Internacionalizar sua Startup: O que você precisa saber sobre Privacidade e Proteção de Dados?

Ao globalizar sua Startup você maximiza suas oportunidades. Mas há desafios a ultrapassar.
Globalizando sua Startup: Privacidade e Proteção de Dados

O sonho de todo empreendedor é ver sua empresa crescer, expandindo para novos mercados. A internacionalização é um passo adicional nesse processo, onde removemos todas as barreiras geográficas e possibilitamos o acesso aos nossos produtos e serviços a um mercado sem fronteiras e imensamente maior.

As possibilidades são muitas!

No entanto, esse processo não é isento de desafios, especialmente no que diz respeito às leis e regulamentações de privacidade que variam significativamente entre os países. Hoje são mais de 120 países com regulamentações ou leis de Privacidade e Proteção de Dados. Escolher qual aplicar (mais abrangente) é uma preocupação que os empreendedores devem ter, bem como o que “tropicalizar” para os mercados-alvo.

Um projeto de adequação não precisa ser consideravelmente caro ou complexo. Boa parte das adequações começa em processos de negócio e cascateiam então para aplicações e ferramentas. Existe uma miríade de soluções para todos os portes e objetivos de proteção. O que irá ditar a forma de implementação é a capacidade, o risco e a necessidade de cada organização.

Este artigo aborda a importância da conformidade legal, focando nos direitos dos titulares, transferências internacionais de dados e a necessidade de um DPO (Data Protection Officer / Encarregado) especializado.

Privacidade e Proteção de Dados – Lei ou Regulamentação: Primeira razão pela qual se adequar

Organizações dependem de seus clientes. Clientes valorizam marcas por sua ética nos negócios e por proteger seus dados pessoais. Não há nada de maior valor em uma empresa que sua imagem. Cumprir a lei é uma premissa de negócios e responsabilidade perante a sociedade. Empresas envolvidas em vazamento de dados, incidentes de privacidade ou tratamentos inadequados publicizados perdem valor e confiança do mercado. Virtualmente, todas as autoridades divulgam os resultados de suas investigações ao público em geral. A conformidade com as leis e regulamentações de Privacidade locais é fundamental para evitar multas pesadas, danos à reputação e, em última análise, o impacto negativo aos negócios. Na GDPR, a multa pode chegar a 4% do faturamento anual global ou 20 milhões de Euros (o que for maior) e, na LGPD, até 2% do faturamento do conglomerado no Brasil ou 50 milhões de reais, por infração (o que for maior). Importante ressaltar que um incidente pode ser causado por uma ou várias infrações. Imagine todo o esforço investido até então para ver sua receita ir embora no pagamento de multas e, clientes abandonando sua plataforma por falta de confiança ou por não cumprir os requisitos mínimos exigidos pelos times de compliance e compras? Assim, a primeira razão para se adequar é que os cuidados com Privacidade e Proteção de Dados são requisitos legais para operar, no Brasil, ou no exterior. Tomar ações proativas, mesmo que minimamente, demonstra um compromisso com as leis e com o ecossistema social de cada país.

Aquisição e Manutenção de Clientes: Segunda razão pela qual manter-se em conformidade com leis e regulamentos de Privacidade – O Desenvolvimento da Confiança com seu ecossistema (fornecedores, colaboradores, parceiros, clientes e prospects)

Aquisição de novos clientes é um caminho difícil, muitas vezes oneroso e por vezes até tortuoso! Então, empreendedores não deveriam querer ver seu tempo e investimento desperdiçado.

Em pesquisa recente da Cisco (CISCO 2024 Data Privacy Benchmark Study), 94% dos entrevistados demonstram que suas empresas não comprariam seus produtos se estes não protegerem os dados pessoais de forma adequada.

Hoje em nossa consultoria, vemos diversos clientes chegando até nós pela necessidade imposta por contratantes multinacionais ou nacionais de grande porte de implementação de políticas e controles definidos para a proteção de dados pessoais.

