PUBLICAÇÕES

Artigos - 01/02/2020

Transformação Digital e Proteção de Dados: ligando os pontos

A transformação digital envolve a transição ou expansão de negócios tradicionais para modelos de negócios potencializados por plataformas digitais. Nesse processo, diversos desafios jurídicos podem surpreender até mesmo os empreendedores e executivos mais experientes, cujas expertises estão normalmente focadas nos modelos de negócios de seus respectivos ramos. Dentre esses desafios, é importante estar atento às obrigações aplicáveis ao tratamento de dados pessoais, que, por (normalmente) não ocupar lugar central nas atividades tradicionais, não recebe a merecida atenção durante e após a transformação digital da empresa.

É importante afastar, desde já, uma falsa noção: a proteção de dados pessoais não é e nem deve ser uma preocupação exclusiva dos negócios digitais. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018 ou LGPD), que entrará em vigor em agosto de 2020, é aplicável ao tratamento de dados pessoais online ou offline, independentemente do porte ou setor de atuação da empresa. Dito isso, é preciso reconhecer que o tratamento de dados pessoais é mais intensivo (isto é, é realizado de mais formas, com mais frequência e envolvendo maior volume de dados) em negócios de base digital, quando comparados a negócios analógicos. Em razão disso, a cultura de proteção de dados parece ser mais rapidamente internalizada por negócios digitais, o que pode representar um sério risco para as empresas tradicionais que migram para o mercado online, mas trazem consigo práticas do negócio offline.

Não é incomum que a transformação do negócio rumo ao digital envolva, também, atividades baseadas no tratamento de dados pessoais. É o caso, por exemplo, da empresa de varejo que passa a oferecer seus produtos também por e-commerce e, com isso, tratar as informações de cadastro, endereços de entrega e dados de cartões de crédito de milhares de usuários em uma região muito mais ampla do que aquela originalmente atendida pelas lojas físicas. Ou o caso da clínica médica que passa a oferecer serviços de consulta e aconselhamento médico por meio de um aplicativo, com coleta, armazenamento e análise automatizada de dados pessoais para acompanhamento de pacientes. Ou, ainda, o caso da instituição de ensino que lança uma plataforma de ensino à distância com conteúdo personalizado com base no perfil e nas necessidades dos alunos.

Nos três casos mencionados, os negócios tradicionais já lidavam com o tratamento de dados pessoais (basta pensarmos no cartão fidelidade da loja de varejo, nos prontuários médicos ou no histórico escolar, por exemplo), mas as variáveis de operações de tratamento e o volume de dados tratados são, sem dúvida, exponenciados pela mudança offline to online. A maior disponibilidade de dados no meio digital e dos meios para analisá-los de forma rápida e inteligente são um convite para serviços mais direcionados e moldados ao usuário e para mercados prósperos – uma direção que cada vez mais negócios estão seguindo – mas também aumentam os riscos para as pessoas cujos dados são tratados pela organização.

Por isso, é importante analisar o projeto de transformação digital da empresa também pela perspectiva da proteção de dados pessoais, uma vez que as disposições legais (e suas duras penalidades) podem representar significativos riscos financeiros e operacionais, que influenciam diretamente no modelo de negócio digital proposto. Caso não avaliados e mitigados de forma adequada, os riscos (não apenas relativos à proteção de dados) ligados ao novo negócio podem não só inviabilizar sua exploração, como também prejudicar as operações e atividades tradicionais da empresa.

Mas calma: uma maior atenção à proteção de dados pessoais não impede ou prejudica a transformação digital de empresas. O timing da transformação é, na verdade, bastante conveniente para a introdução mais fácil e natural de alguns conceitos de grande importância para a proteção de dados e que serão essenciais ao crescimento sustentável das novas atividades exploradas.

É o caso, por exemplo, do conceito privacy by design, que, basicamente, remete à necessidade de considerar a privacidade e a proteção de dados pessoais desde a concepção de produtos ou serviços. É mais fácil criar um produto ou serviço alinhado aos princípios da proteção de dados do que transformar um produto ou serviço incompatível com esses princípios depois de seu lançamento no mercado e construção de uma base de usuários. Nesse sentido, as empresas que considerarem a privacidade e proteção de dados desde o início de sua transformação digital sairão na frente no mercado e pouparão, sem dúvida, tempo e dinheiro para adequar o novo modelo de negócio às disposições legais.

Muito ligado ao privacy by design, também será protagonista o conceito da minimização dos dados (decorrente do princípio da necessidade, expresso na LGPD), que deve ser igualmente considerado no momento de desenhar o novo modelo de negócio. Minimização dos dados significa, de forma resumida, tratar o mínimo de dados pessoais para atingir as finalidades propostas. Isto é, não coletar maior variedade ou volume de dados pessoais do que o necessário para determinado fim, nem os armazenar por tempo excessivo. Essas considerações devem fazer parte do desenho do negócio e podem melhor direcionar a empresa em sua transformação, dando origem a um modelo de negócio digital que já nasce um pouco mais compliant.

Além das ponderações acima, que a prudência recomenda serem implementadas na fase de concepção e estruturação do novo negócio, é também importante considerar se não faz sentido, no cenário da empresa, explorar cada um dos diferentes modelos de negócios sob pessoa jurídica distinta, a fim de separar suas matrizes de risco, inclusive no que diz respeito a riscos relativos à proteção de dados. Especificamente em relação à LGPD, por exemplo, essa separação pode ter efeitos diretos no dimensionamento de multas aplicáveis em caso de infrações – as quais são calculadas com base no faturamento da pessoa jurídica ou do grupo econômico.

Por último, não pode ser deixado de lado o elemento central da inovação: as pessoas. Para que a transformação digital da empresa aborde, de forma responsável, o tema da proteção de dados pessoais, é imprescindível que a cultura da empresa se adapte, também, às novas obrigações legais e práticas exigidas no mercado digital. Qualquer projeto de adequação de empresas – tradicionais ou digitais – às legislações de proteção de dados será frustrado se a cultura da empresa não for também moldada para compreender e respeitar os princípios e pilares da privacidade. E a mudança de cultura da empresa será importante não apenas para compliance com a LGPD, mas também para sua inovação sustentável como um todo.

Qualquer que seja o cenário da empresa tradicional que está prestes a encarar os desafios da transformação digital, a proteção de dados e a recente regulação do tema na legislação brasileira – acompanhando a tendência global liderada pela União Europeia – não devem ser motivo de desespero. A crescente preocupação com privacidade não torna menos interessante a possibilidade de transformação de empresas para modelos de negócios que usam, sim, dados pessoais. É apenas importante que a mudança seja acompanhada de uma avaliação dos novos riscos envolvidos e adoção de medidas adequadas em tempo hábil, enquanto o desenho do novo negócio ainda é flexível.

Timing is key: o processo de transformação digital que levar em consideração, desde cedo, a proteção de dados pessoais terá como resultado um modelo de negócios mais robusto e viável.