Você já deve ter ouvido falar da LGPD (Lei Geral de Proteção de Dados). Essa norma entrará em vigor no Brasil em maio de 2021 e determina princípios, deveres e direitos que deverão ser executados no tratamento de dados pessoais. Mas você sabe como funciona a LGPD para startups? O fato é que é quase impossível imaginar uma empresa que não cuide diariamente de dados pessoais, sejam eles de funcionários, clientes, parceiros ou de prestadores de serviço.
Por esse motivo, é essencial que todas as organizações e profissionais tenham consciência e se adaptem à lei. Nesse cenário, aparece um outro desafio: achar maneiras inovadoras para que as startups realizem a implantação da LGPD sem deixar de lado a sua vantagem competitiva. A norma pode auxiliar na negociação com investidores.
Você sabe como funciona a LGPD para startups? Preparamos um guia para tirar suas dúvidas! Acompanhe!
O que é LGPD para startups?
As startups estão relacionadas a um ambiente de trabalho em que está presente o trabalho colaborativo — em que diversos paradigmas organizacionais são eliminados — e novos tipos de gestão e modos de interação são testados, sendo alguns não normatizados.
Outra peculiaridade das startups é valorizar a escalabilidade by design, isso é, desde a criação da ideia e ao longo de toda sua operacionalização. O principal intuito dessas empresas é aumentar o número de usuários, clientes e faturamento de maneira acelerada, sem ser preciso elevar seus custos proporcionalmente.
Todavia, é necessário ter cautela ao motivar a cultura da escalabilidade a todo custo. Isso devido ao fato de a empresa não poder se desenvolver à margem da lei, sob o risco até de falência.
Com a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), foi imposto aos que cuidam do tratamento de dados pessoais o respeito ao fundamento da segurança, compreendida essa como o uso de medidas administrativas e técnicas eficientes a proteger os dados pessoais de acessos não autorizados e de ocasiões acidentais ou ilícitas de destruição, alteração, perda, difusão ou comunicação (artigo 6º, VII, LGPD).
Assim como também, o princípio da responsabilização e da prestação de contas, abrangidos como a demonstração, pelo agente de tratamento da utilização de medidas eficientes e que consigam comprovar o cumprimento das normas de proteção de dados pessoais e da eficiência dessas normas (artigo 6º, X, LGPD).
Em suma, a LGPD exige que qualquer organização que faz o uso dados fique alinhada com o que ela prevê. Na rotina diária da empresa, vários elementos que eram esquecidos deverão ser levados em consideração e muito bem observados, tais como:
- reformular termos de uso e políticas de privacidade;
- esclarecer o usuário a respeito do armazenamento dos dados e de suas respectivas finalidades;
- solicitar a autorização dos usuários para manter os dados pré-registrados;
- reestruturar os métodos utilizados para a segurança dos dados armazenados e a segurança virtual.
Assim, é preciso que a organização adeque completamente o seu fluxo de informações e a maneira como elas são usadas, a fim de que não haja nenhum impasse judicial.
Por que a LGPG é importante para startups?
Por mais que seja inquestionável o alto impacto da nova lei para as grandes companhias, não existem dúvidas sobre o alcance e o abalo em pequenas e médias empresas, principalmente as startups. Nas previsões de aplicabilidade, a lei não elimina empresas pelo tamanho, muito menos por modelo de negócio.
Assim, farmácias, lojas, escritórios de contabilidade, mesmo que sejam de pequeno porte, deverão implantar medidas para assegurar a conformidade da lei, sob pena de se sujeitarem às consequências mencionadas na lei, como fiscalização e multas. Negócios menores deverão investir esforços principalmente no que diz respeito à segurança dos dados, eliminando o risco de vazamento e de acesso indevido.
Essa ação é uma etapa primordial no processo de conformidade. O impacto é ainda maior para as companhias de tecnologia, principalmente as startups, que se utilizam da inteligência artificial e de big data, visto que estão presentes as atividades de coleta, utilização, processamento e enriquecimento de dados em grande escala.
As startups, especialmente as que estão em estágio inicial e com poucos recursos financeiros, comumente adiam os cuidados com as normas de privacidade para quando o serviço ou produto está finalizado e disponível no mercado, ou para quando já não tem mais condição de suportar algum prejuízo.
Quais são as consequências de não se adaptar a LGPD?
