Por Alexandre Caputo *
Com a vigência da Lei Geral de Proteção de Dados (LGPD), as startups enfrentam o desafio de adequar suas operações às exigências de proteção de dados pessoais. A Política de Privacidade não é apenas uma obrigação legal, mas uma ferramenta essencial para construir confiança com usuários e investidores.
Muitos empreendedores acreditam que podem simplesmente copiar políticas de outras empresas ou usar templates genéricos da internet. Essa abordagem pode ser perigosa porque a política provavelmente não irá refletir o modelo de negócios e, em caso de autuação da ANPD (Agência Nacional de Proteção de Dados) as multas podem chegar a 2% do faturamento da empresa ou R$ 50 milhões, além de comprometer a credibilidade do negócio.
Imagine uma startup de delivery que usa um template de e-commerce tradicional. Ela pode esquecer de mencionar como trata os dados de localização dos entregadores, criando uma lacuna legal grave. Ou considere uma fintech que não especifica adequadamente como compartilha dados com bureaus de crédito – isso pode resultar em problemas regulatórios.
Por Que Startups Precisam de uma Política de Privacidade Específica?
Startups operam em um ambiente único que demanda abordagens diferenciadas na proteção de dados. Diferentemente de empresas tradicionais, elas frequentemente enfrentam desafios específicos que impactam diretamente no tratamento de informações pessoais e cada modelo de negócios trata dados de uma forma específica.
O tratamento de dados tem que atender as diretrizes estipuladas na LGPD e os seguintes princípios nos termos do seu artigo 6º: i) finalidade; ii) adequação; iii) necessidade; iv) livre acesso; v) qualidade dos dados; vi) transparência; vii) segurança; viii) prevenção; ix) responsabilização; e x) prestação de contas.
Coleta de Dados
Startups frequentemente criam formas inovadoras de coletar dados que não existiam quando as políticas tradicionais foram criadas. Uma startup de fitness pode coletar dados biométricos através de wearables, enquanto uma plataforma de educação pode usar reconhecimento facial para verificar a identidade de estudantes durante provas online.
Considere o exemplo de uma startup que desenvolveu um aplicativo de relacionamentos baseado em compatibilidade de música. Ela acessa o histórico de reprodução do Spotify dos usuários, analisa padrões de escuta e cruza essas informações com dados de localização para sugerir encontros. Essa coleta complexa e multifacetada requer explicações específicas sobre cada fonte de dados e como elas se inter-relacionam.
Processamento em Grande Volume
À medida que as Startups de base tecnológica escalam os seus negócios, podem processar enormes volumes de dados para análises comportamentais, machine learning, otimização de produtos, entre outros. Uma startup de e-commerce pode analisar milhões de cliques, tempo de permanência em páginas e padrões de compra para personalizar recomendações.
Um exemplo interessante é uma startup de mobilidade urbana que coleta dados de GPS de milhares de usuários para otimizar rotas e prever demanda. Ela precisa explicar como esses dados são tratados, anonimizados e utilizados para melhorar o serviço, sem comprometer a privacidade individual dos usuários.
Compartilhamento de Dados com Parceiros
Ao longo da jornada da Startup, é comum que surjam parcerias que possibilitem o compartilhamento de informações e dados. Uma startup de food delivery pode compartilhar dados de pedidos com restaurantes parceiros, informações de entrega com empresas de logística e dados de pagamento com processadores financeiros.
Imagine uma startup que oferece um super app combinando transporte, delivery e pagamentos. Ela pode compartilhar o histórico de localização com parceiros de mobilidade, dados de consumo com restaurantes e informações financeiras com bancos parceiros. Cada tipo de compartilhamento requer bases legais específicas e explicações detalhadas sobre finalidades e salvaguardas. Caso haja compartilhamento internacional de dados, há previsão legal específica sobre o tema e a Startup deverá adotar cuidados específicos quanto a isso.
