Sua Startup e a LGPD: 8 passos práticos para ficar em conformidade com a lei e realizar tratamento de dados

Por Antônio Araújo Junior – Especialista em Direito Digital e Dr. Caio Godoy – Advogado especialista em Direito das Startups

A Lei Geral de Proteção de dados foi criada devido a tendência mundial de criar regras visando cuidado maior com a privacidade e os dados das pessoas físicas.

Mas, o que seria a LGPD?

A Lei 13.709/18, sancionada em agosto de 2018 pelo presidente Michel Temer, determina regras para captação, armazenamento, tratamento e compartilhamento de informações pessoais. O objetivo é garantir a privacidade dos dados das pessoas e permitir mais controle sobre eles.

Também conhecida como Lei Geral de Proteção de Dados (LGPD), ela estabelece 10 princípios legais de prevenção do uso de informações pessoais. Para mais, a lei garante direitos aos titulares dos dados, por exemplo: acesso, correção, exclusão, portabilidade e revogação do consentimento. É importante que a cláusula de consentimento seja clara para o usuário, evidenciando a forma como os dados da pessoa serão tratados.

De acordo com a legislação, os dados pessoais correspondem a qualquer informação referente à pessoa identificada ou identificável. Em outras palavras, qualquer indicativo que permita o reconhecimento de uma pessoa.

O documento altera o Marco Civil da Internet e tem aplicabilidade extraterritorial. Ou seja, toda entidade que tiver negócios no país deve se adequar a ela. Para isso, é preciso solicitar o consentimento do usuário para coleta de dados e a permissão para que os titulares requeiram a exclusão dessas informações.

Nesse contexto, as startups e as plataformas de tecnologia operam fortemente baseadas em dados e no contexto digital, sendo afetadas por estas mudanças. Entendendo a dificuldade das Startups de implementar e acompanhar o projeto conforme a Lei Geral de Proteção de Dados, o governo incluiu uma previsão da modificação no art. 55-J que dá um tratamento diferenciado para as startups e empresas de inovação. Tal alteração foi publicada pela Lei nº 13.853 de 2019, que alterou a LGPD.

Art. 55-J. Compete à ANPD:

(…)

XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei.

Mesmo com a delimitação em lei, os especialistas criticam o fato de uma eventual falta de critérios específicos para a autodeclaração como startups ou empresas de inovação na lei, que pode gerar incertezas sobre a aplicação da legislação para estas. Nisso, a insegurança jurídica torna-se ruim para o ecossistema jurídico, pois estes ficam sem saber se serão autuados ou não, com a penalidade que pode chegar a cinquenta milhões. Assim, o empreendedor pode-se tornar mais conservador e não usufruir de seu benefício, ou se tornar mais arrojado e falir sua empresa.

Independente disso, a lei afirma que é necessário as empresas se enquadrarem nas novas normas de tratamento de dados. Mas, para adequar sua startup a LGPD, é necessário saber: quais mudanças serão necessárias?

A primeira medida é a realização do mapeamento das informações pessoais tratadas, saber como foram coletadas, como estão armazenadas, quem tem acesso, se são compartilhadas com terceiros e quais são os riscos. As empresas devem garantir a segurança dos dados que possuem, bem como precisarão comunicar incidentes de falhas na preservação deles à Autoridade Nacional de Proteção aos Dados (ANPD), órgão regulador.

O tratamento dos dados de crianças e adolescentes também se modifica, sendo agora necessário o consentimento dos pais ou responsáveis antes da coleta das informações. Os dados sensíveis merecem atenção especial, pois são aqueles que se referem a raça, crença, pensamento político e informações genéticas e biométricas.

Medidas para que empresa se adeque à lei

Há a necessidade de um conhecimento por parte da empresa do fluxo de dados, da reestruturação das políticas de privacidade, da melhora no sistema de descadastramento e da nomeação de responsáveis pelos dados.

Neste contexto, tanto os Termos de Uso como as Políticas de Privacidade são indispensáveis para iniciativas que lidem com interações entre pessoas (usuários) e aplicativos, sites, e-commerces, plataformas virtuais, softwares, enfim, vários serviços ligados à internet.

Logo, devem as empresas adequar seus Termos de Uso e Políticas de Privacidade para que fiquem de acordo com as determinações legais, cabendo a ANPD função de fiscalizar e acompanhar as empresas.

