Como adequar sua startup à Lei Geral de Proteção de Dados Pessoais?
Nosso país deu um importante passo em direção à seguridade legal digital e à proteção do direito de privacidade de todos os cidadãos com a aprovação da regulamentação acerca do tratamento de dados no país, com a nova Lei Geral de Proteção de Dados Pessoais (LGPD).
Ao ter uma Lei Geral de Proteção de Dados, o Brasil entra para o rol de mais de 100 países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados. A LGPD cria todo um novo regramento para o uso de dados pessoais no Brasil, tanto no âmbito online quanto o offine, nos setores privados e públicos.
Das StartUps a grandes empresas já consolidadas, passando por pequenos comércios que armazenam informações dos consumidores, todas, sem exceção, devem se adequar aos requisitos formais propostos pela Lei Geral de Proteção de Dados até a sua entrada em vigência, em 2020.
Ou seja, veremos no Brasil alterações nos tratamentos de dados e atualizações das Políticas de Privacidade daquelas plataformas nas quais somos registrados, como vimos quando a Europa adotou sua regulamentação geral. Poderá ser uma tarefa árdua e custosa, principalmente para àquelas empresas que deixarem para o final do período de transição, que foi amplamente visto no contexto da Lei Geral de Proteção de Dados da União Europeia (GDPR), versão atualizada da lei de proteção de dados europeia, aprovada em 2018.
Principais atores previstos pela LGPD
A lei prescreve os diferentes atores envolvidos no tratamento de dados e as suas responsabilidades dentro da empresa: o titular, o controlador, o operador e o encarregado:
-
- Titular: é o sujeito protegido pela lei, é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Controlador: pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador;
- Encarregado: é a pessoa natural, nomeada pelo controlador (empregado ou contratado externo), que atuará como um canal de comunicação;
- Autoridade Nacional de Proteção de Dados (ANPD): um dos pontos mais relevantes estabelecidos pela lei é a criação de uma autoridade pública autônoma e independente para a supervisão da aplicação de lei, a ANPD. A Autoridade poderá estabelecer diretrizes para a promoção da proteção de dados pessoais no Brasil. Em resumo, esta deverá zelar pela proteção dos dados pessoais, elaborar a “Política Nacional de Proteção de Dados e da Privacidade”, como definida pela lei, fiscalizar e aplicar sanções em caso de violação às leis pertinentes, atender petições de titulares de dados contra os responsáveis pelo seu tratamento, regulamentar a matérias sobre proteção de dados, entre outras atividades. A LGDP prevê também a criação do Conselho Nacional de Proteção de Dados, órgão consultivo, com composição multissetorial, que pode propor diretrizes e estratégias, realizar estudos e disseminar conhecimento sobre proteção de dados no Brasil.
Controlador, operador e encarregado na Lei Geral de Proteção de Dados Pessoais
O controlador e o operador podem ser solidariamente responsabilizados por incidentes de segurança da informação e/ou o uso indevido e não autorizado dos dados, ou pela não conformidade com a lei. Todavia, a responsabilidade do operador, àquele que pratica o tratamento de dados em nome e a mando do controlador, pode ser limitada às suas obrigações contratuais e de segurança da informação, caso não viole as regras impostas pela LGPD. Importante, portanto, definir se uma empresa deve ser encarada como um controlador ou um operador, ou ambos, para definir os limites da sua responsabilidade.
O encarregado deve ser o responsável dentro da instituição pela supervisão do cumprimento das regras previstas na lei e orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. Uma leitura inicial da LGPD permite concluir que toda e qualquer entidade que trate dados pessoais deve indicar um encarregado, mas a Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa.
O controlador também deve produzir um documento que contenha a descrição dos processos de tratamento de dados pessoais que podem gerar riscos aos direitos dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação desses riscos. Este documento é conceituado como um relatório de impacto à proteção de dados pessoais. Esta documentação poderá ser obrigatória em situações já caracterizadas como de risco ou, a pedido da Autoridade, quando o tratamento de dados for baseado no legítimo interesse. Ela permite, além do mapeamento dos riscos, uma efetiva fotografia do status da conformidade regulatória da entidade.
