Ana Carolina Heringer Castellano
Matheus Tormen Fornara
A Startup – do inglês “começar do zero” – é uma empresa focada em inovação que começa pequena, mas que, devido ao seu modelo de negócio agressivo e disruptivo, tem capacidade de multiplicar seu valor de mercado em um curto espaço de tempo, sem necessariamente aportar o mesmo valor em recursos. É um conceito recente de negócios de alto risco, mas com grande potencial de rentabilidade e escalabilidade, que tem se espalhado rapidamente entre empreendedores ao redor do mundo.
Antes de mais nada, é importante notar que nem todas as startups têm seu foco principal em tecnologia. Muitas dessas empresas inovadoras atuam em outros ramos, como prestação de serviços, alimentação, gestão, etc. O que torna uma startup uma empresa tech é o foco principal de suas atividades. Exemplificando: a Uber, por mais que promova o transporte de passageiros – e até de cargas – não vem sendo considerada uma empresa de logística, mas sim uma tech, vez que sua atuação principal é na disponibilização de aplicativo que funciona como uma plataforma interligando usuários e fornecedores[1]. Nesse caso, a tecnologia utilizada pela empresa foi exatamente o game changer que a projetou como fenômeno mundial.
Visto isso, destaca-se que tanto as techs como as demais startups estão abarcadas pelas preocupações e provocações deste artigo. No mundo hiperconectado em que vivemos, é praticamente impossível – e desaconselhável – que uma empresa de sucesso não esteja presente em ambientes virtuais. Seja para atuação principal, como no caso das techs, ou para angariar mais clientes e atrair investidores, as ferramentas digitais são fortes aliadas no desenvolvimento de empreendimentos inovadores.
Atualmente, o Brasil tem experimentado um período favorável à criação e expansão das chamadas startups. De acordo com levantamento da Associação Brasileira de Startups (ABStartups), até dezembro de 2015 o número de empresas em estágio inicial no Brasil chegou a 4.151, que representa um crescimento de 18,5% em apenas seis meses. Outro estudo, realizado em escala global pela empresa Compass em 2015, apontou São Paulo como a 12ª cidade mais favorável para a criação de novos empreendimentos – tornando-a a melhor da América Latina.
A tendência desses números é só aumentar. Isso porque, em 27 de outubro de 2016, foi sancionada a Lei Complementar 155, intitulada “Crescer sem Medo”, que define a estrutura de investimento anjo – modalidade de aporte de capital em que indivíduos com mais experiência e recursos financiam o desenvolvimento da ideia, muitas vezes ainda na cabeça do empreendedor – e oferece maior segurança jurídica a estes investidores. Com a nova lei, a relação de investimento passa a ser contratual e não societária. Dessa forma, os sócios “fundadores” seguirão no comando da administração da empresa, bem como serão os únicos responsáveis pelas dívidas sociais e estarão sujeitos à desconsideração da personalidade jurídica, afastando o investidor-anjo desse risco. A lei possibilita, ainda, a existência de incentivos fiscais para os investidores-anjo, a exemplo do que já ocorre em diversos países mais avançados nesse tipo de investimento.
Apesar das diversas críticas e incertezas sobre a legislação, fato é que ela muito provavelmente abrirá as portas para investimentos em startups. Assim, com capital em mãos, escritórios modernos, marketing inteligente e uma equipe jovem e capacitada, essas empresas vão conquistando o seu lugar no mercado brasileiro. No entanto, em meio a esse ambiente excitante, inovador e disruptivo, os jovens empreendedores tendem a se esquecer de um detalhe extremamente importante: compliance, isto é, a conformidade com leis e regulamentos externos e internos. Esse conceito – ainda um tanto complexo e abstrato para muitos – à primeira vista pode parecer uma preocupação para “gente grande”, mas passa a ser um elemento cada vez mais necessário no plano de negócios de uma startup, especialmente no que concerne a temas como proteção de dados e cibersegurança.
Seja para melhorar seus serviços, ou para obter renda por meio da comercialização de dados, quase toda empresa que opera no universo digital está atrás de uma coisa: mais dados de seus consumidores. Logo, ao pedir um Uber, escutar uma música, fazer uma compra online ou monitorar uma condição de saúde, os usuários colocam à disposição de companhias privadas uma quantia sem precedentes de informação. Isso porque, gradualmente, essas empresas perceberam que as “pegadas digitais” deixadas pelos indivíduos após uma venda ou prestação de serviço, se analisadas agregadamente sob um método particular, podem revelar um significado maior que a simples soma de suas partes. Com essa enorme quantidade de dados, agora é possível extrair novas ideias e perspectivas sobre a realidade, as quais dão ensejo à criação de produtos e serviços inovadores, muitas vezes apresentados sem custo monetário ao consumidor.
[formulario_fulllist]
Todavia, nessa corrida desenfreada pela coleta de informação sobre os clientes, acaba-se esbarrando em direitos fundamentais como o direito à privacidade e à identidade. É por essa razão que, nos dias atuais, estamos experimentando um uma onda global de preocupação com temas relacionados à proteção de dados, a fim de estabelecer regras e princípios para a tutela de direitos. Essa preocupação é cada vez mais urgente, especialmente quando nos deparamos com acontecimentos como os desse mês de maio, em que o vírus “WannaCryptor” atingiu, por meio de um ciberataque em massa, sistemas de entidades públicas e privadas em 74 países, comprometendo milhares de dados armazenados.