Mas não precisamos ir muito longe. Hoje vemos a grande maioria das empresas, de todos os portes e setores, investindo em iniciativas para colocar o consumidor no centro dos processos. Com privacidade é proteção de dados, não é diferente. Clientes precisam saber que os dados fornecidos serão mantidos de forma segura e tratados dentro de um escopo pré-definido. Respeitar as boas práticas de privacidade e incorporá-las dentro dos processos empresariais passa a ser parte de uma jornada maior de Customer Experience.

Uma pesquisa da McKinsey indica que 71% dos clientes deixariam de transacionar com uma empresa caso ela tenha sido personagem em um incidente de dados. Esta mesma pesquisa nos conta que metade dos consumidores estão inclinados a confiar em empresas que limitam as solicitações de dados pessoais (ex. os dados coletados em formulários e cadastros) para aqueles que sejam estritamente necessários à provisão de um determinado produto ou serviço (a famosa “Minimização de Dados”).

Assim, percebemos que a percepção de confiança e uso ético de dados aumenta as chances de negócios globalmente. A conformidade, em muitas localidades, ainda é um diferencial competitivo.

Imagine duas startups oferecendo serviços semelhantes e concorrendo em compras: Uma tem políticas e procedimentos claros de privacidade, auditável enquanto a outra não possui nada formalizado. Até mesmo por uma estratégia de riscos do comprador, é provável que elija a primeira para incorporar a seu processo.

E lembre-se, o mercado exterior é mais maduro em privacidade do que o nacional. Há iniciativas muito anteriores à LGPD, como por exemplo, leis locais na França e Alemanha que datam da década de 70. A regulamentação mais recente anterior à GDPR – e bem ampla por sinal – é de 1995, ou seja, quase 30 anos de conhecimento adquirido.

Minimizar os impactos de incidentes de segurança: Terceira razão

A IBM divulgou recentemente o custo médio de uma violação de dados: USD 4,88 Milhões em 2024. Este custo inclui o downtime, o tratamento, a gestão pós-evento, multas e a perda de clientes. Para sua startup, isto não será, muito provavelmente, uma realidade numérica. Mas estar preparado para tratar um incidente, é importante.

É relevante que com sua startup crescendo, seus processos internos precisam estar mais “profissionais” para garantir uma entrega satisfatória. E isso precisa incluir estratégias de identificação, gestão e mitigação de riscos. Tente responder a si mesmo as perguntas a seguir:

• Se sua empresa fosse vítima de um ataque de ransomware, em quanto tempo estaria de volta à normalidade?

• Se seu ambiente fosse corrompido, dados ou disponibilidade de serviço, quanto tempo sua equipe levaria para restaurá-lo? Sua equipe saberia, pelo menos, por onde começar o troubleshooting?

• Se um equipamento de sua empresa ou de seu funcionário (ex. BYOD) fosse roubado ou perdido, como você garantiria que os dados lá armazenados não fossem utilizados por cybercriminosos?

• Se sua empresa quer implementar algo inovador na provisão de serviços (ex. GenAI, automações, serviços de terceiros, etc), seus funcionários sabem a quem buscar e o que considerar?

• Se sua Startup desenvolve código, vocês validam as bibliotecas Open Source incorporadas ao sistema principal?

• Se um funcionário insatisfeito, leva dados ou informação proprietária para fora do seu ambiente. Como você identifica este tipo de comportamento? Como você identifica comportamentos anormais dentro de seu ecossistema?

• Você teria recursos financeiros para arcar com eventuais indenizações à clientes?

Quanto mais titulares (clientes, funcionários, parceiros, etc) afetados pelo seu tratamento, maior o impacto de um incidente – seja por indisponibilidade da(s) plataforma(s), changes mal implementadas ou por violações de dados. Os incidentes e violações de dados vão acontecer, invariavelmente. As perguntas são quando e como.

