Como integrar as obrigações da Lei Geral de Proteção de Dados [LGPD] em sua startup, gerenciar seus dados, projetar suas jornadas de usuário e proteger seus dados? Veja aqui!
Startups, processamento de dados pessoais e LGPD
Há quem diga que os dados são o “novo petróleo” da economia. Será que são mesmo, considerando que o petróleo é um recurso escasso na natureza, enquanto os dados existem em abundância na Era do Big Data (grande quantidade de dados)? Por outro lado, uma semelhança: o que você faria com um barril de petróleo bruto, isto é, sem poder refiná-lo? Provavelmente nada ou muito pouco.
O fato é que, em tempos de Big Data e Data Driven Business (modelos de negócio baseados em dados), os dados, em especial os dados pessoais, são commodities. Portanto, o verdadeiro valor não está nos dados em si, nos dados brutos – sejam eles dados pessoais ou não -, e, sim, no seu adequado tratamento, capaz de extrair informação que pode resultar em “conhecimento”, ou seja, “informação aplicada”.
Nesse sentido, podemos afirmar que evoluímos do Data Driven Business para o Knowledge Driven Business (modelos de negócio baseados em conhecimento), no qual, por meio de algoritmos de inteligência artificial ou machine learning (aprendizado de máquina), os dados ganham relevo para análises comportamentais e preditivas. E quando essas análises super detalhadas e complexas são ligadas a um indivíduo com precisão, uma vez que dados capazes identificá-lo são utilizados no processo de tratamento, não temos “petróleo”, mas, sim, verdadeiros “diamantes”.
Tal realidade não é estranha às Startups – em sua maioria empresas de tecnologia -, pois baseiam seus modelos de negócio, inseridos na economia digital e da inovação, também conhecida como “Quarta Revolução Industrial” ou “Indústria 4.0”, na coleta e análise de dados, muitas vezes, dados pessoais. .
É através da atividade de tratamento (coleta, armazenamento, compartilhamento e etc) de dados pessoais que as Startups conseguem mapear o comportamento e a preferência de seus usuários para melhor direcionamento da oferta de bens e serviços.
Ocorre que, sendo certo que os dados pessoais são uma extensão da personalidade do indivíduo, diversos países, incluindo o Brasil, editaram leis que visam à proteção desses dados, porque o tratamento inadequado ou abusivo dos dados oferecerem riscos à sociedade, sobretudo à sociedade digital e amplamente conectada.
Entendendo a Legislação Geral de Proteção de Dados
Inspirado na General Data Protection Regulation (ou “GDPR”) da União Europeia, o Brasil promulgou a Lei Federal n.º 13.709/2018, mais conhecida como “Lei Geral de Proteção de Dados Pessoais” (ou na sigla “LGPD”), a qual estabelece princípios gerais e diretrizes para a atividade de tratamento de dados pessoais, que tem sua entrada em vigor em agosto de 2020 – data ainda não definitiva, considerando-se que há Projeto de Lei propondo a prorrogação de sua vigência.
Apesar disso, o tema “dados pessoais” não é novo no Brasil. Isso, porque, antes da promulgação da LGPD, o país já possuía leis esparsas que regulavam, ainda que timidamente, a atividade de tratamento de dados pessoais, a saber: (i) Código de Defesa do Consumidor, de 11 de setembro de 1990; (ii) Lei do Cadastro Positivo, de 09 de junho de 2011 (iii) Lei de Acesso à Informação, de 18 de novembro de 2011; (iv) Marco Civil da Internet, 23 de abril de 2014.”
No entanto, a LGPD é a primeira lei brasileira a tratar especificamente da proteção de dados pessoais de maneira orgânica e sistemática.
A LGPD tem aplicação sobre operações de tratamento de dados pessoais realizada ou coletados no território nacional ou, ainda, de pessoas localizadas no território nacional, exceto quando o tratamento é realizado por pessoa natural com fins exclusivamente particulares e não econômicos, bem como por pessoa natural ou jurídica com fins exclusivamente jornalísticos, acadêmicos, de segurança pública, de defesa nacional, de segurança do Estado e atividades de investigação criminal.
