LGPD e startups: O que diz a lei geral de proteção de dados pessoais?
Você sabe o que é a LGPD e como ela pode impactar na rotina da sua empresa? A “GDPR brasileira” vai afetar a forma como as organizações coletam, armazenam e manejam dados dos seus clientes.
Com a sua aprovação, as empresas brasileiras precisarão estar atentas às obrigações determinadas pela legislação. No universo das startups não é diferente, empreendedores devem realizar alterações nos seus procedimentos internos para se adequarem à lei.
Confira a seguir quais mudanças serão necessárias, entenda como a legislação pode afetar a rotina do seu negócio e saiba se preparar!
Sumário
O que é a LGPD?
A Lei 13.709/18, sancionada em agosto de 2018 pelo presidente Michel Temer, determina regras para captação, armazenamento, tratamento e compartilhamento de informações pessoais. O objetivo é garantir a privacidade dos dados das pessoas e permitir mais controle sobre eles.
Também conhecida como Lei Geral de Proteção de Dados (LGPD), ela estabelece 10 princípios legais de prevenção do uso de informações pessoais. Para mais, a lei garante direitos aos titulares dos dados, por exemplo: acesso, correção, exclusão, portabilidade e revogação do consentimento. É importante que a cláusula de consentimento seja clara para o usuário, evidenciando a forma como os dados da pessoa serão tratados.
De acordo com a legislação, os dados pessoais correspondem a qualquer informação referente à pessoa identificada ou identificável. Em outras palavras, qualquer indicativo que permita o reconhecimento de uma pessoa.
Entre as causas que colaboraram para a aprovação da lei foi o escândalo da Cambridge Analytica, que vazou dados dos usuários do Facebook. A fim de solucionar esses inconvenientes, as empresas têm até agosto de 2020 para se adequarem às mudanças.
Outro fator que contribuiu para que o Brasil fizesse parte grupo de países com leis de segurança da informação foi a aprovação da Regulação de Proteção de Dados Gerais (GDPR) pela União Europeia, em maio de 2018.
O documento altera o Marco Civil da Internet e tem aplicabilidade extraterritorial. Ou seja, toda entidade que tiver negócios no país deve se adequar a ela. Para isso, é preciso solicitar o consentimento do usuário para coleta de dados e a permissão para que os titulares requeiram a exclusão dessas informações.
Quais mudanças serão necessárias?
A primeira medida para adequação é realizar o mapeamento detalhado das informações pessoais tratadas. É necessário saber como foram coletadas, como estão armazenadas, quem tem acesso, se são compartilhadas com terceiros e quais são os riscos.
As empresas deverão garantir a segurança dos dados pessoais dos quais têm posse. Além disso, elas precisarão comunicar incidentes de falhas na preservação das informações à Autoridade Nacional de Proteção aos Dados (ANPD), órgão regulador.
Outra mudança é referente ao tratamento de dados de crianças e adolescentes. A partir de agora, será necessária a obtenção de consentimento dos pais ou responsáveis antes da coleta das informações.
A LGPD também determina a criação de uma categoria especial para dados pessoais “sensíveis” — que abrangem referências sobre raça, crença, pensamento político e informações genéticas e biométricas.
A nova norma estabelece a criação de um Comitê de Segurança da Informação dentro das organizações, para analisar os processos internos. Dentro dessa equipe deverá ter um profissional responsável pela proteção dos dados e pela execução da lei na empresa.
Em entrevista com Rafael Zenorini CEO de uma das startups aceleradas pela Oxigênio, a Refinaria de Dados, procuramos entender um pouco mais o que as empresas devem estar atentas no que compete a dados pessoais. “As organizações devem ter atenção além dos dados de cliente, aos dados de colaboradores. Eles devem seguir a mesmas boas práticas de consentimento, segurança e legítimo interesse. A área de Recursos Humanos e Desenvolvimento de Pessoas deve estar atenta a LGPD”, alerta Rafael.
Outro ponto importante a se destacar é necessidade do DPO (Data Protector Officer) ou encarregado de dados. Essa figura passará a ser fundamental para qualquer organização que detém dados pessoais. É o ponto de contato entre o mundo externo e o mundo interno dos dados. É a figura que articula com o orgão regulador e com os usuários. “O mais bacana é que foi aprovado recentemente em uma das comissões que está tratando da vigência da lei que o DPO ou encarregado não precisa ser uma pessoa física. É uma excelente oportunidade para surgirem startups de privacidade. Imagina só o DPO ser um bot?”, complementa Rafael Zenorini.
Como a LGPD interfere na rotina das startups?
A lei é aplicada a todos os setores da economia. De forma geral, muitas organizações já possuem programas implementados para o cumprimento da GDPR, que poderão ser adaptados para LGPD.
Por outro lado, muitas startups terão que estruturar novos setores de implementação para garantir a conformidade com a lei e o prazo estabelecido. A expectativa é que os próximos meses sejam usados para planejamento dentro das organizações.
A legislação também se estende aos subcontratantes de uma empresa, como parceiros de tecnologia e fornecedores. Desse mesmo modo, essas organizações estão sujeitas às diretrizes da nova lei.
Quais são os impactos para o marketing das empresas?
O marketing é uma das áreas que mais trabalha com o manejo de dados. Mas, apesar das significativas mudanças estabelecidas pela lei, o novo contexto de regulamentação pode ser visto como uma oportunidade única para empresas desenvolverem formas inovadoras de tratamento de informações pessoais.
Assim, o profissional de marketing tem a chance de repensar e evoluir as suas estratégias, de modo a gerar valor para o cliente, por meio de métodos mais limpos e naturais para geração de leads.
A aplicação correta de metodologias de marketing — se feita de acordo com as regras de transparência, consentimento explícito e minimização do uso de dados — permitirá a coleta de informações de forma legal e efetiva.
Quais as punições previstas pela lei?
A LGPD prevê sanções para quem não seguir as suas diretrizes. Dentre elas, tem-se: advertências, multas, suspensão parcial, ou até mesmo total das atividades relacionadas ao tratamento de dados pessoais.
As multas podem variar entre 2% do faturamento da empresa, do ano anterior, até R$50 milhões por infração. Sendo que, cada violação pode ser interpretada individualmente, no caso de um vazamento de dados, como cada informação pessoal vazada.
Na prática, isso significa que se uma empresa tem milhares de dados vazados, cada um pode custar até R$ 50 milhões em multa. Existe ainda, a possibilidade de multas diárias para obrigar entidades a corrigirem e interromperem as violações.
A LGPD é um avanço no contexto de segurança de dados pessoais no Brasil, por ser a primeira lei a tratar do assunto no país. A nova legislação garante ao usuário o controle de suas informações pessoais e permite a ele mais privacidade, por meio de normas claras que orientam o tratamento de informações pessoais.
Para se preparar, as instituições devem implantar o Comitê de Segurança da Informação na sua cultura organizacional e estabelecer um planejamento correto, com boas práticas de privacidade na aplicação e manejo de dados pessoais. Nesse sentido, o departamento de Sucesso do Cliente pode ser fundamental para a relação com os leads.
O que você achou desse texto sobre a Lei Geral de Proteção de Dados Pessoais? Gostou? Então assine a nossa newsletter e receba as nossas novidades diretamente na sua caixa de entrada!