Política de privacidade na prática: Elementos Fundamentais
1. Definições Claras e Contextualizadas
Toda Política deve iniciar com definições que reflitam o contexto específico da startup. Não basta copiar as definições da LGPD – é preciso adaptá-las à realidade do negócio de forma que qualquer pessoa possa compreender.
Exemplo para uma startup de educação online:
- Estudante: Pessoa física que utiliza a plataforma para acessar conteúdos educacionais, seja de forma gratuita ou mediante pagamento
- Instrutor: Pessoa física que disponibiliza conteúdos educacionais através da plataforma
- Dados de Aprendizagem: Informações sobre o progresso, desempenho e interação do estudante com os conteúdos, incluindo tempo de estudo, exercícios realizados, notas obtidas e áreas de dificuldade
- Conteúdo Educacional: Material disponibilizado na plataforma, incluindo vídeos, textos, exercícios, avaliações e recursos interativos
Exemplo para uma startup de marketplace:
- Vendedor: Pessoa física ou jurídica que oferece produtos ou serviços através da plataforma
- Comprador: Pessoa física que adquire produtos ou serviços através da plataforma
- Dados Transacionais: Informações relacionadas a compras, vendas, pagamentos e entregas realizadas através da plataforma
- Dados de Reputação: Avaliações, comentários e histórico de transações que formam a reputação de vendedores e compradores
2. Identificação Precisa dos Papéis na Proteção de Dados
A definição dos papéis deve ser específica e detalhada, considerando que startups frequentemente atuam em múltiplas capacidades dependendo da situação.
Exemplo de uma startup de gestão de frotas:
Quando a startup coleta dados diretamente dos motoristas através de seu aplicativo (localização, histórico de condução, dados pessoais), ela atua como controladora. Ela decide quais dados coletar, como utilizá-los e por quanto tempo mantê-los.
Quando a startup processa dados de veículos em nome de empresas de transporte que contratam seus serviços, ela atua como operadora. Neste caso, a empresa de transporte é a controladora e define as finalidades do tratamento.
Quando a startup compartilha dados de eficiência de combustível com postos de gasolina parceiros para oferecer descontos personalizados, ela atua como controladora em uma relação de compartilhamento, onde tanto a startup quanto o posto são controladores dos dados compartilhados.
3. Mapeamento Completo dos Dados: Exemplos Práticos por Setor
O mapeamento de dados deve ser exaustivo e específico para cada tipo de startup. Vamos explorar exemplos detalhados por setor:
Exemplo de Startup de Delivery de Comida
Dados fornecidos diretamente pelos usuários:
- Informações de cadastro: nome, CPF, email, telefone, data de nascimento
- Endereços de entrega: endereço completo, complemento, referências
- Preferências alimentares: restrições, alergias, pratos favoritos
- Dados de pagamento: informações de cartão de crédito, PIX, carteira digital
- Avaliações e comentários sobre restaurantes e entregadores
Dados coletados automaticamente:
- Localização em tempo real durante o pedido e entrega
- Histórico de navegação no aplicativo: restaurantes visitados, tempo em cada página
- Dados do dispositivo: modelo do smartphone, versão do sistema operacional
- Horários de uso: quando o usuário acessa o aplicativo, frequência de pedidos
- Dados de conectividade: endereço IP, tipo de conexão (WiFi, 4G, 5G)
Dados obtidos de terceiros:
- Validação de CPF através de bureaus de crédito
- Verificação de endereço através de serviços de geolocalização
- Informações de redes sociais (quando o usuário faz login social)
- Dados de prevenção à fraude de empresas especializadas
Exemplo de Startup de Telemedicina
Dados fornecidos diretamente pelos usuários:
- Informações pessoais: nome, CPF, RG, data de nascimento, gênero
- Dados de saúde: histórico médico, medicamentos em uso, alergias
- Sintomas e queixas: descrição de sintomas, fotos de lesões ou exames
- Dados de contato: telefone, email, endereço para envio de medicamentos