Por isso, diversos segmentos serão afetados pela LGPD para além das Startups, tanto no setor público quanto no setor privado, a exemplo do comércio, da indústria, de instituições financeiras, de clínicas e hospitais, de escolas e instituições de ensino, de associações e clubes esportivos e etc, que geralmente lançam mão de um banco de dados pessoais tanto para fins de marketing e captação de clientela quanto melhor relacionamento com o seu público, independente desse banco de dados estar em meio digital ou físico (este último também abrangido pela LGPD).
Mas, afinal, o que é um dado pessoal para fins da LGPD?
A LGPD adota o conceito “expansionista” de dados pessoais, o que significar dizer que bastaria o tratamento de um dado capaz de identificar ou ser associado a um indivíduo, ainda que de forma mediata e indireta, para receber amparo da LGPD.
Dado esse conceito pela LGPD, poderiam surgir os seguintes questionamentos: “o que acontece se eu anonimizar os dados classificados pela LGPD como dados pessoais? Preciso atender a LGPD mesmo assim?”
Neste caso, a LGPD não considera os dados anonimizados como dados pessoais – isto é, aqueles dados que, por meio de procedimentos técnicos do estado da arte, não mais permitem identificar uma pessoa. Importante ressaltar que, após o procedimento, não deve ser possível reverter a anonimização através de razoável esforço (risco aceitável em torno da reversibilidade).
Há, ainda, os casos de dados pessoais sensíveis, que são aqueles dados de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Importante frisar que os dados pessoais sensíveis possuem uma proteção mais acentuada pela LGPD, razão pela qual as hipóteses legais para o tratamento desses dados são bem mais restritas que os dados pessoais não sensíveis.
O órgão da administração pública responsável pela fiscalização das atividades de tratamento será a Autoridade Nacional de Proteção de Dados (ou “ANPD”), de âmbito federal e integrante da Presidência da República, pendente de previsão quanto a sua implantação.
Embora a ANPD ainda não tenha sido implantada, importa frisar que outros órgãos da administração pública como Ministério Público, PROCON e outros possuem competência para fiscalizar a atividade de tratamento de dados pessoais.
A LGPD é sustentada pelos seguintes princípios:
i) Finalidade: o tratamento de dados pessoais deve possuir propósitos legítimos (não contrários à lei), específicos, explícitos e informados ao titular desses dados;
ii) Adequação: o tratamento dos dados pessoais deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento desses dados;
iii) Necessidade: o tratamento dos dados pessoais é limitado ao mínimo necessário para o atendimento de suas finalidades, ou seja, quanto menos dados pessoais forem utilizados para atender aquelas finalidades, melhor.
iv) Livre acesso: o titular dos dados pessoais possui o direito à consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados;
v) Qualidade dos dados: o titular dos dados pessoais possui o direito à exatidão, clareza, relevância e atualização de seus dados, de acordo com a necessidade para o cumprimento da finalidade de seu tratamento;
vi) Transparência: o titular dos dados pessoais possui o direito à informação clara, precisa e facilmente acessível sobre a realização do tratamento de seus dados, bem como saber quem são os responsáveis pelo tratamento;
vii) Segurança: o titular dos dados pessoais possui o direito à proteção, dentro dos limites técnicos disponíveis, de seus dados contra acessos não autorizados ou de situações acidentais ou ilícitas como, por exemplo, a invasão por hackers, destruição, perda, alteração ou vazamento;
viii) Prevenção: o titular dos dados pessoais tem direito que os responsáveis pelo tratamento de seus dados adotem medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
ix) Não discriminação: impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;
x) Responsabilização e prestação de contas: os agentes de tratamento têm o dever de demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento dos princípios e diretrizes da LGPD, tratando-se, pois, de um verdadeiro compliance sobre a matéria.
