Dados pessoais e a Startup: como evitar problemas
Neste artigo abordaremos os princípios, obrigações e direitos que devem ser cumpridos no processamento de dados pessoais.
segunda-feira, 17 de janeiro de 2022
Atualizado às 13:24
Você já deve ter ouvido falar da LGPD (lei geral de proteção de dados). A norma estabelece os princípios, obrigações e direitos que devem ser cumpridos no processamento de dados pessoais. Mas você sabe como funciona o LGPD de uma startup? O fato é que é quase impossível imaginar uma empresa que não processe dados pessoais no dia a dia, seja ela funcionário, cliente, parceiro ou prestador de serviços.
Portanto, todas as organizações e profissionais devem compreender e se adaptar à lei. Nesse caso, surge outro desafio: encontrar formas inovadoras para as empresas startup implementarem LGPD sem abrir mão de sua vantagem competitiva. Este padrão facilita as negociações com investidores.
O que é LGPD para startups?
As startups estão relacionadas a ambientes de trabalho onde existe trabalho colaborativo - nos quais vários paradigmas organizacionais são eliminados - e novos tipos de gerenciamento e modelos de interação são testados, alguns dos quais não padronizados.
Outra característica das startups é avaliar a escalabilidade por meio do design, ou seja, desde a criação das ideias até todo o processo de operação. O principal objetivo dessas empresas é acelerar o aumento do número de usuários, clientes e faturamento sem ter que aumentar os custos proporcionalmente.
No entanto, deve-se ter cuidado ao cultivar uma cultura de escalabilidade a todo custo. Isso ocorre porque a empresa não pode se desenvolver fora da lei e corre o risco de falência.
Com a aprovação da lei geral de proteção de dados Pessoais (LGPD), o pessoal que processa dados pessoais deve respeitar os princípios básicos de segurança, ou seja, usar medidas administrativas e técnicas eficazes para proteger os dados pessoais de acesso não autorizado e acidental ou ilegal destruição, alteração, perda, disseminação ou disseminação (LGPD Artigo 6, VII).
Para além dos princípios de responsabilização e responsabilização, como modelo, o agente de processamento utiliza medidas eficazes e pode demonstrar o cumprimento das regras de proteção de dados pessoais e a eficácia dessas regras (artigo 6.º, X, LGPD).
Resumindo, o LGPD exige que qualquer organização que use dados se alinhe à sua visão. No dia a dia da empresa, vários elementos esquecidos devem ser considerados e bem observados, tais como:
- Re-promulgar os termos de uso e política de privacidade;
- Explicar aos usuários o armazenamento de dados e suas respectivas finalidades;
- Solicitar autorização do usuário para reter dados pré-cadastrados;
- Melhorar os métodos usados para proteger os dados armazenados e a segurança virtual.
Portanto, é necessário que as organizações ajustem completamente seu fluxo de informações e a forma como são utilizadas para evitar impasses legais.
Por que o LGPG é importante para as startups?
Embora o enorme impacto da nova lei sobre as grandes empresas seja inquestionável, seu impacto sobre as pequenas e médias empresas, especialmente as startups, é inquestionável. Na previsão de aplicabilidade, a lei não exclui empresas por porte, muito menos exclui empresas por modelo de negócios.
Portanto, farmácias, lojas e escritórios de contabilidade, mesmo que de pequeno porte, devem tomar medidas para garantir o cumprimento da lei e arcar com as consequências da lei, como fiscalizações e multas. As pequenas empresas terão que investir principalmente em segurança de dados para eliminar o risco de vazamento e acesso impróprio.
Essa operação é uma etapa fundamental no processo de conformidade. Para empresas de tecnologia que utilizam inteligência artificial e big data, principalmente startups, o impacto é ainda maior, pois há atividades de coleta, uso, processamento e enriquecimento de dados em larga escala.
As startups, especialmente aquelas que estão nos estágios iniciais e têm poucos recursos financeiros, geralmente adiam a atenção às regras de privacidade até que o serviço ou produto seja concluído e colocado no mercado, ou quando não puder mais suportar qualquer dano.
Quais são as consequências de não se adaptar ao LGPD?
Em primeiro lugar, o descumprimento das regras contidas na LGPD pode resultar em muitas penalidades: multas, advertências ou proibição de qualquer atividade relacionada ao uso de dados pela empresa. Especificamente, as multas podem representar até 2% do faturamento da organização, com limite de 50.000.000,00 reais. Portanto, a adoção incorreta das regras da nova lei pode causar enormes prejuízos à organização.