Em primeiro lugar, o descumprimento de regras que constam na LGPD pode causar muitas punições: multas, advertências ou proibição de qualquer atividade ligada ao uso de dados pela empresa. Com relação às multas, especificamente, elas podem representar até 2% do faturamento da organização, limitando-se a um valor de R$50.000.000,00. Sendo assim, um erro na adoção das normas da nova lei pode trazer prejuízos enormes à organização.
Todavia, essa é a punição menos preocupante, tendo em vista ser bem mais prejudicial à qualquer negócio a publicidade negativa resultante da divulgação de sua não concordância com uma lei que assegura os direitos do cidadão, como é a LGPD.
É mais preocupante também a perda dos dados com os quais trabalha. Dessa forma, para uma startup que adquire dados de clientes e os repassa para outra organização, por exemplo, ver-se depois privada de seu banco de dados — devido ao fato de não ter observado a LGPD — representa a decretação de falência da empresa.
Caso a mesma não se adeque à lei, em virtude do apego ao modelo de escalabilidade atual, logo, poderá ocasionar na perda da quantidade de clientes e também do faturamento.
Além disso, uma startup que assegura os direitos de seus clientes terá uma preferência natural com relação à captação de clientes e também ao fechamento de contratos com companhias maiores — tendo em vista uma organização só estar em consonância com a LGPD se os seus fornecedores também estiverem. Isso reflete em um diferencial competitivo e uma elevação de faturamento.
Logo, é preciso que as startups estejam adequadas às exigências da LGPD e que não enxerguem a lei como uma barreira jurídica que atrapalha seu crescimento, mas sim como algo que assegure a continuidade do negócio, oferece um diferencial de mercado e estimula a verdadeira escalabilidade.
Quais os principais atores mencionados pela LGPD?
A lei determina os diversos atores relacionados com a realização do tratamento de dados e as suas obrigações dentro de uma organização. São eles: o titular, o operador, o controlador e o encarregado. Saiba mais sobre o papel cada um:
- titular: a pessoa protegida pela lei, a quem se referem os dados pessoais que são instrumento de tratamento;
- operador: pessoa jurídica ou física que faz o tratamento de dados pessoais em nome de um controlador;
- controlador: pessoa física ou jurídica, de direito privado ou público, que toma decisões ligadas ao tratamento dos dados pessoais;
- encarregado: pessoa nomeada pelo controlador (contratado externo ou empregado), que será um canal de comunicação;
- autoridade nacional de proteção de dados (ANPD): um dos elementos mais importantes determinados pela lei é a criação de uma autoridade pública autônoma e independente para a fiscalizar a aplicação da lei.
O operador e o controlador podem ser considerados responsáveis pelo uso indevido e não autorizado dos dados, por incidentes de segurança da informação ou pela não conformidade com a lei. Entretanto, a responsabilidade do operador — o que cuida das informações em nome do controlador — pode talvez ficar restrita aos seus encargos com relação a segurança dos dados e também dos contratos, se não quebrar as regras determinadas pela LGPD.
Logo, é essencial determinar se uma organização deve ser vista como operador, controlador ou ambos para estipular os limites da sua responsabilidade. Já o encarregado deve ser o responsável na instituição por supervisionar o cumprimento das regras determinadas na lei e direcionar os colaboradores e os contratados da empresa sobre as práticas a serem realizadas ligadas à proteção de dados pessoais.
De acordo com a LGPD, é possível concluir que toda instituição que cuide de dados pessoais precisa indicar um encarregado, mas a Autoridade Nacional poderá determinar normas complementares a respeito da determinação e das obrigações do encarregado, além de hipóteses de dispensa.
É preciso que o controlador também produza um documento que possua a descrição dos procedimentos de tratamento de dados pessoais que podem oferecer riscos aos direitos dos titulares, assim como salvaguardas, medidas e métodos para aliviar esses riscos. Esse documento é basicamente um relatório de impacto sobre a proteção dos dados pessoais.
Ele poderá ser obrigatório a pedido da Autoridade — se o tratamento de dados for baseado no legítimo interesse — ou em casos considerados de risco. Ele possibilita, além do mapeamento dos riscos, um eficiente relatório do status da conformidade regulatória da instituição.
No caso dos agentes de tratamento, eles devem utilizar medidas de segurança, administrativas e técnicas preparadas para proteger os dados pessoais. A Autoridade Nacional poderá utilizar os padrões técnicos mínimos, levando em consideração a natureza dos dados tratados, as peculiaridades do tratamento e a situação atual da tecnologia.
