Tudo o que a startup deve saber sobre a LGPD

Sancionada em agosto de 2018 como Lei 13.709, a Lei Geral de Proteção de Dados (LGPD) começou a valer na prática em agosto de 2020, e desde lá é obrigatório que todas as empresas estejam adequadas ao que ela exige em relação à coleta e ao trabalho envolvendo informações de pessoas físicas.

Essa legislação prevê critérios para a coleta de dados e para outras atividades que os envolvem, o tratamento. Tudo para garantir boas práticas nesse ambiente e privacidade e segurança a quem disponibiliza as informações pessoais.

Veja agora tudo o que você precisa saber sobre a lei para evitar penalizações aplicadas pelo órgão fiscalizador.

Termos da LGPD e o que significam

Para entender a Lei Geral de Proteção de Dados é necessário primeiramente saber o que significam os termos utilizados ao longo do texto legal, e que precisaremos utilizar também neste texto, enquanto esmiuçamos a legislação.

Os principais termos e seus significados são os seguintes:

  • dado pessoal: informação útil para identificar uma pessoa e que permita contatá-la;
  • dado pessoal sensível: informação que por referir-se a valores e convicções pode gerar discriminação contra uma pessoa, como raça, orientação sexual ou religião;
  • titular de dados: pessoa física à qual uma informação, ou um conjunto delas, se refere;
  • tratamento de dados: toda ação que envolve interação da empresa com a informação, como coleta, classificação, análise e armazenamento;
  • controlador: pessoa física ou jurídica que detém os dados e toma as decisões a respeito do tratamento deles;
  • operador: quem realiza o tratamento em nome do controlador (setores, profissionais e eventualmente empresas terceirizadas que fazem o trabalho);
  • encarregado: profissional que representa o controlador, instrui e monitora o operador e se comunica com a autoridade fiscalizadora quando necessário;
  • processos de tratamento: os mais comuns são coleta, recepção, produção, armazenamento, compartilhamento, classificação, processamento, modificação e exclusão;
  • consentimento: é o aval do titular, de maneira clara e por livre iniciativa, para que os dados sejam tratados visando os objetivos informados para o tratamento;
  • finalidade: objetivo do tratamento dos dados, que não pode ser alterado sem que o titular seja notificado e dê novo consentimento;
  • adequação e necessidade: ajuste dos processos de tratamento para atingir as finalidades, atentando ao mínimo tratamento possível e necessário às metas.

Cuidados que a startup precisa tomar

De acordo com a LGPD, as empresas devem seguir critérios para todas as fases de interação com as informações trabalhadas — da coleta à possível exclusão, passando pelo tratamento feito durante o porte dos dados.

Para a coleta, o controlador deve respeitar a vontade dos titulares dos dados e deixá-los conscientes da finalidade do tratamento como um todo, que tem de ser feita mediante autorização dos mesmos e na condição de que saibam os motivos pelos quais seus dados estão sendo solicitados.

Conforme as diretrizes acima, a empresa apenas deve tratar os dados para atingir os objetivos declarados aos titulares das informações. E a Lei Geral de Proteção de Dados exige ainda que o mínimo tratamento útil ao alcance das finalidades seja feito, evitando ações desnecessárias e manipulação excessiva dos dados gerados.

A exclusão pode ocorrer por decisão dos próprios titulares, que se solicitarem a remoção das informações da base de dados devem ser obrigatoriamente atendidos. Por exemplo, um titular pode revogar o consentimento dado anteriormente na coleta, não mais concordando com o tratamento das informações para as finalidades que a startup tem.

Os titulares, como donos das informações e detentores dos direitos delas, podem ainda intervir no tratamento de outras formas ou acompanhá-lo, como:

  • solicitando consulta aos dados tratados;
  • corrigindo informações;
  • atualizando dados;
  • requerendo esclarecimentos sobre o possível compartilhamento desses dados com outros controladores.

Por exemplo, uma startup que realiza uma ação de comarketing com outra empresa pode coletar dados de clientes potenciais e compartilhá-los com a sua parceira da ação, deixando isso claro em landing pages, anúncios e demais recursos utilizados. Depois, um titular que converteu em alguma ação da campanha pode solicitar esclarecimento sobre esse compartilhamento das informações, assim como revogar o consentimento dado à startup, à sua parceira ou a ambas.

