LGPD e startups: como preparar seu negócio?

Investir em compliance, organizar seu ecossistema e reestruturar o core pode ser o caminho correto

A era digital surgiu em velocidade avassaladora e, juntamente com ela, mecanismos que ensejaram a ocorrência de atos ilegais. Um desses célebres exemplos foi o vazamento de dados de usuários do Facebook, coletados pela empresa Cambridge Analytica, utilizados nas últimas eleições nos Estados Unidos1.

Atento à esse novo período e com o intento de discutir os direitos que alicerçam a coleta e tratamento de dados pessoais no início desse ano, o Congresso Nacional Brasileiro se mobilizou, dando origem ao Projeto de Lei da Câmara PLC 53/2018. Esse que, após ser aprovado pelo Plenário do Senado, em julho desse ano, e sancionado pelo Presidente Michael Temer, alterou a Lei nº 12.965/2016 (Marco Civil da Internet) e instituiu a Lei nº 13709/2018 (Lei Geral de Proteção de Dados- LGPD), que entrará em vigor em março de 2020.

Dentro desse contexto, a LGPD surgiu com o objetivo de proteger os direitos fundamentais e a liberdade de privacidade no momento do tratamento de dados pessoais, criando um novo regramento para a utilização desses no país. Nesse sentido, as empresas terão 18 meses para se adequarem às novas normativas, instituindo mudanças em seus sistemas operacionais e em sua estrutura interna.

Diante disso, empreendimentos como as startups, que buscam um modelo de negócios com custos de manutenção muito baixos2, devem traçar um plano estratégico para implementação das novas exigências tendo em vista o custo que isso pode representar, considerando que essas lidam diariamente com uma série de dados que antes não gozavam de nenhuma regulamentação dentro da estrutura do negócio.

Isso pois, a Lei elenca obrigações como a necessidade do consentimento dos titulares das informações pessoais para a coleta de seus dados e o encargo da oferta de opções para o usuário visualizar, corrigir e excluir os dados tratados3. Imposições que na prática representam o investimento das empresas em mecanismos que facilitem a esses titulares o acesso simplificado a suas informações.

Da mesma forma, a LGPD também prevê a obrigatoriedade de novas figuras dentro do processo de tratamento de dados, o agente de tratamento, o operador de dados e o encarregado, gerando a necessidade de novos cargosdentro dessa atividade. Uma vez que, cabe aos agentes de tratamento tomar as decisões referentes ao tratamento de dados pessoais, e ao operador de dados incube a realização desse processo em nome do responsável. E ao encarregado é depositada a responsabilidade de atuar como um canal de comunicação entre o responsável- titulares- órgão competente.

Somado a isso, o fato de a Lei ser um incentivo às boas práticas de tratamento de dados, os responsáveis poderão ser penalizados no caso de incidentes que gerem danos aos titulares com multa simples ou diária de até 2% do faturamento, até o valor de R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Podendo, também, haver o bloqueio de dados pessoais a que se refere a infração até a sua regularização, ou a proibição do exercício de atividades relacionadas a tratamento de dados, coibindo, assim, todos a se adequarem à nova Lei.

Sob este liame, notório é que mudanças em procedimentos do core bem como no mindset dos funcionários são medidas imprescindíveis para se adequar à essa nova legislação. Ressalta-se que gigantes da informática como a Microsoft4 e a Apple5 já vem se posicionando sobre a importância da adoção de medidas desde o advento da GDPR – EU General Data Protection Regulation6, que serviu como nítida inspiração da LGPD.

Tendo em vista, então, que para negócios flexíveis e dinâmicos como startups, o assunto compliance soa um tanto como maçante, é importante frisar que ignorá-lo pode acarretar sérios problemas capazes de, até mesmo, destruir um case de sucesso. A exemplo disso, podemos citar o recente caso de vazamento do Banco Inter, no qual foi confirmado que os dados de 13 mil clientes foram vazados, acarretando uma indenização de R$ 10 milhões a título de danos morais. Portanto, investir em métodos rápidos e escalonáveis de adequação dos dados vem sendo a solução para essas empresas.