Quando o foco da atenção está em grandes bancos ou companhias, como Facebook ou Google, pode ser tentador para o fundador de uma startup deixar de lado as preocupações com proteção de dados, cibersegurança e infraestrutura digital. Entretanto, esse é um caminho que deve ser trilhado com cautela pelos novatos no mercado. Em 2015, 43% dos ataques de spear-phishing – aquele e-mail que parece ter sido enviado por um indivíduo ou empresa conhecido, mas que é, na verdade, um engodo para obter números dos seus cartões de crédito, contas bancárias e senhas contidos no seu PC – foram praticados contra pequenas empresas com menos de 250 empregados[2].
Diante desse cenário, é preciso ter em mente que as consequências de um mau planejamento em práticas de compliance estão no campo não só da responsabilidade civil, cujos efeitos podem ser devastadores para uma empresa nascente, mas também na obtenção de parcerias ou investimentos de fundos estrangeiros, que buscam, cada vez mais, empresas preocupadas com o mapeamento de riscos para criação ou refinamento de políticas de governança, gestão de crise e otimização de desempenho de negócios.
Na Europa, as startups já começam a ficar mais atentas a tais questões. A nova Regulação de Proteção de Dados europeia (GDPR), prevista para entrar em vigor em 2018, prevê o princípio do privacy by design, i.e, a incorporação da privacidade e da proteção de dados como elementos intrínsecos, empregando-se uma abordagem proativa, que antecipe e previna eventos invasores antes que eles aconteçam. Nesse sentido, a nova regulação prevê um forte exercício de compliance e se aplica tanto a pessoas físicas quanto a empresas dos mais variados tamanhos, com multas por descumprimento desses preceitos chegando a 20 milhões de euros ou 4% do faturamento total.
O Brasil, por sua vez, ainda que a passos lentos, também caminha na direção de uma diretriz específica de proteção de dados. Atualmente tramita na Câmara o Projeto de Lei nº 5276 de 2016 que, a exemplo de diversas legislações internacionais, disciplina o tratamento de dados pessoais por pessoa natural ou pessoa jurídica de direito público ou privado. À semelhança da legislação europeia, o dispositivo prevê, dentre outras coisas, que o tratamento de dados pessoais só pode ocorrer pelo consentimento livre e inequívoco do titular ou por obrigação legal e estabelece a responsabilidade civil daquele que, no exercício do tratamento de dados pessoais, causar dano patrimonial ou moral.
Enquanto não aprovada lei específica, a proteção de dados eletrônicos é disciplinada pelo Marco Civil da Internet, Decreto nº 8.771/16, e Código de Defesa do Consumidor. Embora não expressamente previsto na lei brasileira, o princípio da privacidade by design está de acordo com a ratio legis do Marco Civil da Internet no que concerne à proteção de dados pessoais, ao princípio da finalidade que rege seu tratamento e à necessidade de obtenção de consentimento do usuário para tal finalidade. Ademais, o Decreto nº 8.771/2016, que regulamenta a referida lei, estabelece, em seu artigo 13, padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas, impondo aos provedores de conexão e de aplicações obrigações sobre padrões de segurança, tais como: o acesso aos dados mediante a definição de determinadas responsabilidades; a utilização de mecanismos de autenticação de acesso aos registros; a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações; e o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.
Não há dúvidas de que, em comparação com as empresas consolidadas no mercado, as startups dispõem de menos recursos financeiros e de pessoal para buscar acompanhamento jurídico e técnico especializado para orientar seus trabalhos. Assim, diversas ferramentas de proteção disponíveis no mercado, como softwares, seguros contra vazamento de dados e serviços de assessoria de segurança da informação acabam ficando de fora de seu orçamento. No entanto, é preciso lembrar que essas empresas têm uma clara vantagem em relação ao negócios maiores e mais antigos: elas já nasceram na era da informatização, e, ao contrário de suas veteranas, não tiveram que arcar com os diversos ônus de uma transição do analógico para o digital. Assim, hoje em dia, já é possível reduzir os custos desses mecanismos protetivos por meio de incubadoras de negócios, coletivos de startups, regtechs e outras maneiras igualmente inovadoras de garantir a segurança virtual, que não a contratação direta de serviços.
Portanto, de uma forma geral, fica o alerta: os empreendedores que pretendem trilhar o corajoso, porém arriscado caminho de uma startup devem, desde o início de seu negócio, pensar em políticas de compliance e observar que, ainda que incipiente, o Brasil dispõe de normas relativas à privacidade de dados cujo respeito é fundamental para o sucesso do empreendimento. Apesar dos custos, é preciso investir em planejamento e ferramentas tecnológicas avançadas que protejam seus sistemas e banco de dados e garantam a proteção das informações do usuário. Esse esforço é fundamental para que a empresa cresça no cenário de riscos inerente à atuação no campo digital e, cada vez mais, se tornará um diferencial na obtenção de investimentos de Private Equity e Capital de risco.
—————————
[1] O tema ainda é bastante controverso e apresenta repercussões importantes. Recentemente, em um caso trazido por motoristas de taxi espanhóis, o Advogado Geral da União Europeia Maciej Szpunar pronunciou-se perante a CJEU, afirmando que a Uber é uma companhia de transportes e não um serviço de informações. Ainda que não sejam vinculativas, a Corte tem por hábito seguir as indicações do Advogado Geral. No Brasil, a natureza jurídica dessa empresa também vem sendo discutida e tem influência direta na competência para legislar sobre o tema, como ocorreu no debate sobre a constitucionalidade da Lei Municipal 16.279/2015, que proibia o Uber de funcionar na cidade de São Paulo.
[2] SYMANTEC, INTERNET SECURITY THREAT REPORT 20 (Apr. 2016) em https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf?aid=elq_&om_sem_kw=elq_17937803&om_ext_cid=biz_email_elq_&elqTrackId=283a3acdb3ff42f4a70ab5a9f236eb71&elqaid=2902&elqat=2