Salvo exceções autorizadas por lei, a regra para o tratamento de dados pessoais será o consentimento expresso, inequívoco e específico do titular desses dados.
A LGPD garante aos indivíduos, dentre outros, os seguintes direitos:
i) Confirmação da existência de tratamento;
ii) Acesso aos dados;
iii) Correção de dados incompletos, inexatos ou desatualizados;
iv) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
v) Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa do titular, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;
vi) Eliminação dos dados pessoais tratados com o consentimento do titular (a LGPD autoriza sua conservação em determinados casos);
vii) Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
viii) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa do consentimento;
ix) Revogação do consentimento sem custos;
Controlador e Operador de dados: os agentes da LGPD
Por fim, a LGPD elenca dois agentes responsáveis pelo tratamento de dados pessoais, quais sejam, o “controlador” e o “operador”.
Basicamente, o “controlador” é quem toma as decisões relacionadas ao tratamento dos dados pessoais (que dados coletar, por quanto tempo, quais as finalidades do tratamento e etc), enquanto o “operador” é aquele que executa atividades de tratamento em nome do “controlador”. Tanto o “controlador” quanto o “operador” poderão ser pessoas jurídicas. É possível também que as funções de “controlador” e de “operador” estejam cumuladas na mesma pessoa, a depender do contexto do tratamento dos dados pessoais.
Diante de tudo isso, muitos empreendedores, principalmente de Startups, poderiam pensar que a LGPD só faria sentido para empresas grandes, o que é um grande equívoco, especialmente quando estamos tratando de modelos de negócio com potencial de escala e lucratividade.
Qual o caminho a seguir pelas startups para se adequar à LGPD?
Além da observância e do cumprimento serem obrigatórios para todas as empresas que realizam qualquer operação de tratamento de dados pessoais, não estar em conformidade com a LGPD poderá custar muito caro para os negócios, pois a lei prevê severas punições, que vão desde advertência, multa de até 2% sobre o faturamento, limitada, no total, a 50 milhões de reais para cada infração, e à publicização da infração, que impactará negativamente na imagem da empresa – o chamado dano reputacional, muito falado na temática do Compliance.
Buscar adequação às diretrizes de proteção de dados pessoais não se resume apenas evitar que a Startup seja penalizada, mas, sim, trata-se de um valioso ativo, na medida em que, estar em conformidade, aumentará o nível de confiança por parte de seus usuários.
Diante disso, apresentamos algumas dicas e recomendações para as Startups estarem em conformidade com a LGPD.
i) Aculturar seu time sobre a importância da adequação à LGPD;
ii) Elaborar um plano de ação estratégico de adequação à LGPD, multidisciplinar (metas, cronogramas, obtenção e gestão do consentimento, quando for o caso e etc);
iii) Realizar um mapeamento e entender a natureza e o ciclo de vida dos dados que serão tratados pela Startup (que tipo de dados estarão sendo coletados, como, por quê e por quanto tempo, etc);
iv) Verificar a compatibilidade das tecnologias que serão utilizadas para o tratamento de dados, com especial destaque à segurança da informação;
v) Atualizar os “Termos de Uso” e as “Políticas de Privacidade” em linguagem clara e acessível para os titulares dos dados pessoais tratados pela Startup, de forma que eles possam entender, sem maiores dificuldades, o processo de tratamento dos dados pessoais (como os dados são coletados, por que são coletados, local em que estão armazenados, etc);
vi) Auditar, periodicamente, as operações de tratamento dos dados, a fim de se prevenir dos potenciais riscos e mitigar eventuais incidentes que envolvam a atividade de tratamento.
O tema é complexo e precisa ser levado a sério em sua Startup. Adequar-se À LGPD é tarefa árdua, multidisciplinar e mais uma jornada do que um destino. Conte conosco nessa caminhada.
Quer saber mais? Precisa de orientação sobre a LGPD? Vem falar conosco!