Reforçando esta última afirmação, a pesquisa Acronis Cyberthreats Report demonstra que SMBs (Pequenas e Médias Empresas) enfrentam uma ameaça existencial. Isto porque SMBs (ou PMEs) não implementam os mesmos controles que grandes corporações e nem fazem uso de ferramentas mais robustas de cibersegurança. Os ataques vistos a partir de 2021 mostram um aumento em automação e ataques na cadeia de suprimentos de provedores de tecnologia. Os cibercriminosos usam as PMEs por motivos simples: São mais vulneráveis que corporações maiores.

E você mesmo pode se imaginar neste cenário. Você acredita que a sua Startup é alvo ou objeto de interesse de um grupo criminoso? Muito provavelmente você respondeu que não. E é justamente por isto que está em situação mais vulnerável. É necessário investir em processos e procedimentos de segurança, treinamento de força de trabalho e soluções de proteção de dados de nível corporativo. Mas mesmo com estes investimentos, as soluções não precisam ter custos estratosféricos. Há uma miríade de soluções para todas as necessidades e orçamentos. O importante é começar. Monitorar. Testar. Tratar. E estar pronto para a possibilidade de um incidente.

Outro ponto importante de se ter e de baixíssimo custo é um plano de resposta a incidentes e um plano de recuperação de negócios. Ter tais documentos disponíveis e seus responsáveis ajuda a organizar e agilizar o processo de reestabelecimento dos serviços impactados.

E lembre-se: Agir preventivamente é melhor e mais barato que atuar de forma reativa.

Ter um DPO e uma consultoria atuante suportando-o com equipes multidisciplinares: Quarta razão

Como mencionado no início deste artigo, são mais de 120 regulamentações ou leis de privacidade ao redor do mundo. As Startups precisam se familiarizar com as regras locais de cada mercado onde deseja atuar e os requisitos mandatórios de cada país, para então decidir a melhor forma de implementar (ou comprovar) os controles necessários e oferecer os devidos direitos dos titulares.

Para tal, o suporte de um (ou mais de um) DPO se faz necessário. Sua empresa pode internalizar um profissional ou contar com serviços de DPO-as-a-Service, especialistas em diversas áreas de conhecimento. Um DPO ativo e atuante pode ajudá-lo a questionar os processos existentes e sugerir as alterações que cobrirão as necessidades de cada localidade. O DPO também o ajudará a produzir as documentações e evidencias que comprovam que o tratamento está sendo feito dentro das normas locais e de acordo com os processos internos. Será o DPO o ponto de contato entre titulares e a empresa e entre a empresa e as autoridades governamentais. O DPO será seu braço direito em privacidade e proteção de dados e deverá atuar em parceria com sua equipe de TI.

Um dos exemplos práticos onde o DPO pode ajudar é na documentação dos processos de transferência internacional de dados. Tanto LGPD como GDPR, por exemplo, definem regras para que a transferências de dados para fora de suas fronteiras sejam feitas com controles que garantam o alto nível de proteção aos titulares. Neste caso, o DPO pode ajudar a identificar a melhor forma de garantir a conformidade, seja com cláusulas contratuais, com a avaliação de fornecedores, dos controles e salvaguardas oferecidas em outros países e etc.

Neste ponto, o importante é ter alguém com quem contar para entender e mitigar os riscos associados.

E o mais importante de tudo, Privacidade não deve ser vista como um obstáculo à inovação ou ao desenvolvimento. Não é “burocracia”. É, na verdade, a oportunidade das empresas se mostrarem responsáveis frente aos titulares de dados e à sociedade. É oportunidade de revisitar os processos e de entender como colocar o cliente em uma posição mais segura. Privacidade é requisito de sobrevivência no mercado atual. Não fique de fora!

DPO & LGPD: One-Stop-Shop para Projetos de Privacidade e Proteção de Dados

Se você precisa de ajuda para começar seu projeto de adequação ou para suportar a manutenção da conformidade de sua organização, entre em contato conosco e converse com um de nossos especialistas. Possuímos planos adequados a empresas de todos os segmentos e de todos os portes a partir de 10 horas mensais.

Para mais informações, basta acessar: https://www.machertecnologia.com.br/contact/

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO PARA A LGPD

DPO AS A SERVICE