- Informações do plano de saúde: operadora, número da carteirinha, cobertura
Dados coletados automaticamente:
- Dados da consulta: gravação de vídeo/áudio, transcrições, duração
- Sinais vitais: quando coletados através de dispositivos conectados
- Dados de acesso: horários de login, frequência de uso da plataforma
- Localização: para direcionamento ao médico mais próximo ou adequado
Dados obtidos de terceiros:
- Resultados de exames laboratoriais de laboratórios parceiros
- Histórico médico de outros prestadores de saúde
- Informações de medicamentos de farmácias parceiras
- Dados de validação profissional dos médicos (CRM, especialidades)
3.1. Exemplo de Quadro Prático de Mapeamento de Dados
Para facilitar a compreensão tanto interna quanto dos usuários, recomenda-se criar um quadro-resumo estruturado que seja específico de acordo com o tipo de dados e finalidade do tratamento de dados para cada contexto:
Exemplo para Startup de Educação Online
| Categoria de Dados | Dados Específicos | Finalidade | Base Legal | Período de Retenção |
| Dados de Identificação | Nome, email, CPF, data de nascimento | Criação e gestão da conta do usuário | Execução de contrato | Durante a vigência da conta + 5 anos |
| Dados de Aprendizagem | Progresso nos cursos, notas, tempo de estudo, exercícios realizados | Personalização do ensino e certificação | Execução de contrato | 10 anos (obrigação legal educacional) |
| Dados Comportamentais | Páginas visitadas, tempo de permanência, sequência de navegação | Melhoria da plataforma e experiência do usuário | Legítimo interesse | 24 meses |
| Dados de Pagamento | Informações de cartão, histórico de transações | Processamento de pagamentos e controle fiscal | Execução de contrato + obrigação legal | 5 anos (obrigação fiscal) |
| Dados de Localização | Endereço IP, localização aproximada | Prevenção à fraude e personalização de conteúdo | Legítimo interesse | 12 meses |
| Dados de Comunicação | Mensagens no chat, emails trocados | Suporte ao cliente e melhoria do serviço | Legítimo interesse | 2 anos |
Exemplo para Startup de Marketplace B2B
| Categoria de Dados | Dados Específicos | Finalidade | Base Legal | Período de Retenção |
| Dados Empresariais | CNPJ, razão social, porte da empresa, setor de atuação | Qualificação comercial e adequação de produtos | Legítimo interesse | Durante relacionamento + 3 anos |
| Dados de Representantes | Nome, cargo, email, telefone dos contatos | Comunicação comercial e suporte | Execução de contrato | Durante relacionamento + 1 ano |
| Dados Transacionais | Histórico de compras, valores, frequência, produtos adquiridos | Análise de crédito, personalização de ofertas | Legítimo interesse | 5 anos |
| Dados Financeiros | Faturamento, dados bancários, histórico de pagamentos | Aprovação de crédito e processamento de pagamentos | Execução de contrato | 10 anos (obrigação legal) |
| Dados de Uso | Funcionalidades utilizadas, relatórios acessados | Melhoria da plataforma e desenvolvimento de novos produtos | Legítimo interesse | 18 meses |
4. Transparência Total sobre Compartilhamento
Startups frequentemente compartilham dados com diversos parceiros, e cada tipo de compartilhamento requer explicação específica e detalhada.
4.1. Compartilhamento Interno: Grupo Econômico
Quando uma startup faz parte de um grupo empresarial, o compartilhamento interno deve ser claramente explicado com exemplos concretos.
Exemplo de uma startup de mobilidade urbana que integra um grupo de tecnologia:
“Seus dados podem ser compartilhados entre as empresas do nosso grupo econômico para proporcionar uma experiência integrada. Por exemplo, se você utiliza nosso aplicativo de transporte e também tem conta na nossa plataforma de delivery, podemos compartilhar seu histórico de localização para sugerir restaurantes próximos aos seus destinos frequentes. Esse compartilhamento sempre respeitará as finalidades específicas de cada serviço e você pode desabilitá-lo a qualquer momento nas configurações da sua conta.”
