 
do corpo diretivo de uma empresa. Em uma realidade das empresas que migraram ou se 
adaptaram ao ambiente digital, temos os riscos medidos de forma minuciosa, controlada e 
periódica, sendo que, para a tomada de novos riscos ou variação dos existentes, diversos graus 
hierárquicos devem ser consultados. Já na realidade das Startups, temos os planos de negócio, 
que envolvem um crescimento agressivo e ágil, com o objetivo de conquistar um percentual de 
mercado de forma que minimamente estabilizam o negócio sem, é claro, parar de crescer 
voluptuosamente. Nesses casos, a medição dos riscos ocorre de forma muito mais orgânica e até 
de forma imprudente, sendo que a tomada de decisão ocorre rápida e diariamente, em questões 
de risco alto para a continuidade da Startup e, nem sempre o tomador de decisão está totalmente 
alinhado com a estratégia final do corpo diretivo. 
Em relação à LGPD, vemos diversas Startups e empresas que atuam na nova economia 
buscarem a adequação às normas de proteção e privacidade de dados pelo receio das sanções 
provenientes da ANPD, e também das exigências que recebem dos seus clientes, sejam eles 
titulares de dados ou empresas que também realizam o tratamento de informações pessoais, e a 
tomada de decisão pela adequação à lei sempre passa pelo crivo do apetite a risco, principalmente 
envolvendo a seriedade e profundidade da implantação. É comum vermos um paralelo com o que 
ocorre nos sistemas de compliance, no que trata da criação de ferramentas, políticas e 
procedimentos voltados apenas para que o mercado ache que a empresa está adequada. Da mesma 
forma ocorre na implantação dos sistemas de privacidade, em que a empresa quer cumprir 
estritamente o que a lei exige, sem qualquer iniciativa de aculturamento pelos treinamentos e 
comunicação, que dizem respeito a um ponto importante da finalidade da LGPD. 
 
 
 
11 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
4.4 OPORTUNIDADES NO CENÁRIO ATUAL 
 
Muitas empresas agiram rapidamente para responder à regulamentação sobre o 
tratamento de dados pessoais para se destacar no mercado aplicando funcionalidades no produto 
e serviço, atrelado ao marketing agressivo, caracterizando como um diferencial competitivo, 
como é o caso da Apple que já possuía certa apelação no sentido que possuir um número menor 
de arquivos maliciosos, decorrente do menor número de equipamentos existentes no mercado 
com o seu sistema operacional e, após alguns casos famosos envolvendo manipulação de dados 
pessoais em outras empresas, investiu fortemente nas ferramentas envolvendo privacidade dentro 
dos seus produtos e serviços, criando bloqueador de rastreadores, sinalização da utilização dos 
recursos de microfone e câmera durante a utilização de uma aplicação, gerar endereços de e-mail 
aleatórios para cadastros em sites específicos, gerenciador de senhas seguro, que indica quando 
há um potencial vazamento das informações, entre outros. 
Diante da necessidade de adequação e o anseio dos indivíduos por mais controle e 
protagonismo, diversas empresas uniram o útil ao agradável e adicionaram um toque de 
marketing à implantação do sistema de proteção e privacidade de dados, divulgando seus 
princípios, treinamentos, funcionalidades, governança e outros aspectos que colaboram para a 
demonstração para o mercado e titulares de como a organização vê e se compromete em relação 
à proteção e privacidade de dados. É evidente que somente a divulgação e o puro marketing não 
garantem que a empresa esteja efetivamente adequada e cumprindo as disposições e princípios 
da LGPD, porém um dos quesitos importantes que é o aculturamento está presente neste tipo de 
comunicação, que compromete publicamente a empresa com o respeito aos direitos individuais 
e coletivos dos titulares de dados. 
Além do aumento da confiança no mercado em relação aos clientes e fornecedores, 
aumentando consequentemente o faturamento e posicionamento no mercado da empresa, outro 
ponto que é bastante relevante é o de recebimento de aportes financeiros, investimento anjo, 
capital semente, rodadas de investimento mais robustos (série A, B, C…), até uma futura fusão 
ou aquisição, os critérios de governança, inclusive relacionados à maturidade em relação à 
LGPD, especialmente para as Startups e empresas de tecnologia (ou inseridas na nova economia), 
são pontos cruciais para a decisão dos investidores em realizar a movimentação ou não. As 
rodadas de investimento podem apresentar um valor consideravelmente menor nos casos em que 
 
12 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
a empresa objeto do aporte não apresente uma estrutura mínima de governança relacionada à 
proteção e privacidade de dados, ou seja, representando um risco operacional e regulatório maior. 
 