Em relação ao armazenamento, o controlador deve prover mecanismos de segurança para garantir que não ocorra vazamento de informações ou acesso indevido a elas. Em caso de incidências nesse sentido, como um ataque bem sucedido de hackers ao banco de dados, a Agência Nacional de Proteção de Dados (ANPD) deve ser prontamente notificada.

Também é obrigação da empresa manter registro dos processos realizados no tratamento das informações para controle e segurança das ações. Em paralelo a isso, o controlador tem de orientar os funcionários envolvidos no tratamento em relação a boas práticas de segurança de dados.

Adiante, abordaremos a adequação à lei mostrando como fazer na prática o que acabamos.

Política de privacidade no site

Os sites contam com cookies, mecanismos utilizados para identificar visitantes e armazenar informações de suas visitas. Inclusive, alguns deles são obrigatórios para o funcionamento de páginas.

Logo, os usuários precisam consentir com o uso desses cookies e outras possíveis tecnologias semelhantes com as quais o site do negócio trabalha. Então, o acesso ao site deve contar com mecanismo de aceitação, ou recusa, de cookies e scripts de identificação e tratamento de informações dos visitantes. E a página da política de privacidade tem de estar linkada ao aviso.

O documento de política de privacidade deve listar todos os cookies e scripts utilizados nas páginas e a finalidades deles, além de detalhes sobre o possibilidade de comunicação dos titulares com a empresa e acerca do tratamento.

Segurança de dados de profissionais e clientes

Clientes pessoas físicas, ou pessoas que representam clientes pessoas jurídicas, funcionários e leads têm diversos dados em posse da empresa. Com a LGPD, existe mais um motivo para se preocupar com a segurança dessas informações e evitar vazamentos em ataques e acessos de pessoas não autorizadas a tratá-los.

A empresa deve dar prioridade ao uso de softwares e nuvens de dados com controle de usuários, pois as informações correm mais risco de serem violadas se forem armazenadas em pastas de computadores. Vale ainda dar preferência à automação dos processos que envolvem dados, pois isso facilita a padronização do trabalho e a conformidade em relação à exigência do mínimo tratamento necessário para atingir as finalidades da coleta.

Punições previstas na LGPD

Qualquer descumprimento à lei, como má prática no tratamento de dados ou não atendimento às solicitações de titulares, está sujeito a estas penalidades:

  • advertência acompanhada de indicação de prazo para tomada de medidas corretivas;
  • multa simples de 2% do faturamento do ano anterior, limitada a R$ 50 milhões;
  • multa diária, respeitando o critério e o limite anteriores;
  • bloqueio dos dados aos quais a infração se refere até correção dos problemas constatados;
  • eliminação dos dados envolvidos na infração.

É a ANPD o órgão responsável por fiscalizar o cumprimento da lei e, quando necessário, aplicar as penalidades descritas. Para isso, ela observa critérios como:

  • gravidade da infração e direitos pessoais desrespeitados,
  • vantagem conseguida ou pretendida na infração;
  • reincidência;
  • cooperação do infrator após constatadas as suas práticas;
  • proporcionalidade entre gravidade da infração e intensidade da pena;
  • ações e políticas adotadas para minimização de riscos e danos e garantia da conformidade após as sanções recebidas.

Responsável pela conformidade

O diretor de proteção de dados — Data Protection Officer (DPO) — é o responsável por manter o negócio em conformidade com a legislação, tendo como principais atribuições:

  • instruir os profissionais que tratam os dados sobre as diretrizes da LGPD;
  • desenvolver a política de privacidade da empresa;
  • monitorar a manutenção da conformidade à legislação;
  • responder à autoridade fiscalizadora.

Dentro dos termos da Lei Geral de Proteção de Dados vistos no início do texto, o DPO é o encarregado.

É normal que em empresas pequenas e com equipes enxutas se tenha a figura do DPO na pessoa de um dos sócios, até pela complexidade dos processos e pelo volume de dados tratados não justificarem a manutenção de um setor e de um gestor somente para esse trabalho.

Por outro lado, negócios maiores e que lidam com larga escala de informações, espalhados por muitos processos, setores e canais, precisam desse diretor dedicado ao compliance. Isso porque em cenários maiores e mais complicados é fácil que algo saia do controle ou não seja feito da maneira correta sem o monitoramento de políticas e do trabalho diário.

