Quais medidas para adequar uma startup à lei geral de proteção de dados?

Lei Geral de Proteção de Dados

Como adequar sua startup à Lei Geral de Proteção de Dados Pessoais?

Nosso país deu um importante passo em direção à seguridade legal digital e à proteção do direito de privacidade de todos os cidadãos com a aprovação  da regulamentação acerca do tratamento de dados no país, com a nova Lei Geral de Proteção de Dados Pessoais (LGPD). 

Ao ter uma Lei Geral de Proteção de Dados, o Brasil entra para o rol de mais de 100 países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados. A LGPD cria todo um novo regramento para o uso de dados pessoais no Brasil, tanto no âmbito online quanto o offine, nos setores privados e públicos.

Das StartUps a grandes empresas já consolidadas, passando por pequenos comércios que armazenam informações dos consumidores, todas, sem exceção, devem se adequar aos requisitos formais propostos pela Lei Geral de Proteção de Dados até a sua entrada em vigência, em 2020. 

Ou seja, veremos no Brasil alterações nos tratamentos de dados e atualizações das Políticas de Privacidade daquelas plataformas nas quais somos registrados, como vimos quando a Europa adotou sua regulamentação geral. Poderá ser uma tarefa árdua e custosa, principalmente para àquelas empresas que deixarem para o final do período de transição, que foi amplamente visto no contexto da Lei Geral de Proteção de Dados da União Europeia (GDPR), versão atualizada da lei de proteção de dados europeia, aprovada em 2018.

Principais atores previstos pela LGPD

A lei prescreve os diferentes atores envolvidos no tratamento de dados e as suas responsabilidades dentro da empresa: o titular, o controlador, o operador e o encarregado:

    • Titular: é o sujeito protegido pela lei, é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
    • Controlador: pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais; 
    • Operador: pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador;
    • Encarregado: é a pessoa natural, nomeada pelo controlador (empregado ou contratado externo), que atuará como um canal de comunicação;
    • Autoridade Nacional de Proteção de Dados (ANPD): um dos pontos mais relevantes estabelecidos pela lei é a criação de uma autoridade pública autônoma e independente para a supervisão da aplicação de lei, a ANPD. A Autoridade poderá estabelecer diretrizes para a promoção da proteção de dados pessoais no Brasil. Em resumo, esta deverá zelar pela proteção dos dados pessoais, elaborar a “Política Nacional de Proteção de Dados e da Privacidade”, como definida pela lei, fiscalizar e aplicar sanções em caso de violação às leis pertinentes, atender petições de titulares de dados contra os responsáveis pelo seu tratamento, regulamentar a matérias sobre proteção de dados, entre outras atividades. A LGDP prevê também a criação do Conselho Nacional de Proteção de Dados, órgão consultivo, com composição multissetorial, que pode propor diretrizes e estratégias, realizar estudos e disseminar conhecimento sobre proteção de dados no Brasil.

Controlador, operador  e encarregado na Lei Geral de Proteção de Dados Pessoais

O controlador e o operador podem ser solidariamente responsabilizados por incidentes de segurança da informação e/ou o uso indevido e não autorizado dos dados, ou pela não conformidade com a lei. Todavia, a responsabilidade do operador, àquele que pratica o tratamento de dados em nome e a mando do controlador, pode ser limitada às suas obrigações contratuais e de segurança da informação, caso não viole as regras impostas pela LGPD. Importante, portanto, definir se uma empresa deve ser encarada como um controlador ou um operador, ou ambos, para definir os limites da sua responsabilidade.

O encarregado deve ser o responsável dentro da instituição pela supervisão do cumprimento das regras previstas na lei e orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. Uma leitura inicial da LGPD permite concluir que toda e qualquer entidade que trate dados pessoais deve indicar um encarregado, mas a Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa.

O controlador também deve produzir um documento que contenha a descrição dos processos de tratamento de dados pessoais que podem gerar riscos aos direitos dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação desses riscos. Este documento é conceituado como um relatório de impacto à proteção de dados pessoais. Esta documentação poderá ser obrigatória em situações já caracterizadas como de risco ou, a pedido da Autoridade, quando o tratamento de dados for baseado no legítimo interesse. Ela permite, além do mapeamento dos riscos, uma efetiva fotografia do status da conformidade regulatória da entidade. 

Agentes de tratamento de dados e regulamentação da Autoridade Nacional de Proteção de Dados (ANPD)

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. A Autoridade Nacional poderá dispor sobre padrões técnicos mínimos, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia.

A LGPD claramente incentiva a adoção de códigos de conduta setoriais e de certificações que possam garantir a observância das regras da norma. Determinados setores da sociedade podem criar seus próprios padrões de conduta no uso de dados, que podem até mesmo ser superiores à lei. Estes devem ser previamente autorizados pela Autoridade e conferir métodos que demonstrem o aferimento das condutas. Ainda, entidades podem se qualificar perante a Autoridade para certificar que outras instituições estão em conformidade com a lei geral.

