Como Funciona Lei Geral De Proteção De Dados Para Startups

Em breve, fortemente influenciada pela regulamentação europeia de proteção de dados General Data Protection Regulation (GDPR),  entrará em vigor a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), passando então a surtir efeitos aos mais diversos tipos de profissionais, quer seja no âmbito da Pessoa Jurídica, quer seja no âmbito da Pessoa Física.

Dentre os principais aspectos abordados, denota-se maior zelo à privacidade dos dados pessoais do indivíduo, especialmente os dados pessoais, diante dos efeitos que a LGPD pode ter nas Startups, cujo foco são negócios inovadores e escaláveis, muitas vezes disruptivos e revolucionários.

A Lei Geral de Proteção de Dados também terá impacto direto e imediato no cotidiano das Startups, através da concepção de ideias novas e meios de colocá-las em funcionamento, devendo readaptar toda sua rotina habitual no que diz respeito ao processo de coleta e tratamento dos dados, desde a captação até o seu descarte, bem como no necessário investimento em treinamento de todos os envolvidos para que o mesmo ocorra de forma segura e eficaz.

A LGPD surge como forma de harmonizar a aplicabilidade de outros ordenamentos jurídicos como a Constituição Federal, o Código de Defesa do Consumidor, além do próprio Código Civil, no que diz respeito à privacidade dos dados pessoais de todos que estão direta ou indiretamente envolvidos em uma atividade profissional, que utilizem um sistema e/ou estão conectadas à internet.

A fim de manter salvaguardados os dados pessoais e a privacidade dos usuários, a LGPD estabelece como dado pessoal “toda e qualquer informação relacionada a pessoa natural identificada ou identificável”, tais como informações como nome, endereço, telefone, profissão, dentre outros, que são capazes de identificar a pessoa natural ou torná-la identificável, a partir de uma simples leitura.

Seguindo a linha de raciocínio, a LGPD trouxe catalogado os dados considerados pessoais sensíveis, quais sejam aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Neste aspecto, torna-se prudente frisar a importância da adoção de metodologias para acompanhar a dinâmica de coleta e tratamento dos dados pessoais e sensíveis, especialmente em razão das Startups invariavelmente buscarem tratar uma quantidade crescente de dados, em menor tempo e com menor custo. O “Privacy by Design”, conceituação adotada na LGPD, determina que a segurança do tratamento de dados deve ser respeitada e colocada em prática desde a concepção de um produto ou serviço, até o seu efetivo lançamento. Logo, as Startups deverão respeitar a regulação em apreço desde a criação da sua tecnologia.

Ademais, entende-se como tratamento de dados pessoais  toda operação realizada com dados pessoais, quais sejam, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Destaca-se, ainda sobre este aspecto, que não se trata de rol taxativo podendo, por conseguinte, ser ampliado, de acordo com a necessidade.

Os princípios capazes de manter e direcionar o tratamento adequado para a manutenção  da privacidade dos dados de seus usuários estão devidamente norteados na Lei 13.709/2018, hipótese em que destacam-se os essenciais, que também devem ser aplicados pelas Startups: 

NECESSIDADE: Estabelecendo a limitação do tratamento ao mínimo necessário do dado pessoal para a realização de suas finalidades, com as devidas amplitudes dos dados pessoais pertinentes.

TRANSPARÊNCIA: Garantindo aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;

QUALIDADE: garantindo aos titulares exatidão, clareza, relevância e atualização dos dados;

ADEQUAÇÃO: Sintonia do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento adotado.

O descumprimento das medidas determinadas torna a Startup sujeita a sanções administrativas conforme estabelece o artigo 52 da LGPD que, dentre as multas elencadas, destaca-se a do inciso II, que prevê a aplicação de multa simples de 2% do faturamento da empresa, sendo limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração cometida, além da publicização da infração cometida até sua regularização, bloqueio ou eliminação dos dados pessoais, tornando-se, por conseguinte, imprescindível que todos os sócios e colaboradores da Startup tenham ciência da necessidade de adequar suas condutas às diretrizes da Lei Geral de Proteção de Dados.

Diante de sua essência, qual seja, de escalabilidade, cuja finalidade é  alcançar o maior número de usuários, com um menor custo e mais rápido, é fundamental utilizar-se de técnicas seguras, capazes de, nos moldes estabelecidos pela LGPD, proteger os dados pessoais de seus usuários e todos os demais envolvidos tornando, por conseguinte, imprescindível a adoção de protocolos de segurança, rastreabilidade, monitoramento e criptografia.

Para o bom funcionamento de uma Startup, o treinamento de toda a equipe é etapa fundamental para que os dados dos usuários sejam devidamente tratados, desde sua adesão até sua exclusão adequada, nos termos determinados pela Lei 13.709/2018.

É ainda mais importante que toda a equipe tenha ciência da necessidade e da finalidade de treinamento específico a respeito da LGPD, bem como consciência acerca da importância de manter os dados no mais absoluto sigilo.

No âmbito interno, será necessário à Startup determinar quem terá autoridade de acesso aos dados pessoais e como a empresa irá controlar esse fluxo de dados crescentes. Não são todos os colaboradores que poderão ter acesso aos dados pessoais.

Para as Startups que possuem algum tipo de plataforma distribuída, é necessário adotar  Termos de Uso e Políticas de Privacidade, devidamente enquadradas nas determinações da LGPD e, em especial, que assuma os princípios da transparência, finalidade e adequação, garantindo aos usuários, reais proprietários dos dados, a certeza de que seus dados serão tratados de forma clara e dentro da finalidade estabelecida, além da elaboração de um Plano de Contingência e de Resposta a Incidentes, para que as Startups saibam como proceder no caso de uma ameaça, ou mesmo na hipótese de se concretizar um vazamento de dados.

Ainda sobre este aspecto, não se pode ignorar a necessidade de tratar de forma diferenciada  os titulares menores de idade, sendo indispensável que o responsável pelo menor autorize e consinta a captura destes dados, bem como o seu tratamento e armazenamento.

Outrossim, é fundamental que a Startup identifique um colaborador interno ou terceirizado para atuar especificamente como Encarregado de Dados, também conhecido como Data Protection Officer (DPO), sendo-lhe assegurado o treinamento adequado para que, com a devida conscientização de sua função, atue como canal de diálogo com os usuários a respeito de quaisquer demandas ou ocorrências identificadas, quanto apto a prestar  esclarecimentos ante a Agência Nacional de Proteção de Dados (ANPD).

 Assim, entende-se que, ao fazer uma habitualidade a adoção de condutas adequadas para atender  às determinações da LGPD, será possível assumi-la como instrumento capaz de conservar o bom funcionamento do negócio, além de minimizar ou até mesmo prevenir a incidência das severas penalidades, além da perda da reputação, cujo valor é inestimável e, muitas vezes, irrecuperável.