4.2. Prestadores de Serviço: Detalhamento Específico
Em vez de mencionar genericamente “prestadores de serviço”, é fundamental especificar cada categoria com exemplos práticos.
Para uma startup de e-commerce:
Serviços de Pagamento: “Compartilhamos seus dados de pagamento com processadores como Stripe, PagSeguro e Mercado Pago para processar transações. Essas empresas recebem apenas as informações necessárias para completar o pagamento e estão sujeitas a rigorosos padrões de segurança PCI DSS.”
Logística e Entrega: “Compartilhamos seu nome, endereço e telefone com empresas de logística como Correios, Total Express e Loggi para viabilizar a entrega dos produtos. Essas empresas podem entrar em contato para agendar a entrega ou solicitar informações adicionais sobre o endereço.”
Análise de Dados: “Utilizamos Google Analytics e Facebook Pixel para entender como você navega em nosso site. Essas ferramentas recebem dados anonimizados sobre suas interações, como páginas visitadas e tempo de permanência, para nos ajudar a melhorar a experiência de compra.”
Parceiros Comerciais: Integrações Estratégicas
Startups frequentemente têm parcerias estratégicas que envolvem compartilhamento de dados para benefício mútuo dos usuários.
Exemplo de uma startup de gestão financeira:
“Compartilhamos dados agregados e anonimizados sobre categorias de gastos com bancos parceiros para desenvolvimento de produtos financeiros personalizados. Por exemplo, se identificarmos que você gasta frequentemente com educação, nossos parceiros podem oferecer cartões de crédito com cashback em cursos online. Você sempre será informado sobre essas ofertas e pode optar por não recebê-las.”
5. Medidas de Segurança: Exemplos Práticos por Porte
As medidas de segurança devem ser proporcionais ao porte da startup e aos riscos envolvidos no tratamento de dados.
Startup em Estágio Inicial
Medidas Técnicas Básicas:
- Criptografia SSL/TLS para todas as comunicações
- Senhas fortes obrigatórias para todos os usuários
- Autenticação de dois fatores para acessos administrativos
- Backups automáticos diários criptografados
- Firewall e sistemas de detecção de intrusão básicos
Medidas Organizacionais:
- Treinamento básico de segurança para todos os funcionários
- Política de senhas documentada
- Procedimento de resposta a incidentes
- Controle de acesso baseado em funções
- Termo de confidencialidade para todos os colaboradores
Exemplo prático: “Utilizamos criptografia AES-256 para proteger seus dados em nossos servidores AWS. Todos os nossos funcionários assinam acordos de confidencialidade e recebem treinamento sobre proteção de dados. Realizamos backups diários e testamos nossa capacidade de recuperação mensalmente.”
Startup em tração
Medidas Técnicas Avançadas:
- Tokenização de dados sensíveis
- Monitoramento de segurança 24/7
- Testes de penetração semestrais
- Segregação de redes e ambientes
- Logs de auditoria detalhados
- Sistema de detecção de anomalias
Medidas Organizacionais:
- Oficial de Proteção de Dados (DPO) designado
- Comitê de segurança da informação
- Auditorias internas regulares
- Programa de conscientização em segurança
- Plano de continuidade de negócios
Exemplo prático: “Nossos dados são armazenados em data centers certificados ISO 27001. Utilizamos sistemas de tokenização para proteger informações de cartão de crédito e realizamos testes de penetração semestrais com empresas especializadas. Temos um Oficial de Proteção de Dados dedicado e comitê de segurança que se reúne mensalmente.”
6. Estrutura Detalhada: Seção por Seção
6.1. Seção Introdutória: Criando Conexão
A introdução deve ser acolhedora e explicar claramente o propósito da política, evitando jargão jurídico desnecessário.