5 ENGAJAMENTO NA IMPLANTAÇÃO DO SISTEMA DE PROTEÇÃO E 
PRIVACIDADE DE DADOS 
 
Como passamos pelo item 1. a respeito das “Empresas da Nova Economia”, diversas 
questões de gestão afetam diretamente a cultura da organização. Em um cenário de velocidade e 
alto apetite a riscos, os colaboradores decidem tomar decisões não voltadas para o controle e 
segurança, mas sim para os resultados e metas e, quando se deparam com estruturas de 
governança, só conseguem visualizar uma burocracia desnecessária para a atividade que já estão 
acostumados a fazer. 
A tomada de decisão pela adequação pode vir tanto da alta direção, que contrata uma 
consultoria ou profissionais especializados, como dos próprios colaboradores organizados, que 
propõem para a direção da empresa um plano de ação, que após aprovado, é posto em prática. 
Como já mencionado, a implantação de estruturas de governança relacionadas à 
privacidade e proteção de dados envolve não só um grupo seleto de colaboradores, seja da alta 
administração, seja do nível gerencial ou operacional, mas de toda a cadeia decisória e produtiva 
da empresa. Ou seja, caso haja um elo fraco, sua fragilidade é passada por toda a corrente, que 
não traciona de forma suficiente para que haja um aculturamento organizacional. 
Conseguir cativar e engajar a equipe, que está diretamente envolvida com o tratamento 
de dados pessoais, para que realize treinamentos, estude, adapte, e altere seus fluxos de trabalho 
visando uma maior proteção, privacidade e segurança das informações pessoais é um desafio que 
a maioria das empresas ‘jovens’ enfrenta, isso em vista da cultura da agilidade, riscos, e 
hierarquia horizontal. 
Algumas estratégias aumentam o engajamento dos colaboradores, seja pela exigência do 
cumprimento, sanções aplicadas, incentivos positivos, ou mesmo a conscientização da 
importância do assunto, que ao meu ver, e acredito que da maioria dos estudiosos e interessados 
no tema, é o melhor caminho. Passarei por alguns pontos relevantes que agregam valor ao 
processo de implantação de um sistema de proteção e privacidade de dados, relacionada à atuação 
dos colaboradores diretos do negócio. 
 
13 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
5.1 COMPROMETIMENTO DA ALTA DIREÇÃO 
 
Uma questão de grande importânciaé o comprometimento e o exemplo da alta direção 
da empresa em relação aos dados pessoais. Um diretor que descumpre abertamente os 
procedimentos e políticas relacionadas à proteção e privacidade de dados contagia todos os 
colaboradores e pares, fazendo com que ninguém leve a sério a iniciativa da organização no 
aculturamento aos princípios e valores da LGPD. 
É indispensável que a alta direção da empresa demonstre que tem interesse e está 
comprometida em mudar e aprender sobre o tema, se mostrando disponível e no mesmo nível 
dos demais colaboradores no sentido de entender sobre a seriedade e importância do tema. Essa 
participação se demonstra pela presença em treinamentos, questionamentos e conversas sobre o 
tema, comunicação interna, entre outras condutas do dia a dia que atestam o efetivo interesse e 
disseminação do assunto. 
 
