O que a startup deve saber sobre a Lei Geral de Proteção de Dados

Sancionada em agosto de 2018 como Lei 13.709, a Lei Geral de Proteção de Dados (LGPD) começa a valer na prática em agosto de 2020, até quando todas as empresas deverão se adequar no que diz respeito à coleta e ao trabalho envolvendo informações de pessoas físicas.

Essa legislação prevê critérios para a coleta de dados e para outras atividades que os envolvem. Tudo para garantir boas práticas nesse ambiente e privacidade e segurança a quem disponibiliza as informações pessoais.

Veja agora o que você precisa saber sobre a lei para evitar penalizações aplicadas pelo órgão fiscalizador.

Termos da LGPD

Para entender a Lei Geral de Proteção de Dados é necessário primeiramente saber o que significam os termos utilizados ao longo do texto legal, e que precisaremos utilizar também neste texto, enquanto esmiuçamos a legislação.

Os termos e seus significados são os seguintes:

  • dado pessoal: informação útil para identificar uma pessoa e que permita contatá-la;
  • dado pessoal sensível: informação que por referir-se a valores e convicções pode gerar discriminação contra uma pessoa, como raça, orientação sexual ou religião;
  • titular de dados: pessoa física à qual uma informação, ou um conjunto delas, se refere;
  • tratamento de dados: toda ação que envolva interação da empresa com a informação, como coleta, classificação, análise e armazenamento;
  • controlador: pessoa física ou jurídica que detém os dados e toma as decisões a respeito do tratamento deles.

Cuidados que a startup precisa tomar

De acordo com a LGPD, as empresas devem seguir critérios para todas as fases de interação com as informações trabalhadas — da coleta à possível exclusão, passando pelo tratamento dos dados.

Para a coleta, o controlador deve respeitar a vontade dos titulares dos dados e deixá-los conscientes da finalidade do tratamento como um todo, que tem de ser feita mediante autorização dos mesmos e na condição de que saibam os motivos pelos quais seus dados estão sendo solicitados.

Conforme as diretrizes acima, a empresa apenas deve tratar os dados para atingir os objetivos declarados aos titulares das informações. E a Lei Geral de Proteção de Dados exige ainda que o mínimo tratamento útil ao alcance das finalidades seja feito, evitando ações desnecessárias e manipulação excessiva dos dados gerados.

A exclusão pode ocorrer por decisão dos próprios titulares, que se solicitarem a remoção das informações da base de dados devem ser obrigatoriamente atendidos. Por exemplo, um titular pode revogar o consentimento dado anteriormente na coleta, não mais concordando com o tratamento das informações para as finalidades que a startup tem.

Os titulares, como donos das informações e envolvidos com mais direitos perante elas, podem ainda intervir no tratamento de outras formas ou acompanhá-lo, como:

  • solicitando consulta aos dados tratados;
  • corrigindo informações;
  • atualizando dados;
  • requerendo esclarecimentos sobre o possível compartilhamento desses dados com outros controladores.

Por exemplo, uma startup que realiza uma ação de comarketing com outra empresa pode coletar dados de clientes potenciais e compartilhá-los com a sua parceira da ação, deixando isso claro em landing pages, anúncios e demais recursos utilizados. Depois, um titular que converteu em alguma ação da campanha pode solicitar esclarecimento sobre esse compartilhamento das informações, assim como revogar o consentimento dado à startup ou à sua parceira.

Em relação ao armazenamento, o controlador deve prover mecanismos de segurança para garantir que não ocorra vazamento de informações ou acesso indevido a elas. Em caso de incidências nesse sentido, como um ataque bem sucedido de hackers ao banco de dados, a Agência Nacional de Proteção de Dados (ANPD) deve ser prontamente notificada.

Também é obrigação da empresa manter registro dos processos realizados no tratamento das informações para controle e segurança das ações. Em paralelo a isso, o controlador tem de orientar os funcionários envolvidos no tratamento em relação a boas práticas da segurança de dados.

Punições previstas na LGPD

Qualquer descumprimento à lei, como má prática no tratamento de dados ou não atendimento às solicitações de titulares, está sujeito a estas penalidades:

  • advertência acompanhada de indicação de prazo para tomada de medidas corretivas;
  • multa simples de 2% do faturamento do ano anterior, limitada a R$ 50 milhões;
  • multa diária, respeitando o critério e o limite anteriores;
  • bloqueio dos dados aos quais a infração se refere até correção dos problemas constatados;
  • eliminação dos dados envolvidos na infração.

É a ANPD o órgão responsável por fiscalizar o cumprimento da lei e, quando necessário, aplicar as penalidades descritas. Para isso, ela observa critérios como:

  • gravidade da infração e direitos pessoais desrespeitados,
  • vantagem conseguida ou pretendida na infração;
  • reincidência;
  • cooperação do infrator após constatadas as suas práticas;
  • proporcionalidade entre gravidade da infração e intensidade da pena;
  • ações e políticas adotadas para minimização de riscos e danos e garantia da conformidade após as sanções recebidas.

Tem mais alguma dúvida acerca de Lei Geral de Proteção de Dados? Deixe nos comentários para podermos ajudar.

Deixe uma resposta