Exemplo para startup de wellness:
“Bem-vindo à nossa família de bem-estar! Sabemos que cuidar de sua saúde física e mental é uma jornada pessoal e íntima. Por isso, tratamos seus dados com o mesmo cuidado que você dedica ao seu bem-estar. Esta Política de Privacidade explica como coletamos, usamos e protegemos suas informações para proporcionar a melhor experiência possível em nossa plataforma, sempre respeitando sua privacidade e seus direitos.”
6.2. Definições: Linguagem Acessível
As definições devem ser compreensíveis para pessoas sem formação jurídica, usando exemplos práticos.
Exemplo de definições claras:
Dado Pessoal: “Qualquer informação que permite identificar você como pessoa, como seu nome, email, CPF, ou até mesmo seu histórico de compras em nosso aplicativo.”
Consentimento: “Sua autorização livre e consciente para que possamos usar seus dados para uma finalidade específica. É como dar permissão para que entremos em sua casa – você pode dizer sim, não, ou mudar de ideia depois.”
Legítimo Interesse: “Quando precisamos usar seus dados para algo que beneficia tanto você quanto nossa empresa, como melhorar a segurança da plataforma ou personalizar sua experiência, sem que isso prejudique seus direitos ou privacidade.”
6.3 Direitos dos Usuários: Procedimentos Práticos
Em vez de apenas listar os direitos, é fundamental explicar como exercê-los na prática.
Direito de Acesso – Como funciona na prática: “Você pode solicitar uma cópia de todos os dados que temos sobre você através do email privacidade@exemplo.com ou diretamente nas configurações do seu perfil, clicando em ‘Baixar meus dados’. Você receberá um arquivo contendo todas as informações em até 15 dias úteis.”
Direito de Retificação – Exemplo prático: “Se você mudou de endereço ou qualquer informação sua está incorreta, pode atualizar diretamente em seu perfil. Para dados que não podem ser alterados diretamente, como histórico de transações com erro, envie uma mensagem para nosso suporte com a correção necessária e os comprovantes.”
Direito de Exclusão – Limitações claras: “Você pode excluir sua conta a qualquer momento, e removeremos todos os seus dados pessoais, exceto aqueles que precisamos manter por obrigação legal, como informações fiscais por 5 anos. Dados anonimizados em estatísticas gerais não são excluídos, pois não permitem sua identificação.”
6.4. Tratamento de Dados: Exemplos Setoriais Detalhados
Exemplo de Startup de Educação Infantil
Dados de Menores: “Para crianças menores de 16 anos, coletamos apenas dados essenciais para o aprendizado, sempre com autorização dos pais ou responsáveis. Por exemplo, coletamos o progresso nas atividades para personalizar o ensino, mas não coletamos dados de localização ou comportamento de navegação. Os pais podem acessar e gerenciar todos os dados de seus filhos através da área responsável.”
Dados Pedagógicos: “Coletamos informações sobre o progresso de aprendizagem, como exercícios realizados, tempo gasto em cada atividade e áreas de dificuldade. Esses dados são usados exclusivamente para personalizar o ensino e fornecer relatórios para pais e educadores. Nunca compartilhamos o desempenho individual de uma criança com terceiros.”
Exemplo de Startup de Saúde Mental
Dados Sensíveis de Saúde: “Coletamos informações sobre sua saúde mental apenas com seu consentimento específico e destacado. Isso inclui dados de questionários de autoavaliação, histórico de sessões de terapia e informações sobre medicamentos relacionados à saúde mental. Esses dados são protegidos com criptografia adicional e acessados apenas por profissionais de saúde autorizados.”
Compartilhamento com Profissionais: “Compartilhamos seus dados de saúde mental apenas com psicólogos e psiquiatras credenciados em nossa plataforma, e apenas quando você escolhe um profissional específico. Cada profissional acessa apenas as informações necessárias para seu atendimento. Você pode revogar o acesso a qualquer momento.”
6.5. Compartilhamento e Transferências: Casos Específicos
Transferências Internacionais para Startups
Muitas startups usam serviços de cloud internacional, exigindo explicações específicas sobre transferências de dados.
