Lei Geral de Proteção de Dados: recomendações para adequar a sua startup à LGPD

Compartilhe:

A Lei Geral de Proteção de Dados (Lei 13.709/2018) foi sancionada em 14 de agosto de 2018 e alterou o Marco Civil da Internet, estabelecendo regras com o objetivo específico de regulamentar como os dados dos cidadãos brasileiros podem ser coletados e tratados, tanto pelas empresas, quanto pelo poder público.

Desde a sua promulgação, todas as empresas brasileiras têm até o dia 01 de agosto deste ano para adaptar seus processos. A partir desta data, as autoridades responsáveis passam a ter o poder de autuação, sendo possível a aplicação de multas previstas para quem não estiver agindo de acordo com a Lei.

Saiba melhor como a nova Lei Geral de Proteção de Dados funciona e qual a sua aplicação específica para startups:

A Lei Geral de Proteção de Dados (LGPD)

Ela foi inspirada na lei europeia de proteção de dados pessoais, vigente desde 2018. Basicamente, concede o controle completo de como as informações serão tratadas e armazenadas a todos os usuários de serviços online.

Sua premissa é garantir que qualquer tipo de serviço virtual, seja ele público ou privado, obtenha consentimento explícito do titular para a coleta de seus dados. Sendo considerado dados como nome, endereço, e-mail, idade, estado civil, situação patrimonial, orientação sexual ou religiosa, dentre outras.

Além disso, existem outros direitos assegurados pela LGPD:

  • Facilidade de acesso das informações sobre o tratamento de seus dados. As organizações deverão informar com clareza a finalidade específica da coleta, além de como ela será feita e por quanto tempo ficará armazenada;
  • Garantia do direito do usuário de deixar de compartilhá-los a qualquer momento, de forma gratuita e facilitada, ou mesmo bloquear ou eliminar aqueles que forem desnecessários, excessivos ou tratados em desconformidade com a lei;
  • O usuário poderá requisitar a portabilidade dos dados de um fornecedor de um serviço ou produto para outro, resguardando-se, obviamente, os segredos comercial e industrial por parte da empresa;
  • Ele deverá sempre ser informado sobre a possibilidade de não fornecer consentimento e as consequências da negativa.
  • Os dados sensíveis (origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; orientação sexual; genéticos ou biomédicos) terão tratamento diferenciado.

No uso específico da coleta de dados de crianças e adolescentes (menores de 18 anos), a startup deverá obter o consentimento dos pais ou responsável legal. Na área da saúde, que interessa especificamente as healthtechs, as precauções devem ser ainda mais rígidas, pois os dados não podem ser compartilhados com terceiros (a LGPD permite que seja feito entre o plano de saúde e o hospital ou uma clínica de fisioterapia, por exemplo).

“Este tipo de material é extremamente sensível, e pode ser usado de forma abusiva de várias maneiras”, explica Thiago do Val, especialista no assunto e um dos mentores do InovAtiva. Ele esclarece que este tipo de informação não pode ser usado para fins comerciais. “Ou seja, uma empresa, por exemplo, tem muito interesse em acessar o perfil de saúde de uma pessoa eventualmente e numa contratação descobrir se o candidato pode vir a desenvolver alguma doença, ou até ter um algum histórico, antes de aprová-lo ou não”.

Privacy by Design – uma exigência da LGPD

Para as startups que estão em fase inicial de operação, a recomendação é implementar as regras da LGPD desde a criação de seu modelo de negócios e desenvolvimento da plataforma e da política comercial. Isso se chama “Privacy by Design”.

O conceito se refere a propiciar a adequada proteção dos direitos do titular do dado desde o princípio, adotando-se assim medidas de caráter preventivo e a implementação de um plano de ação pensando na redução dos danos causados por um eventual vazamento de informação.

Como explica Thiago do Val, essa adaptação não é importante somente pela legislação. “É preciso proteger os dados em decorrência da privacidade das pessoas. A LGPD vem do conceito de trazer mais empoderamento para pessoa física, como eu e você. Temos a autonomia de decidir sobre os nossos próprios dados”.

“O ‘Privacy by Design’ é um processo proativo. Desta forma, a empresa pode reduzir muito os riscos de ter problemas no futuro com o tratamento dos dados de seus clientes, porque quando o sistema já é concebido com todos os controles e ferramentas para a proteção, ele já está pronto para funcionar em conformidade com a Lei”, discorre o especialista.

Recomendações para adequar startups à LGPD

Para startups já estabelecidas, ou mesmo em fases iniciais, algumas estratégias são importantes para que o negócio esteja funcionando de acordo com a Lei. Thiago destaca que é crucial ter pleno conhecimento de como sua empresa está lidando com os dados. “É preciso sempre saber onde essas informações estão circulando e, principalmente, ter boas práticas de segurança. Se certificar de que o armazenamento está sendo feito em um local seguro, ter senhas fortes e evitar ao máximo a possibilidade de vazamentos”, diz.

A construção de uma sólida Governança Corporativa e de TI é essencial. Além de se proteger quanto a eventuais problemas, ela facilita a captação de investimentos e a relação com os investidores.

Os Termos de Uso e de Consentimento Específicos devem ser constantemente atualizados e declarar de maneira clara e simplificada ao usuário quais serão os dados coletados, para quais finalidades e informando que ele tem a opção de parar o compartilhamento a qualquer momento se assim desejar.

Além disso, alinhar toda a equipe em torno das Políticas Internas e promover sua conscientização quanto aos direitos dos usuários é indispensável. Boa parte das startups que desejam escalar seu negócio rapidamente são compostas por outras pessoas além de seus sócios naturais, portanto, este alinhamento deve ser frequente. Inclusive, é necessária a definição de um profissional encarregado (DPO) para atuar como ponto focal da empresa em relação aos titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O Mapeamento do Fluxo de Dados Pessoais também é fundamental. Desde o momento em que são reunidos até o momento em que são excluídos definitivamente, eles devem ser passíveis de verificação, para checar se seu tratamento está sendo adequado ou se existem falhas a corrigir. Deste mapeamento, é possível elaborar um Relatório de Impacto – um documento exigido pela LGPD que contém a descrição detalhada dos processos de tratamento de dados que possam gerar riscos às liberdades civis e aos direitos fundamentais de seus titulares, bem como as eventuais medidas, salvaguardas e os mecanismos de mitigação de risco.

Por fim, a criação de Canais de Comunicação fáceis e acessíveis não só ajudam a proteger a empresa contra eventuais reclamações dos consumidores, quanto servem para construir uma imagem positiva para o público, que sempre é agradado pelo bom atendimento quando necessário.