No entanto, essa é a punição menos preocupante, pois a publicidade negativa causada pela divulgação de que não cumpre leis que garantem os direitos civis (como a LGPD) é muito mais prejudicial para qualquer empresa.
O que é mais preocupante é a perda dos dados que você usa. Portanto, para startups que obtêm dados de clientes e os repassam para outra organização, por exemplo, por não cumprirem o LGPD, eles se viram posteriormente privados de seu banco de dados - que representa o pedido de falência da empresa.
O não cumprimento da lei pode resultar na perda de números de clientes e receita devido à adesão ao modelo de escalabilidade atual.
Além disso, uma startup que garante os direitos de seus clientes tem uma preferência natural por atrair clientes e assinar contratos com grandes empresas - considerando que uma organização só pode se qualificar para LGPD se seus fornecedores também forem compatíveis com LGPD. Isso se reflete nas diferenças na concorrência e no aumento da receita.
Portanto, as startups devem cumprir os requisitos da LGPD e não ver a lei como um obstáculo legal ao seu desenvolvimento, mas como algo que garante a continuidade dos negócios, fornece diferenciação de mercado e incentiva a verdadeira escalabilidade.
Quem são os principais atores citados pelo LGPD?
A lei define os diferentes participantes envolvidos no processamento de dados e suas obrigações dentro da organização. São eles: proprietário, operador, controlador e responsável. Saiba mais sobre cada função:
- Titular: pessoa protegida por lei, referida nos dados pessoais como ferramenta de processamento;
- Operador: uma pessoa física ou jurídica que processa dados pessoais por conta do responsável pelo tratamento;
- Controlador: a pessoa física ou jurídica de direito privado ou público responsável pela tomada de decisões relativas ao tratamento de dados pessoais;
- Supervisor: pessoa indicada pelo controlador (contratado externo ou empregado) como canal de comunicação;
- Agência Nacional de Proteção de Dados (ANPD): Um dos fatores mais importantes determinados por lei é o estabelecimento de uma instituição pública autônoma e independente para supervisionar a implementação da lei.
Os operadores e controladores podem ser responsáveis pelo uso indevido e não autorizado de dados, incidentes de segurança da informação ou não conformidade com a lei. No entanto, se as regras estabelecidas pela LGPD não forem violadas, a responsabilidade do operador - a pessoa que lida com as informações em nome do controlador - pode ser limitada à sua carga sobre a segurança de dados e contratos.
Portanto, deve-se determinar se uma organização deve ser considerada como operadora, controladora ou ambos, a fim de definir o escopo de sua responsabilidade. A pessoa responsável será responsável por supervisionar a conformidade da organização com a lei e orientar os funcionários e contratados da empresa sobre as práticas de proteção de dados pessoais.
De acordo com a LGPD, pode-se concluir que toda agência que trata de dados pessoais deve nomear um supervisor, mas além das situações de demissão, a autoridade nacional competente também pode determinar outras regras em relação às decisões e obrigações do supervisor.
O responsável pelo tratamento também deve fornecer um documento que descreva os procedimentos de tratamento de dados pessoais que possam representar riscos para os direitos do titular, bem como salvaguardas, medidas e métodos para mitigar esses riscos. Este documento é basicamente um relatório sobre o impacto da proteção de dados pessoais.
Se o tratamento de dados se basear em interesses legítimos ou se for considerado arriscado, pode ser obrigatório a pedido da Mesa. Além do mapeamento de riscos, ele também pode relatar com eficácia o status de conformidade regulamentar de uma organização.
Para os agentes de processamento, eles devem usar medidas preparadas de segurança, gerenciamento e técnicas para proteger os dados pessoais. As autoridades nacionais competentes poderão utilizar as normas técnicas mínimas, tendo em conta a natureza dos dados tratados, as características do tratamento e o estado atual da tecnologia.
A LGPD incentiva o uso de códigos de conduta e certificações da indústria que garantem a conformidade com as regras legais. Algumas classes sociais podem formar seus próprios padrões de comportamento no uso de dados e podem até mesmo infringir a lei. No entanto, eles precisam obter autorização prévia da autoridade e analisar o método de comprovar a verificação do comportamento.
As organizações podem se identificar perante a autoridade para verificar se outras organizações cumprem a nova lei, portanto, o uso obrigatório de tudo, desde a criação de produtos, serviços e modelos de negócios até a tomada de medidas para garantir o direito de proteger os dados pessoais e a privacidade.