Adequação à LGPD: passo a passo

Análise do ambiente

O primeiro passo deve ser entender como funciona o ambiente e os componentes envolvidos. É o momento de buscar respostas para as seguintes perguntas:

  • quais são os titulares com os quais a empresa se relaciona?
  • quais dados dos diferentes tipos de titulares são tratados e com quais finalidades?
  • quais processos de tratamento são executados?
  • onde e como é feito o armazenamento?
  • qual é a infraestrutura de segurança utilizada para proteger as informações portadas?
  • quem se responsabiliza pela proteção dos dados e, se necessário, responde ao órgão fiscalizador?

A listagem dessas respostas esclarece de onde o negócio tem de partir para se adequar à Lei Geral de Proteção de Dados e quais providências deve tomar, como mudança de procedimentos e contratação de tecnologias.

Estruturação e implementação

A organização dos componentes e a definição de processos, canais, ferramentas e outros itens é o necessário para estruturar um ambiente adequado à LGPD. O responsável deve utilizar as respostas obtidas anteriormente e os mapeamentos feitos para tomar decisões necessárias à estruturação, como:

  • dados que serão coletados e tratados;
  • processos mantidos para o tratamento;
  • bancos de dados e tecnologias que o negócio usará;
  • responsável pelo compliance, ou pessoa contratada para ser DPO;
  • forma de controle de acessos a dados e recursos de segurança que serão aplicados;
  • redação da política de privacidade para páginas na internet;
  • instrução dos profissionais para lidarem corretamente com informações.

Com essas e outras decisões tomadas, é hora de colocar tudo em prática: linkar a política de privacidade nas páginas, contratar e configurar ferramentas, criar usuários nas tecnologias, definir permissões e assim por diante.

Contratar assessoria jurídica especializada em LGPD e/ou assessoria em TI para conformidade junto à lei pode facilitar o trabalho e tende a dar mais segurança para seu resultado.

Revisão e documentação

Para evitar problemas, é ideal que processos e ferramentas sejam revisados antes que se dê o trabalho por encerrado. Algumas verificações importantes são:

  • se ferramentas seguem com login automático dos usuários após fechamento delas;
  • se o documento da política de privacidade das páginas é aberto após solicitação do usuário;
  • se os níveis de acesso configurados em tecnologias estão funcionando como esperado;
  • se as marcações em páginas para aceitar cookies e scripts ou recusá-los estão funcionando;
  • se os recursos de segurança são ativados após uma simulação de ameaça aos dados.

Tudo está em ordem e o ambiente está todo preparado para seguir com as rotinas? Então, deve-se documentar o que foi feito para finalizar a adequação, pois a Lei Geral de Proteção de Dados requer a criação de um documento chamado Relatório de Impacto à Proteção de Dados Pessoais, que pode ser solicitado pela ANPD mesmo sem um incidente que envolva a empresa.

Esse documento é um relatório com a descrição de pontos como:

  • as tecnologias utilizadas para o tratamento;
  • as atividades de tratamento e o fluxo de processamento das informações;
  • os recursos de segurança implementados e demais ações que visam privacidade e segurança da informação;
  • o que está previsto em caso de vazamento ou roubo de dados para resolução do problema ou mitigação de riscos;
  • pessoa responsável (DPO);
  • canal de comunicação entre empresa e usuários para especificamente falarem sobre tratamento de dados;
  • finalidades de tratamento.

Contenção de danos

Se houver qualquer incidente que coloque em risco a privacidade dos titulares, o que deve ser primeira e imediatamente feito é o acionamento dos recursos de segurança e das práticas internas previstas para o caso, como encerramento de todo tipo de navegação e backup. Isso porque a rapidez de ação pode minimizar os danos ou prevenir totalmente o ambiente contra eles.

Depois de tomadas as atitudes urgentes, a ANPD tem de ser avisada do incidente com detalhes das informações que foram violadas e de como a empresa agiu. Conforme a autoridade for acompanhando o caso e se comunicando com o negócio, o responsável tem de responder aos questionamentos e ajudar a ANPD quando possível.

E na sua startup, como está preparado o ambiente para atender à Lei Geral de Proteção de Dados? Se ainda tem alguma dúvida ou quer comentar sobre, utilize o espaço abaixo.