5.2 COLABORADORES COMO TITULARES DE DADOS 
 
Outro ponto que contribui para o comprometimento dos colaboradores é os colocar no 
papel do titular de dados, que naturalmente já são, porém não conseguem visualizar a situação 
relacionada à sua atividade profissional. Os colaboradores, antes de mais nada, são indivíduos 
proprietários dos seus dados, e que são tratados por as mais diversas empresas, como lojas de 
varejo, farmácias, redes sociais, aplicativos de entregas etc. e, como titulares de dados, desejamos 
que nossas informações sejam tratadas com a devida segurança necessária, não só pelos diretores 
da empresa, mas sim por cada colaborador que tiver acesso às nossas informações. 
Isso vale para as informações que tratamos durante o desempenho das nossas atividades. 
Realizamos o tratamento de dados pessoais durante nossa jornada, simplesmente abrindo um e-
mail, salvando um anexo, enviando um formulário etc., e saber reconhecer que não são meras 
informações sem valor, mas dizem respeito à privacidade de cada indivíduo, agrega um valor ao 
que se está fazendo com as informações e faz com que, quem esteja efetivamente tratando os 
dados, consiga se colocar no lugar do titular e olhar com mais cuidado com o que realiza com 
aquela informação. 
 
 
14 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
5.3 TREINAMENTOS 
 
Este ponto é evidente, porém pouco aplicado e até subestimado. Os treinamentos 
apresentam uma complexidade na sua organização e assiduidade, porém a realização de pequenos 
treinamentos, rápidos, tocando sobre assuntos do dia a dia da empresa e que envolvam 
diretamente dados pessoais aproxima o colaborador da sua realidade. Por exemplo, na hipótese 
anteriormente mencionada de uma empresa que oferece o serviço de armazenamento em nuvem, 
trazer hipóteses de vazamento de dados e segurança da informação, explicar as bases legais 
relacionadas ao serviço, esclarecer quais são as informações tratadas, faz com que o colaborador 
que atua diariamente reconheça a importância e criticidade da sua atividade, e preste mais atenção 
em todo compartilhamento e armazenamento que realiza. 
 
5.4 LIDERANÇA 
 
Este item diz respeito à identificação de perfis de liderança dentro dos times, para que se 
atribuam algumas tarefas que contribuam para o aumento do engajamento, como disseminação 
da cultura de proteção e privacidade de dados, comunicação direta, e esclarecimentos sobre o 
tema. Trabalhar com a figura dos pilares de disseminação da cultura é uma estratégia recorrente 
e que gera resultados satisfatórios, sendo selecionado o colaborador que desenvolve um papel 
importante dentro de um time, e que possui uma influência natural, para que aprenda e se 
comprometa com os princípios e políticas de LGPD de uma empresa. Assim, por meio do 
exemplo e orientação, os demais colaboradores assimilarão a importância dada pela empresa ao 
tema. 
 
5.5 ATRIBUIÇÕES ESPECÍFICAS 
 
Este item diz respeito a atribuir a um responsável uma tarefa específica relacionada ao 
processo de implantação e manutenção do sistema de proteção e privacidade de uma empresa. 
Por exemplo, revisar uma política de segurança da informação, atribuir um profissional da área 
de infraestrutura ou tecnologia da informação o papel de realizar a revisão prévia, e submeter 
para avaliação do comitê de privacidade (que iremos mencionar a diante), ou propriamente da 
 
15 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
alta direção, determinar um responsável por organizar um treinamento específico, ou um para 
mapear os processos de tratamento de dados existentes na área de recursos humanos, até o 
responsável por desempenhar o papel do Encarregado de Dados da empresa. 
Tais atribuições geram o sentimento de propriedade sobre um projeto, e a participação 
ativa na implantação do sistema de proteção e privacidade de dados faz com que o colaborador 
se sinta parte e dono da iniciativa, garantindo que assimile e compartilhe melhor as informações 
dentro da empresa. 
 
5.6 PENALIDADES 
 
Um ponto relativo a um incentivo ‘negativo’ é pela aplicação de penalidades pelo 
descumprimento de políticas e procedimentos da empresa. Perceba que, na hipótese de não se 
cumprir com eventual aplicação da sanção, o clima de impunidade pairará sobre os 
colaboradores, retirando a seriedade do tema dentro de uma organização. Ou seja, na previsão de 
penalidades pelo descumprimento de qualquer política, deve-se aplicar uma sanção proporcional, 
seguindo a finalidade orientativa e cumprindo-se o processo interno estabelecido. 
Inclusive, já existem decisões na justiça do trabalho sobre demissão por justa causa pelo 
não cumprimento específico da Política de Segurança da Informação de determinada empresa, 
previamente entregue ao colaborador, que assinou um termo de ciência e cumprimento 
específico. Ou seja, vê-se a aplicação de sanções justificadas nos próprios procedimentos internos 
das empresas, referentes à adequação à LGPD. 
 