A LGPD motiva o uso de códigos de conduta setoriais e de certificações que consigam assegurar o cumprimento das regras da lei. Alguns setores da sociedade podem formar seus próprios padrões de conduta na utilização dos dados, podendo até ser superiores à lei. No entanto, precisam ser autorizados previamente pela Autoridade e analisar métodos que demonstrem a verificação das condutas.
Instituições podem se caracterizar diante da Autoridade para verificar se outras organizações estão em conformidade com a nova lei, passando a ser obrigatório utilizar desde a criação de produtos, serviços e modelos de negócio a ações para assegurar direitos de proteção aos dados pessoais e à privacidade.
Como preparar minha startup para a LGPD?
Negócios como as startups, que procuram um modelo de empresa com custos reduzidos de manutenção, devem delinear um plano estratégico para implementar novas exigências, considerando o custo que isso pode trazer. Eles lidam todos os dias com inúmeros dados que antes não tinham nenhuma regulamentação na estrutura do negócio e agora precisarão ter.
Vários meios de permissão e práticas de marketing vêm sendo implementados por organizações. Tais instrumentos vão desde e-mail pedindo o consentimento dos clientes a manuais comunicando as mudanças nas políticas internas da organização. Todavia, somente isso não é o bastante.
A nomeação de um responsável pelos dados, o conhecimento correto do fluxo de dados, a reestruturação da política de privacidade, mudanças contratuais a respeito do tratamento de dados, medidas técnicas de alta eficiência para proteção dos dados, eliminação do histórico de informações do cliente e a formação de uma política de violação de dados com prazos de notificação determinados são importantes passos para ficar em conformidade com o que é definido pela LGPD.
Logo, utilizar a flexibilidade de um modelo de negócio pouco robusto ou ainda no começo, como as startups, tem que ser analisado como uma vantagem para conseguir se encaixar nos novos regulamentos do mundo digital.
Investir em compliance — o conjunto de disciplinas com o intuito de cumprir as normas estabelecidas para o negócio e para as atividades da empresa — e reestruturar o core da empresa pode ser a melhor estratégia para cuidar e proteger os dados e atenuar os riscos para o negócio.
Além disso, existem algumas questões que devem ser levadas em conta para adequar sua startups. Veja!
1. Medidas técnicas e administrativas
É primordial que as startups e todos os tipos de negócio em geral passem a utilizar medidas técnicas e administrativas com o intuito de proteger os dados pessoais que estejam sob sua responsabilidade. Busque garantir a segurança dos dados por meio de servidores, protocolos de segurança, recursos e sistemas, como também restringir internamente quem terá acesso aos dados pessoais e como a organização vai controlar esse fluxo.
Essas medidas poderão auxiliar para que seja possível fazer um planejamento tributário eficiente e ficará mais fácil conseguir indicadores financeiros.
2. Termos de Uso e Políticas de Privacidade
Caso a sua startup tenha um aplicativo, site ou qualquer tipo de plataforma, é preciso contar com termos de uso e políticas de privacidade que estejam em consonância com a nova lei, tratando de assuntos como:
- os direitos dos titulares dos dados;
- dados que serão pedidos;
- para quais fins;
- de acordo com qual base legal;
- se haverá compartilhamento com terceiros;
- quem terá contato com esses dados.
Inclusive, esses documentos devem ser apresentados de maneira clara e simples. Além disso, com essas medidas ficará mais fácil evitar processos trabalhistas e você não estará colocando em risco colaboradores que trabalham para você.
3. Termo de Consentimento Específico
Se sua empresa cuida de dados pessoais mais delicados ou de crianças, é preciso ter um documento chamado “Termo de Consentimento Específico”, em que o seu representante legal dará a autorização de forma individual para que o tratamento daquele dado seja feito da forma correta.
4. Políticas internas e conscientização da equipe
Grande parte das organizações, principalmente as startups são formadas por outras pessoas, além dos sócios. Por isso, é primordial conscientizar todas as pessoas que tenham acesso a dados pessoais sobre as consequências do descumprimento dessa lei e o dever de respeitarem a LGPD.
Na hipótese de compartilhamentos, vazamentos ou tratamentos inadequados por um membro da equipe, toda a organização poderá sofrer sanções.
5. Eleger um encarregado (DPO)
A LGPD presume que cada organização tenha um profissional responsável pelos dados: é o encarregado — fora do país, a função foi chamada de DPO (Data Protective Officer). A dedicação não necessita ser exclusiva para este trabalho e há a chance de contratar uma PJ ou uma instituição de consultoria para essa função.