Exemplo para startup que usa AWS: “Alguns de seus dados são armazenados em servidores da Amazon Web Services (AWS) localizados nos Estados Unidos. Embora os EUA não tenham uma legislação de proteção de dados equivalente à brasileira, a AWS está certificada pelos padrões internacionais de segurança ISO 27001 e SOC 2, e estabelecemos cláusulas contratuais específicas para garantir que seus dados recebam proteção adequada.”
Salvaguardas específicas: “Para proteger seus dados em transferências internacionais, implementamos as seguintes medidas: criptografia de ponta a ponta durante a transferência, cláusulas contratuais padronizadas aprovadas pela União Europeia, auditorias regulares dos fornecedores internacionais, e a possibilidade de você solicitar que seus dados sejam mantidos apenas em território brasileiro.”
6.6. Estrutura na prática
INTRODUÇÃO
DEFINIÇÕES
- INFORMAÇÕES GERAIS
- DIREITOS DO USUÁRIO
- INFORMAÇÕES COLETADAS
| QUADRO-RESUMO DE COLETA DE DADOS | ||
| Dados coletados | Por que usaremos | Base legal para o
tratamento |
| 3.1. Dados de identificação do usuário para cadastro
|
Legítimo Interesse (Art. 10,
inciso II, Lei 13.709/18). |
|
| 3.2. Dados para utilização da PLATAFORMA
|
Para aprimorar a experiência do usuário. | Legítimo Interesse (Art. 10,
inciso II, Lei 13.709/18). |
| 3.3. Cookies e coleta automática
dos dados. |
Para personalização da
navegação para o usuário. |
Consentimento (Art. 7,
inciso I, Lei 13.709/2018). |
| 3.4. Compartilhamento de dados entre aplicativos do grupo econômico. | Para aprimoramento da experiência do usuário e integração dos serviços oferecidos. | Consentimento (Art. 7, inciso I, Lei 13.709/2018). |
| INCLUIR OUTROS | ||
3.x. DIREITO DE REVOGAÇÃO DO CONSENTIMENTO
3.x. ONDE ARMAZENAMOS AS INFORMAÇÕES
3.x. DO PERÍODO DE ARMAZENAMENTO DOS DADOS
3.x. QUEM TERÁ ACESSO ÀS INFORMAÇÕES
3.x. COMO PROTEGEMOS AS SUAS INFORMAÇÕES
3.x. DA ISENÇÃO DE RESPONSABILIDADE QUANTO ÀS INFORMAÇÕES PRESTADAS POR OUTROS USUÁRIOS
- INFORMAÇÕES ADICIONAIS SOBRE O TRATAMENTO DOS DADOS
- ALTERAÇÕES NA POLÍTICA DE PRIVACIDADE
- EXCLUSÃO DOS DADOS
- DO DIREITO APLICÁVEL E DO FORO
- E-MAIL PARA DÚVIDA, SUGESTÃO OU RECLAMAÇÃO
Para startups que desejam estruturar uma política de privacidade ou buscam adequação completa à LGPD, recomenda-se sempre a consultoria jurídica especializada, que pode adaptar as orientações gerais às especificidades de cada negócio e setor de atuação.
*Alexandre Caputo, advogado, sócio do escritório Caputo Duarte Advogados; MBA em Venture Capital, Private Equity e Investimento em Startups pela FGV/SP; Pós-graduado em Direito Societário pela Escola Brasileira de Direito; Pós-Graduado em Contratos, Direito Imobiliário e Responsabilidade Civil pela PUCRS; Pós-graduado em Direito Público pelo IDC; Vice-presidente na Associação Gaúcha de Startups (AGS); Palestrante em direito, tecnologia e inovação; Mentor em programas de empreendedorismo e desenvolvimento de negócios inovadores. Atua na área empresarial com ênfase em Startups e empresas de base tecnológica. www.caputoadvogados.combr