5.7 ESTRUTURAS DE GOVERNANÇA EM PRIVACIDADE DE DADOS 
 
Para fins de estrutura, temos um critério objetivo exigido por lei, que é a figura do 
Encarregado de Dados (artigo 5º, inciso VIII, da LGPD), que é o canal de comunicação, externo, 
em relação à Autoridade Nacional de Proteção de Dados - ANPD, os titulares de dados e 
terceiros. e interno, em relação aos colaboradores da própria empresa. É uma figura de extrema 
importância para o aculturamento, esclarecimento e transparência em relação de como a 
organização trata dados pessoais na sua infraestrutura, além do seu papel determinado por lei 
para atendimento da LGPD. 
 
16 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
Outra estrutura importante é a do Comitê de Privacidade, órgão interno colegiado 
específico para os assuntos envolvendo o tratamento de dados pessoais, que dará suporte às 
decisões do Encarregado de Dados, realizando estudos e atualizações sobre as políticas da 
empresa, acompanhando as atualizações das legislações, disseminando a cultura de privacidade 
e proteção de dados, facilitando a implantação medidas técnicas e organizacionais em diferentes 
áreas, além de funcionar como uma estrutura de mitigação de conflitos de interesses relacionados 
à atividades envolvendo segurança, proteção de dados pessoais, e a tolerância à riscos. 
O comitê deliberará sobre questões estratégicas do tema, e submeterá sua decisão à alta 
direção que, seguindo seu apetite a riscos, tomará a decisão que entender adequada para a 
continuidade da empresa. 
A estrutura de proteção e privacidade de dados, contemplando o Encarregado de Dados e 
o Comitê de Privacidade, deve ter autonomia suficiente para questionar e não se submeter a 
qualquer nível hierárquico, senão à alta direção que tomará as decisões conscientes sobre os 
riscos de tratamento de dados pessoais, assumindo a responsabilidade por seus atos. 
 
6 CONSIDERAÇÕES FINAIS 
 
A necessidade deadequação às normas e princípios de proteção e privacidade de dados é 
cada vez mais exigida, não só pela lei e titulares, como também os fornecedores, clientes e a 
sociedade em unicidade. As empresas que atuam no novo mercado e tratam dados pessoais no 
ciclo de vida da sua atividade já devem atender a Lei Geral de Proteção de Dados Pessoais - 
LGPD, e o processo de aculturamento da equipe interna se demonstra um desafio para os gestores 
e líderes presentes em cada organização. 
O processo de implantação de um Sistema de Proteção e Privacidade de Dados ocorre no 
tempo, devendo ser compreendido dentro de cada realidade e urgência de mercado, se 
caracterizando como uma atividade a ser internalizada do cotidiano da empresa, sendo algo 
perene e agregado aos valores defendidos pela organização. 
 
 
17 Contribuciones a Las Ciencias Sociales, São José dos Pinhais, v.17, n.6, p. 01-17, 2024 
 
 jan. 2021 
REFERÊNCIAS 
 
BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais 
(LGPD) Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm. Acesso em: 10 de maio de 2020. 
 
RIES, E. A Startup Enxuta: como os empreendedores atuais utilizam a inovação contínua 
para criar empresas extremamente bem-sucedidas. Tradução Texto Editores. São Paulo: 
Lua de Papel, 2012. 
 
SEBRAE. O que é uma Startup? 25 de Março de 2022. Disponível em: 
https://www.sebrae.com.br/sites/PortalSebrae/artigos/o-que-e-uma-
startup,6979b2a178c83410VgnVCM1000003b74010aRCRD. Acesso em: 10 de maio de 2022 
 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
https://www.sebrae.com.br/sites/PortalSebrae/artigos/o-que-e-uma-startup,6979b2a178c83410VgnVCM1000003b74010aRCRD
https://www.sebrae.com.br/sites/PortalSebrae/artigos/o-que-e-uma-startup,6979b2a178c83410VgnVCM1000003b74010aRCRD