Mesmo com todo esse conhecimento em mãos, o ideal é um acompanhamento profissional que se certifique do correto amoldamento dos documentos às nuances do modelo de negócio, a fim de assegurar a segurança jurídica necessária para um bom desenvolvimento do empreendimento. Então, a recomendação é que seja buscado auxílio de assistência jurídica especializada, pois nesses casos o conhecimento da legislação é essencial para proteger seu negócio. É exigido que dentro da equipe tenha um profissional DPO responsável por esta gestão de dados pessoais, bem como a nova norma estabelece a criação de um Comitê de Segurança da Informação dentro das organizações.

Algumas mudanças na mentalidade dos funcionários podem ser medidas fundamentais para entrar no ritmo da nova legislação, ensinando-os sobre a nova forma de tratamento dos dados e os adequando para as novas normas.

Assim, pode-se sintetizar as medidas para se estar de acordo com a LGPD em 8 passos práticos:

1) Adoção de medidas técnicas e administrativas para proteger os dados pessoais que estejam em guarda, garantindo a segurança da informação por meio de protocolos de segurança, servidores, sistemas e recursos, como também limitar quem tem acesso a estes dados.

2) Caso a startup possua um site ou aplicativo ou outra plataforma, é necessário ter termos de uso e políticas de privacidade atualizados conforme a LGPD, abordando os direitos dos titulares e quais dados serão solicitados, e também, trazendo a finalidade do uso dos dados. Para que seja entendível aos clientes, a linguagem deve ser clara, pois o titular dos dados deve ser consciente da autorização que estará aferindo.

3) Se o empreendimento tratar de dados pessoais sensíveis ou de dados oriundos de menores, é necessário ter o documento “Termo de Consentimento Específico”, que o titular ou representante legal deste dará a autorização individualizada para o tratamento daquele dado.

4) É necessária a conscientização da equipe e a atualização das políticas internas das empresas. Startups são compostas por outras pessoas além de sócios, por isso, o CEO precisa conscientizar todos que tenham acesso a dados pessoais sobre o dever de respeitarem a LGPD e as consequências do descumprimento da lei, visto que tratamento inadequado por um membro da equipe, toda a empresa será penalizada.

5) É imprescindível ter um canal de comunicação com a ANPD, e para isso, também é obrigatório eleger um DPO, que será o Encarregado dos Dados, sendo este o gestor da proteção dos dados bem como o canal de comunicação com os titulares e a Autoridade Nacional de Proteção de Dados.

6) Um mapeamento do fluxo de dados pessoais, com a anotação dos dados que entram até quando são excluídos definitivamente é ideal para verificar falhas.

7) Um relatório de impacto é obrigatório a ser entregue para a ANPD, pois contém a descrição dos processos de tratamento de dados pessoais que podem gerar risco aos direitos fundamentais dos titulares, bem como ter um planejamento para a diminuição do dano ou do risco.

8) O canal de comunicação deve ser, obrigatoriamente, fácil e acessível, para que os titulares possam tirar suas dúvidas quanto a empresa no que se refere a posse de dados. Assim, a resolução de questões pode acontecer amigavelmente sem recorrer a justiça.

Pode-se concluir que o que é necessário para um bom planeamento por parte das startups para se adequarem a LGPD é sempre trabalharem na diminuição de risco e segurança dos dados. Ao agirem desta forma, elas estarão devidamente alinhadas e respaldadas juridicamente.

Deve-se atentar a indicação do profissional Encarregado de Dados, especialista em segurança da informação, bem como ter uma consultoria jurídica a pronto atendimento para resolução de questões.

Por Antônio Araújo Junior – Especialista em Direito Digital e Dr. Caio Godoy – Advogado especialista em Direito das Startups

REFERÊNCIAS

BRASIL. Presidência da República. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). (Redação dada pela Lei nº 13.853, de 2019). Brasília, DF: Presidência da República. [2019]. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709compilado.htm. Acesso em: 3 dez. 2019.

BRASIL. Presidência da República. Lei nº 13.853, de 8 de julho de 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. Brasília, DF: Presidência da República, 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2. Acesso em: 24 out. 2019.

BRASIL. Presidência da República. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 4 dez. 2019.

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.