Mas, afinal, como isso vem sendo implementado? Diversos mecanismos de consentimento e práticas de marketing vem sendo implementados por empresas, tais instrumentos vão desde e-mail solicitando o consentimento expresso por parte dos clientes quanto manuais informando as mudanças nas políticas internas da empresa. Contudo, apenas isso não é suficiente.

O correto conhecimento do fluxo de dados, nomeação de um responsável pelos dados, a reestruturação da política de privacidade (visando sempre a transparência), alterações contratuais acerca do tratamento de dados, medidas técnicas de alta eficiência para proteção e segurança dos dados, melhorar o sistema de descadastramento e exclusão do histórico de informações do cliente, criação de uma política de violação de dados com prazos de notificação estabelecidos, são exemplos de steps essenciais para caminhar em conformidade com o estabelecido pela LGPD.

Portanto, aproveitar a flexibilidade de uma estrutura de negócio pouco rígida ou ainda em estado inicial como a das startups, tem que ser visto como uma vantagem para se enquadrar aos novos regulamentos do mundo digital. Investir em compliance, organizar seu ecossistema e reestruturar o core pode ser o caminho correto para resguardar e proteger os dados e mitigar a exposição de risco do seu negócio.

Referências

https://www12.senado.leg.br/noticias/materias/2018/08/15/sancionada-com-vetos-lei-geral-de-protecao-de-dados-pessoais

https://politica.estadao.com.br/blogs/fausto-macedo/o-que-muda-com-a-sancao-da-lei-geral-de-protecao-de-dados/

https://www1.folha.uol.com.br/mercado/2018/07/veja-20-perguntas-e-respostas-sobre-projeto-de-protecao-de-dados-aprovada-pelo-senado.shtml

https://www.cartacapital.com.br/sociedade/entenda-o-que-muda-com-a-nova-lei-de-protecao-de-dados

https://www.tecmundo.com.br/seguranca/132159-10-coisas-lei-dados-pessoais-mudar-vida.htm

https://www.conjur.com.br/2018-jul-10/senado-aprova-projeto-regulamenta-protecao-dados

https://politica.estadao.com.br/blogs/fausto-macedo/as-empresas-diante-da-nova-lei-de-protecao-de-dados-pessoais/

https://politica.estadao.com.br/blogs/fausto-macedo/o-que-muda-com-a-sancao-da-lei-geral-de-protecao-de-dados/

https://www.migalhas.com.br/Quentes/17,MI284185,101048-Entenda+o+que+muda+com+a+lei+geral+de+protecao+de+dados+do+Brasil

https://www.jota.info/opiniao-e-analise/colunas/direito-digital/sancionada-a-lei-geral-brasileira-de-protecao-de-dados-lgpd-e-agora-14082018

https://www.thinkbusiness.ie/articles/gdpr-guide-for-startups/

http://brasil.softlinegroup.com/gdpr-como-sua-empresa-pode-se-adequar-as-novas-mudancas/

https://epocanegocios.globo.com/Empresa/noticia/2018/05/gdpr-o-que-muda-no-dia-dia-das-empresas.html

https://www.taylorwessing.com/download/article-gdpr-and-startups.html

https://startupresources.io/blog/gdpr-the-quick-and-dirty-guide-to-getting-compliant-for-startups-and-small-business/index.html

————————————————–

2 https://startse.com/noticia/afinal-o-que-e-uma-startup

6 O Regulamento Geral sobre a Proteção de Dados (RGPD) (UE) 2016/679 é um regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Económico Europeu. Regulamenta também a exportação de dados pessoais para fora da UE e EEE. O RGPD tem como objetivo dar aos cidadãos e residentes formas de controlar os seus dados pessoais e unificar o quadro regulamentar europeu. Disponível em: https://pt.wikipedia.org/wiki/Regulamento_Geral_sobre_a_Prote%C3%A7%C3%A3o_de_Dados (acesso em 16/09/2018).

Por Isabelle da Nóbrega Rito Carneiro e Luiza Caldeira Leite Silva

Fonte:https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/lgpd-e-startups-como-preparar-seu-negocio-29092018

Comentários

Comentários