Torna-se obrigatório adotar desde a concepção de serviços, produtos e modelos de negócio a prática de se garantir direitos de proteção à privacidade e aos dados pessoais. Os princípios gerais da LGPD e os padrões de segurança devem, portanto, ser observados desde a concepção até a execução e oferecimento do produto e serviço. Ainda, os controles de privacidade, popularmente acessíveis por meio de dashboards em plataformas online, devem ser por padrão os mais protetivos, cabendo ao titulares exibilizá-los, caso assim deseje.

No texto da Lei é possível identificar obrigações da empresa na hora da coleta desses dados, como a necessidade de consentimento dos usuários, e a obrigação de ofertar opções para visualização, correção e exclusão dos dados. 

A empresa deve informar para quê quer coletar os dados, sempre avisar quando houver mudanças nessas questões e solicitar um novo consentimento do usuário. A lei também determina que as empresas que fazem coleta e tratamento de dados pessoais devem fazer isso apenas com os dados essenciais para seus serviços.

Como pode funcionar a coleta de dados dos clientes

  • Quais e de que maneira serão os dados coletados pelo site ou plataforma; 
  • O modo e o tempo de armazenamento; 
  • E as possibilidades de revelação ou fornecimento desses dados a terceiros (seja por ordem judicial ou por comercialização). 

É, também, de muita importância a presença de um meio para a resolução de dúvidas e ouvidoria de críticas e sugestões, o chamado Serviço de Atendimento ao Cliente (SAC), mesmo que esse serviço seja feito de forma simples.

Há a necessidade de um conhecimento por parte da empresa do fluxo de dados, da reestruturação das políticas de privacidade, da melhora no sistema de descadastramento e da nomeação de responsáveis pelos dados. Não esqueça também de atualizar seus contratos, seja com clientes ou com parceiros!

Toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento e com quem os dados podem ser eventualmente compartilhados, metodologia conhecida como data mapping.

Medidas para que empresa se adeque à Lei Geral de Proteção de Dados

Há a necessidade de um conhecimento por parte da empresa do fluxo de dados, da reestruturação das políticas de privacidade, da melhora no sistema de descadastramento e da nomeação de responsáveis pelos dados. Não esqueça também de atualizar seus contratos, seja com clientes ou com parceiros!

Neste contexto, tanto os Termos de Uso como as Políticas de Privacidade são indispensáveis para iniciativas que lidem com interações entre pessoas (usuários) e aplicativos, sites, e-commerces, plataformas virtuais, softwares, enfim, vários serviços ligados à internet.

Logo, devem as empresas adequar seus Termos de Uso e Políticas de Privacidade para que fiquem de acordo com as determinações legais, até porque a LGPD prevê a criação de uma agência governamental, cujo objetivo será fiscalizar o efetivo cumprimento das determinações, sob pena de multas e indenizações às vítimas, por exemplo.

Uma ótima maneira de se informar acerca das cláusulas necessárias para um tipo de plataforma é verificar os Termos de Uso e Políticas de Privacidade de empresas semelhantes que sejam conhecidas e tenham credibilidade, utilizando-as como base, tal qual o Facebook (para redes sociais) ou o Mercado Livre (para plataformas de intermediação de vendas).

Mesmo com todo esse conhecimento em mãos, o ideal é um acompanhamento profissional que se certifique do correto amoldamento dos documentos às nuances do modelo de negócio, a fim de assegurar a segurança jurídica necessária para um bom desenvolvimento do empreendimento. Então, a recomendação é que seja buscado auxílio de assistência jurídica especializada, pois nesses casos o conhecimento da legislação é essencial para proteger seu negócio.

Algumas mudanças no mindset dos funcionários podem ser medidas fundamentais para entrar no ritmo da nova legislação. Além disso, o compliance pode evitar muita dor de cabeça quando a lei começar a valer firmemente. É fundamental você adequar todos os seus programas e serviços para a correta proteção e manuseio desses dados, mas técnicas como as mencionadas anteriormente, do mindset da empresa e do compliance podem te ajudar a não passar por nenhum sufoco.

Concluindo…

Espero que esse artigo tenha lhe ajudado a entender melhor sobre as medidas para adequar uma Startup á LGPD, tema que deve ser cada vez mais falado e discutido em nosso cotidiano, pois quase todo mundo que navega na internet é afetado por eles diariamente. As  recentes medidas legais voltadas para o assunto apenas reforçam sua inegável importância para as pessoas imersas em um mundo repleto de trocas de informações e interações virtuais.

 

Por: Rafael Caus Smentkoski

 

AINDA RESTA ALGUMA DÚVIDA?

Converse com a equipe especializada da Locus Iuris, que está pronta para entender suas necessidades específicas e produzir recomendações úteis ao seu negócio e a sua sociedade.

 

Dúvidas comuns sobre a Lei Geral de Proteção de Dados:

VEJA TAMBÉM

Nós usamos cookies e outras tecnologias semelhantes para melhorar a sua experiência com o nosso site. Ao navegar pelas páginas, você declara estar de acordo com a nossa Política de Privacidade.