Startups e a Lei Geral de Proteção de Dados Brasileira



Como adequar sua empresa às novas orientações legais?


A Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados Brasileira (LGPD), entrará em vigor em 2020 e traz à tona diversas discussões sobre o tratamento de dados pessoais, assunto extremamente sensível na atual era do Big Data [1].


A partir de padrões legais de segurança da informação, a lei impõe um novo standard de responsabilidade para qualquer modelo de negócios que lide com dados pessoais em algum nível, condição presente em quase todas as startups atualmente.


Nesse sentido, o presente texto busca refletir acerca das principais alterações que a LGPD trará ao contexto empresarial, principalmente no que tange às startups.


Contexto de surgimento da LGPD


A preocupação com a privacidade dos dados pessoais coletados pelas empresas intensifica-se no contexto atual, em que o uso de smartphones, notebooks ou tablets e a criação de perfis em redes sociais e aplicativos tornaram-se práticas comuns na vida cotidiana da população.


O tema ganhou bastante destaque após o compartilhamento indevido de dados de usuários do Facebook com a empresa Cambridge Analytica, que ocasionou o vazamento de informações de cerca de 87 milhões de usuários da rede social e sua respectiva utilização durante a campanha presidencial de 2016 dos Estados Unidos.


Nesse mesmo ano, surgiu o General Data Protection Regulation (GDPR), aplicável a todos os países integrantes da União Europeia e que entrou em vigor agora em 2018.


Entretanto, a preocupação acerca da vulnerabilidade dos titulares de dados e a proteção do direito à privacidade tornaram-se pautas frequentes em muitos outros países, a exemplo do Brasil.


Em suma, é nesse contexto que se insere o surgimento da  LGPD.


Genericamente, seus principais objetivos são:

(i) a necessidade de certificação do consentimento explícito dos usuários para a coleta e o uso de dados;

(ii) a possibilidade de o usuário visualizar, corrigir, excluir e portabilizar dados;

(iii) a obrigação de observância da finalidade legítima e específica para a utilização dos dados e; (iv) a adoção de medidas de segurança a fim de protegê-los.


Portanto, ainda que o prazo de vacatio legis [2] seja de 18 meses, o processo de adaptação das empresas não será tarefa fácil ou rápida.


Impactos da LGPD no contexto das Startups


Tratando especificamente do impacto da LGPD nas startups, é importante relembrar que a coleta e o tratamento de dados somente poderão ser realizados em determinadas circunstâncias, sendo que a principal delas é a obtenção de autorização do titular, isto é, de consentimento livre e inequívoco, nos termos do art. 7º, inc. II.


Ainda, é essencial que o tratamento se dê apenas com vista à finalidade específica para qual o consentimento foi conferido, sob pena de nulidade da autorização, nos termos do § 4º do art. 8º.


Entretanto, além do dever de comunicar os titulares de dados acerca de quais informações serão coletadas e para quais finalidades, é importante que as startups criem um canal que possibilite a revogação do seu consentimento, bem como um sistema próprio de descadastramento do clientes e, inclusive, exclusão do histórico dos dados coletados.


Em seu capítulo III, a LGPD versa sobre os direitos dos titulares, isto é, de toda “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (art. 5º, inc. V).


Lá estão presentes todos os instrumentos necessários ao titular que deseja requisitar o acesso, a correção, a portabilidade, a eliminação, a anonimização ou outras informações acerca de seus dados que estejam sob o tratamento do controlador.


Nessa perspectiva, a Lei busca garantir a efetivação dos direitos fundamentais dos titulares, principalmente no que tange à liberdade, à intimidade e à privacidade, exigindo, em contrapartida, das empresas a criação de uma estrutura especializada de atendimento às requisições dos titulares.


Outro ponto sensível diz respeito à segurança da informação. As ameaças advindas do uso das plataformas digitais surgem como um dos principais problemas para as startups.


Desse modo, todos os sistemas, programas e redes de proteção e armazenamento de dados deverão se submeter a rígido controle de detecção de vazamentos, em razão destes serem os canais mais afetos à atividade cibernética hostil.


Logo, mesmo as pequenas e emergentes empresas deverão dispor de aparato que permita a realização de testes de invasão e de avaliação de possíveis brechas no sistema, além de meios e formas de contenção e mitigação de eventuais ameaças e vazamentos indevidos, atuando, portanto, preventivamente, contra riscos externos e internos.


O próprio art. 46 da LGPD é claro nesse sentido.


Caso o evento danoso - ataques, incidentes ou vazamentos - ocorra, deverá o agente de tratamento dos dados, sob pena de sanção administrativa, informar ao titular e ao órgão competente, em tempo razoável, descrevendo com clareza e detalhes todas as informações necessárias relacionadas ao incidente de segurança.


Nessa lógica, a LGPD, em seu art. 41, determina que a empresa indique um “encarregado pelo tratamento de dados pessoais” (chamado de Privacy Officer), o qual deverá aceitar comunicações e reclamações dos titulares, prestar esclarecimentos, tomar providências, receber comunicações da autoridade competente, orientar os funcionários sobre as melhores práticas de privacidade a serem adotadas e executar outras atribuições determinadas pelo controlador ou por normas complementares.


