Startups e empresas de tecnologia enfrentam desafios específicos na conformidade com a LGPD. Por um lado, lidam intensivamente com dados pessoais — frequentemente como parte central de seu modelo de negócio. Por outro, possuem recursos limitados e precisam de abordagens proporcionais ao seu porte e estágio de desenvolvimento.
Proporcionalidade na Conformidade
A própria LGPD, em seu artigo 55-J, §1º, prevê que a ANPD deve considerar a natureza e o porte da entidade ao estabelecer normas e procedimentos. A Resolução CD/ANPD nº 2/2022 regulamentou o tratamento diferenciado para agentes de tratamento de pequeno porte, incluindo startups. Essas entidades contam com simplificações como prazos diferenciados, dispensa de nomeação de DPO (desde que disponibilizem canal de comunicação) e formas simplificadas de registro de operações.
Contudo, simplificação não significa isenção. As startups permanecem obrigadas a observar os princípios da LGPD, respeitar os direitos dos titulares e adotar medidas de segurança proporcionais.
Programa de Conformidade Escalável
A recomendação para startups é iniciar com uma abordagem mínima viável e escalar conforme o crescimento. Em estágio inicial, recomenda-se: mapear os fluxos de dados pessoais, identificando quais dados são coletados, para quais finalidades e com quem são compartilhados; elaborar e publicar uma política de privacidade clara e acessível; implementar medidas básicas de segurança da informação, como criptografia, controle de acesso e backup; e documentar as bases legais utilizadas para cada operação de tratamento.
Conforme a empresa cresce, deve-se incorporar: um registro de operações de tratamento mais detalhado; relatórios de impacto à proteção de dados para operações de alto risco; processos formais de atendimento a requisições de titulares; e treinamento regular da equipe sobre proteção de dados.
Privacy by Design
Para empresas de tecnologia, a incorporação da privacidade desde a concepção do produto (privacy by design) é não apenas uma boa prática, mas uma obrigação implícita nos princípios da LGPD. Isso significa considerar a proteção de dados em cada decisão de produto: quais dados são realmente necessários, por quanto tempo serão armazenados, como serão protegidos e como os direitos dos titulares serão operacionalizados.
Relação com Investidores
A conformidade com a LGPD tornou-se item recorrente em processos de due diligence de investidores. Startups que buscam captação de investimento devem estar preparadas para demonstrar sua maturidade em proteção de dados. Questões como a existência de incidentes anteriores, a adequação de contratos com operadores de dados e a robustez das medidas de segurança são frequentemente avaliadas.
Aspectos Contratuais
Startups frequentemente atuam simultaneamente como controladoras e operadoras de dados. É essencial que os contratos com parceiros, fornecedores e clientes contenham cláusulas adequadas de proteção de dados, definindo claramente papéis, responsabilidades, medidas de segurança e procedimentos para incidentes. A ausência dessas cláusulas pode gerar responsabilidade solidária e comprometer a operação da empresa.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".