Agentes de tratamento de dados e regulamentação da Autoridade Nacional de Proteção de Dados (ANPD)
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. A Autoridade Nacional poderá dispor sobre padrões técnicos mínimos, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia.
A LGPD claramente incentiva a adoção de códigos de conduta setoriais e de certificações que possam garantir a observância das regras da norma. Determinados setores da sociedade podem criar seus próprios padrões de conduta no uso de dados, que podem até mesmo ser superiores à lei. Estes devem ser previamente autorizados pela Autoridade e conferir métodos que demonstrem o aferimento das condutas. Ainda, entidades podem se qualificar perante a Autoridade para certificar que outras instituições estão em conformidade com a lei geral.
Torna-se obrigatório adotar desde a concepção de serviços, produtos e modelos de negócio a prática de se garantir direitos de proteção à privacidade e aos dados pessoais. Os princípios gerais da LGPD e os padrões de segurança devem, portanto, ser observados desde a concepção até a execução e oferecimento do produto e serviço. Ainda, os controles de privacidade, popularmente acessíveis por meio de dashboards em plataformas online, devem ser por padrão os mais protetivos, cabendo ao titulares exibilizá-los, caso assim deseje.
No texto da Lei é possível identificar obrigações da empresa na hora da coleta desses dados, como a necessidade de consentimento dos usuários, e a obrigação de ofertar opções para visualização, correção e exclusão dos dados.
A empresa deve informar para quê quer coletar os dados, sempre avisar quando houver mudanças nessas questões e solicitar um novo consentimento do usuário. A lei também determina que as empresas que fazem coleta e tratamento de dados pessoais devem fazer isso apenas com os dados essenciais para seus serviços.
Como pode funcionar a coleta de dados dos clientes
- Quais e de que maneira serão os dados coletados pelo site ou plataforma;
- O modo e o tempo de armazenamento;
- E as possibilidades de revelação ou fornecimento desses dados a terceiros (seja por ordem judicial ou por comercialização).
É, também, de muita importância a presença de um meio para a resolução de dúvidas e ouvidoria de críticas e sugestões, o chamado Serviço de Atendimento ao Cliente (SAC), mesmo que esse serviço seja feito de forma simples.
Há a necessidade de um conhecimento por parte da empresa do fluxo de dados, da reestruturação das políticas de privacidade, da melhora no sistema de descadastramento e da nomeação de responsáveis pelos dados. Não esqueça também de atualizar seus contratos, seja com clientes ou com parceiros!
Toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento e com quem os dados podem ser eventualmente compartilhados, metodologia conhecida como data mapping.
Medidas para que empresa se adeque à Lei Geral de Proteção de Dados
Há a necessidade de um conhecimento por parte da empresa do fluxo de dados, da reestruturação das políticas de privacidade, da melhora no sistema de descadastramento e da nomeação de responsáveis pelos dados. Não esqueça também de atualizar seus contratos, seja com clientes ou com parceiros!
Neste contexto, tanto os Termos de Uso como as Políticas de Privacidade são indispensáveis para iniciativas que lidem com interações entre pessoas (usuários) e aplicativos, sites, e-commerces, plataformas virtuais, softwares, enfim, vários serviços ligados à internet.
Logo, devem as empresas adequar seus Termos de Uso e Políticas de Privacidade para que fiquem de acordo com as determinações legais, até porque a LGPD prevê a criação de uma agência governamental, cujo objetivo será fiscalizar o efetivo cumprimento das determinações, sob pena de multas e indenizações às vítimas, por exemplo.
Uma ótima maneira de se informar acerca das cláusulas necessárias para um tipo de plataforma é verificar os Termos de Uso e Políticas de Privacidade de empresas semelhantes que sejam conhecidas e tenham credibilidade, utilizando-as como base, tal qual o Facebook (para redes sociais) ou o Mercado Livre (para plataformas de intermediação de vendas).
Mesmo com todo esse conhecimento em mãos, o ideal é um acompanhamento profissional que se certifique do correto amoldamento dos documentos às nuances do modelo de negócio, a fim de assegurar a segurança jurídica necessária para um bom desenvolvimento do empreendimento. Então, a recomendação é que seja buscado auxílio de assistência jurídica especializada, pois nesses casos o conhecimento da legislação é essencial para proteger seu negócio.