Pedro Ramos, advogado especializado em Direito na internet, faz interessantes considerações a respeito do impacto da nova legislação de proteção de dados.


Segundo ele, há três principais tipos de startups que serão afetadas: (i) aquelas que “vivem da publicidade baseada em dados”; (ii) aquelas que “ajudam negócios no engajamento para vendas”; e (iii) aqueles “negócios baseados em Big Data, que puxam dados de lugares diferentes para fazer análises de mercado e [...] lidam com informações sensíveis, como fintechs de crédito”.


Entretanto, importa relembrar que não apenas esses tipos de startups, mas qualquer outro modelo de negócios que lide com dados pessoais em algum nível deverá se adequar às disposições da LGPD.


Isso porque a não adequação à Lei pode resultar na aplicação de multas de até 2% do faturamento, tendo como limite o valor de R$ 50 milhões, além de criar o dever de indenizar os titulares que sofreram vazamento, violação, ou fornecimento de seus dados sem o livre consentimento.


Nesse sentido, será extremamente importante a postura adotada pela empresa perante o novo paradigma jurídico de proteção de dados.


A reforma das políticas de cookies, o cuidado com os processos automatizados, a observância do princípio da finalidade, a obtenção de consentimento nos termos da lei, o controle do acesso aos dados pelos funcionários, assim como a prevenção contra o vazamento de informações, serão todas questões imprescindíveis a serem repensadas.


Os 18 meses de vacatio legis da lei serão então essenciais para uma remodelagem organizada, estruturada e faseada das startups, em vista à adequação aos novos padrões legais de segurança da informação.


Jefferson Kiyohara, líder da prática de riscos & compliance da ICTS Protiviti, recomenda um momento inicial de diagnóstico, composto de três etapas essenciais:

(i) mapeamento de áreas e processos que atuem com dados pessoais;

(ii) avaliação técnica do ambiente de TI da empresa;

(iii) adequação de avisos, política de privacidade, termos e contratos de uso de dados.


Assim, resta apenas saber: seu negócio já está preparado para as disposições da nova  Lei Geral de Proteção de Dados Brasileira?


Notas de Rodapé:


[1] Big Data “é o termo amplamente utilizado para nomear a reunião de dados complexos, dificilmente interpretáveis por processamentos tradicionais. Ele representa uma enorme quantidade de dados contida em banco de dados interligados entre si por uma diversidade de servidores em rede no universo da internet” (CAVALCANTI; SANTOS; 2018).


[2] Vacatio legis é o prazo legal que uma lei tem pra entrar em vigor, ou seja, o período entre a data de sua publicação até o início de sua vigência.


Autores:


Giovanna Milanez Tavares

Mariana Ozaki Marra da Costa

Luiz Vinícius de Souza Fernandes


Referências Bibliográficas:


CAVALCANTI, Natália Peppi; SANTOS, Luiza Mendonça da Silva Belo. A Lei Geral de Proteção de Dados do Brasil na Era do Big Data. in FERNANDES, Ricardo Vieira de Carvalho (coord.);


CARVALHO, Angelo Gamba Prata (coord.). Tecnologia Jurídica & Direito Digital. II Congresso Internacional de Direito, Governo e Tecnologia. Belo Horizonte: Editora Fórum, 2018, p. 351-366.


KIYOHARA, Jefferson. 3 elementos para considerar sobre a Lei Geral de Proteção de Dados. 2018. Disponível em: <https://computerworld.com.br/2018/10/03/3-elementos-para- considerar-sobre-a-lei-geral-de-protecao-de-dados/>. Acesso em: 15 nov. 2018.


FONSECA, Mariana. GDPR: o que muda nas startups brasileiras com a nova lei de dados. Empresas inovadoras do Brasil estão mudando sua forma de operar para se encaixar na regulação. Saiba como e por quê. 2018. Disponível em: <https://exame.abril.com.br/pme/gdpr-nova-lei-europeia-de-dados-pessoais-ja-afeta-startups-brasileiras/>. Acesso em: 15 nov. 2018.


MILAGRE, José. O novo anteprojeto de proteção de dados pessoais e as startups e provedoras de serviços na Internet. 2015. Disponível em: <https://jus.com.br/artigos/45255/o-novo-anteprojeto-de-protecao-de-dados-pessoais-e-as-startups-e-provedores-de-servicos-na-internet>. Acesso em: 15 nov. 2018.


REDAÇÃO, Senado. Projeto de lei geral de proteção de dados pessoais é aprovado no Senado. Matéria disponível em: <https://www12.senado.leg.br/noticias/materias/2018/07/10/projeto-de-lei-geral-de-protecao-de-dados-pessoais-e-aprovado-no-senado> . Acesso em 15 nov. 2018.


ROSENBERG, Matthew; CONFESSORE, Nicholas; CADWALLADR, Carole. How Trump Consultants Exploited the Facebook Data of Millions. Artigo disponível em: <https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html>. Acesso em 15 nov. 2018.


Tags:

big data

LGPD

startups

dados

segurança jurídica

advocatta

Advocatta - Empresa Júnior de Pesquisas em Direito

Universidade de Brasília - Unb