Entre as suas obrigações estão ser a interface entre os titulares dos dados e a empresa, receber reclamações e solicitações, realizar a ponte com a Autoridade Nacional de Dados e dar esclarecimentos. É preciso que a pessoa escolhida receba um treinamento mais aprofundado sobre o tema.
É essencial a definição do DPO, devido ao fato de ele ter que supervisionar os passos posteriores. As instituições que fazem tratamentos de dados pessoais precisam indicar uma pessoa para agir como canal de comunicação com a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados. Inclusive, essa pessoa precisa orientar os contratados da startup sobre as práticas a serem executadas relacionadas à proteção de dados pessoais.
6. Mapeamento do fluxo de dados pessoais
A primeira fase do trabalho do encarregado deve ser identificar focos de problemas na empresa. Para tal, é preciso realizar um mapeamento completo do fluxo de dados e dados de pessoas físicas. O diagnóstico pode ser feito sem muita dificuldade em instituições de pequeno ou médio porte, sem que haja a necessidade de auxílio de uma consultoria, visto que elas contam com processos de menor complexidade e quantidade.
Se você não sabe por onde começar, é preciso que a análise se inicie e que seja priorizada conforme os processos mais críticos no modelo de negócio da organização. Esta fase é primordial, visto que serve como mapa na procura por eventuais aberturas no tratamento de dados pessoais.
É também essencial que toda a equipe se junte para realizar um mapeamento dos dados pessoais, desde a entrada deles na empresa até o momento em que são eliminados de forma definitiva, com o intuito de analisar se o tratamento está sendo correto ou se há falhas e elementos de atenção e repará-los.
7. Busca por erros
Com o mapeamento de dados, é possível ter uma definição da próxima fase, que nada mais é do que a revisão dos processos e a determinação de políticas internas. O DPO ou o empreendedor devem fazer várias perguntas para achar maneiras de reduzir riscos. É preciso confirmar se todos os dados coletados são realmente necessários para o negócio, se as informações transitam e são armazenadas de forma segura e se são criptografadas.
Além disso, procure saber se todos os funcionários que possuem acesso a bases de dados de pessoas físicas necessitam desse acesso para a realização de seu trabalho. As respostas devem ajudar a achar processos desnecessários relacionando dados e a criar meios que possam evitar vazamentos ou utilização indevida das informações coletadas por sua organização.
8. Relatório de impacto
Se o seu negócio realiza o tratamento de dados pessoais que possam limitar a liberdade dos seus titulares, é preciso criar um relatório de impacto. Esse documento apresenta a descrição dos processos de tratamento de dados pessoais que possam trazer riscos às liberdades civis e também aos direitos essenciais dos titulares.
É importante já ter esse documento preparado, pois a Autoridade Nacional de Proteção de Dados pode vir a solicitá-lo.
9. Canais de comunicação
A conscientização de todos os setores da organização é um passo de suma importância na trajetória de adequação à LGPD. Esse diálogo serve para informar os funcionários sobre o assunto. Isso é essencial para que não fique uma ideia errônea de que a LGPD e seus desafios são exclusivamente responsabilidade da equipe de tecnologia.
O processo pode ser executado por vários departamentos, como TI, Compliance, Recursos Humanos ou Jurídico. Os primeiros treinamentos gerais servirão para difundir uma nova cultura relacionada a dados pessoais. Essa cultura deve relacionar o desenvolvimento de novos serviços e produtos e evidenciar como são desenhados os sistemas de TI e as ações de marketing.
Inclusive, auxiliará no engajamento do Time, no decorrer do processo de adequação da empresa. É imprescindível que a organização possua canais de comunicação acessíveis e fáceis, para sanar as dúvidas dos titulares quando for preciso e responder às suas solicitações. Ter uma comunicação simplificada com o titular geralmente pode solucionar questões de forma amigável e evitar procedimentos perante à ANPD ou à Justiça.
Agora você sabe como funciona a LGPD para startups! A chegada da lei aumenta a relevância da proteção de dados pessoais no cenário regulatório brasileiro. A preocupação com o tema se faz necessária para toda organização, devido ao fato de todo tipo de negócio desenvolvido por startups lidar com dados pessoais, tanto com relação ao respeito aos direitos dos consumidores, quanto com a adequação à nova regulação.
Curtiu nosso post? Tirou todas as suas dúvidas sobre LGPD para startups? Então, aproveite para assinar a nossa newsletter e receber nossas atualizações em seu e-mail!