Algumas mudanças no mindset dos funcionários podem ser medidas fundamentais para entrar no ritmo da nova legislação. Além disso, o compliance pode evitar muita dor de cabeça quando a lei começar a valer firmemente. É fundamental você adequar todos os seus programas e serviços para a correta proteção e manuseio desses dados, mas técnicas como as mencionadas anteriormente, do mindset da empresa e do compliance podem te ajudar a não passar por nenhum sufoco.
Concluindo…
Espero que esse artigo tenha lhe ajudado a entender melhor sobre as medidas para adequar uma Startup á LGPD, tema que deve ser cada vez mais falado e discutido em nosso cotidiano, pois quase todo mundo que navega na internet é afetado por eles diariamente. As recentes medidas legais voltadas para o assunto apenas reforçam sua inegável importância para as pessoas imersas em um mundo repleto de trocas de informações e interações virtuais.
Por: Rafael Caus Smentkoski
AINDA RESTA ALGUMA DÚVIDA?
Converse com a equipe especializada da Locus Iuris, que está pronta para entender suas necessidades específicas e produzir recomendações úteis ao seu negócio e a sua sociedade.
Dúvidas comuns sobre a Lei Geral de Proteção de Dados:
-
O que são dados pessoais?
- Dados Pessoais
- Proteção de dados: a LGPD como um direito do consumidor (dados pessoais sensíveis)
- Toda informação (imagens, textos, etc.) que pode ser analisada e categorizada para determinado fim.
-
O que é tratamento de dados?
- tratamento de dados, que foi definido como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”
- Outro conceito-chave para a compreensão da lei é o de tratamento de dados, que foi definido como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5o, X).
-
Consentimento.
-
O que é a LGPD?
- Proteção de Dados: A LGPD como um direito do consumidor
A LGPD cria toda um novo regramento para o uso de dados pessoais no Brasil, tanto no âmbito online quanto o offine, nos setores privados e públicos. - Ao ter uma Lei Geral, o Brasil entra para o rol de mais de 100 países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados.
- Proteção de Dados: A LGPD como um direito do consumidor
-
O que são Termos de Uso e Política de Privacidade?
- Efeitos práticos dos termos de uso e das políticas de privacidade Termos de uso e políticas de privacidade: o que são e como nos afetam Proteção de Dados: A LGPD como um direito do consumidor (Termos de Uso)
- O que levar em conta na elaboração dos termos de uso e das políticas de privacidade do seu negócio
- Como evitar problemas judiciais no ambiente online: termo de uso e políticas de privacidade
-
O que é GDPR (General Data Protection Regulation)?
- Efeitos para as startups.
- A lei é válida para quem?
- Quem são os atores da LGPD?
- Quais são os requisitos formais propostos pela LGPD?
- Termos de uso e políticas de privacidade: proteção e crescimento para o seu negócio
- Relação com os organismos de defesa do consumidor.
- Quem é a autoridade nacional?
- Compliance. + compliance de dados
- Quais os princípios que norteiam a lei?
- A parte inicial da Lei Geral de Proteção de Dados contém igualmente os princípios que devem orientar o tratamento de dados. Trata-se de parte importantíssima da nova lei, uma vez que tais princípios auxiliarão a compreensão de muitas das regras que serão examinadas posteriormente.
- A LGPD ainda teve o cuidado de atribuir ao controlador o ônus da prova do consentimento (art. 8o, § 2o), igualmente ressaltando que o consentimento não será válido se houver qualquer vício de vontade (art. 8o, § 3o). Merece registro que o RGPD preocupa-se com os casos nos quais existe desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, especialmente quando este for uma autoridade pública (Considerando 43). Embora a LGPD não faça menção explícita a tais situações, é inequívoco que a assimetria entre as partes deve ser considerada para efeitos de se saber se o consentimento realmente se deu de forma livre.
- Como se observa, o direito à informação está intrinsecamente relacionado ao princípio da transparência e prestação de contas e somente não é absoluto em razão da ressalva mencionada no inciso II, em relação aos segredos comercial e industrial. Tal questão tem especial relevância para as discussões sobre a utilização de algoritmos e inteligência artificial para o tratamento de dados, o que será abordado posteriormente com maior cuidado.