Adequação da LGPD para startups: guia definitivo

Veja quais são os principais passos que as startups devem adotar para atuar dentro dos limites da Lei Geral de Proteção de Dados Pessoais

Adequação da LGPD para startups: guia definitivo Adequação da LGPD para startups: guia definitivo

Por Laura Mallet, Lucas Euzébio e Layon Lopes*

Desde 2018 faz parte da discussão do mercado tecnológico, seja por empresas de grande, médio ou pequeno porte, as normas previstas na Lei nº 13.709, de 14 de agosto de 2018, que ficou conhecida como Lei Geral de Proteção de Dados (LGPD). Em razão disso, entendemos necessário esclarecer como deverá se dar o processo de adequação da LGPD para startups que tenham o tratamento de dados pessoais como sua atividade principal ou acessória.

Isso porque, a LGPD entrou em vigor no ano de 2020 e instituiu a Autoridade Nacional de Proteção de Dados (ANPD), que tem como objetivo fiscalizar as empresas e supervisionar a adequação das atividades empresariais às normas relativas à proteção de dados pessoais. 

Conteúdo

O que é a LGPD e o seu objetivo?

Quais são os principais atores envolvidos na LGPD?

Como se aplica a LGPD para Startups?

Como funciona a aplicação das sanções administrativas pela ANPD?

 

A ANPD, embora ainda esteja se estruturando, já possui regulamentado os procedimentos de fiscalização e o processo administrativo sancionador, assim como, recentemente, regulamentou a dosimetria e a aplicação de sanções para empresas que não se adequaram às normas legais instituídas através da LGPD.

Por conta disso, se torna essencial que todas as empresas se adequem à LGPD para mitigar riscos relacionados à sanções administrativas aplicadas pela ANPD e responsabilidade civil relativa ao tratamento inadequado de dados pessoais.

O que é a LGPD e o seu objetivo?

A LGPD foi elaborada como uma resposta brasileira às mudanças mundiais relativas às políticas de proteção dos dados pessoais dos usuários das plataformas inseridas dentro da rede mundial de computadores.  

Tais mudanças são produtos das discussões decorrentes dos escândalos envolvendo vazamento de dados pessoais e informações confidenciais dos governos das principais potências mundiais, entre eles: o vazamento de dados governamentais por Julian Assange, criador do site WikiLeaks; ou ainda, a suspeita de uso indevido dos dados pessoais dos usuários do Facebook pela empresa Cambridge Analytica, com a finalidade de interferir indevidamente nas eleições Norte-Americanas de 2016.

Por conta disso, em 2016, a União Europeia editou a Regulação (EU) 2016/679, denominada “General Data Protection Regulation”, que tem como objetivo assegurar o processamento de dados pessoais feito de forma leal, justa e transparente. Este fato concedeu ao cidadão europeu novos instrumentos para ter acesso ao processo de tratamento de seus dados feitos pelas empresas, podendo até mesmo solicitar a exclusão permanente de seus registros.

A novidade europeia serviu como base para a LGPD no Brasil, modificando a forma como os dados pessoais dos brasileiros são coletados, processados, armazenados, transferidos e destruídos, com o objetivo de garantir aos titulares de dados pessoais a segurança quanto a forma que os seus dados são utilizados e compartilhados.

Para tanto, conforme destaca o Serviço Federal de Processamento de Dados (Serpro), a LGPD estabeleceu 10 (dez) princípios que devem reger o tratamento dos dados pessoais, sendo que o tratamento de dados pessoais deve:

  • Possuir uma finalidade, que deve ser específica e explícita ao titular;
  • Ser adequado à finalidade divulgada ao titular, observado o acima indicado;
  • Ser necessário para alcançar a finalidade divulgada ao titular, limitado ao uso dos dados pessoais essenciais para tanto;
  • Ser de acesso livre, fácil e gratuito aos titulares, que para que tenham a ciência de como seus dados pessoais estão sendo tratados;
  • Ter sua qualidade mantida, de forma a garantir que os dados pessoais estão sendo tratados em sua forma exata e atualizada, de acordo com a necessidade do tratamento;
  • Ser transparente, de forma que o titular possua informações claras e acessíveis sobre como se dá o tratamento de seus dados pessoais e quem é responsável por este;
  • Garantir a segurança, para coibir situações acidentais ou ilícitas como invasão, destruição, perda e difusão;
  • Possuir mecanismos de prevenção contra danos ao titular dos dados pessoais e demais envolvidos;
  • Garantir a não discriminação, ou seja, não permitir atos ilícitos ou abusivos; e,
  • Garantir a responsabilização do agente, que é obrigado a demonstrar a eficiência das medidas adotadas para cumprir com o disposto nos princípios acima.

É importante frisar que “tratamento de dados” nada mais é do que toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

E o que seriam os dados pessoais, então? São todas as informações relacionadas à pessoa natural identificada ou identificável –  aquela pessoa que, por meio de outros elementos, se sabe quem é.

Quais são os principais atores envolvidos na LGPD?

O primeiro passo para verificar se uma empresa está atuando dentro dos limites delineados pela Lei é saber quem são os principais sujeitos envolvidos nesta relação e quais são as suas respectivas funções:

  • Titular: é toda pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Controlador: É toda pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: É toda pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Encarregado (Data Protection Officer): É toda pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
  • Agentes de Tratamento: Controlador e Operador.

Como se aplica a LGPD para startups?

Para que haja a aplicação das normas previstas, a adequação da LGPD para startups deve ser feito seguindo os seguintes passos:

1º Mapeamento dos Dados Pessoais 

Na adequação da LGPD para startups, é necessário identificar, no âmbito do seu modelo de negócio, quais os dados pessoais que precisam ser objeto de tratamento perante o escopo de seu produto ou serviço, assim como, quais serão os tratamentos a serem realizados perante tais dados pessoais.

A partir disso, é necessário identificar as bases legais que justificam o tratamento dos dados pessoais. 

2º Verificação dos terceiros com quem os Dados Pessoais serão compartilhados

Em sequência, a startup deve avaliar se haverão fornecedores, parceiros ou similares com que serão compartilhados os dados pessoais e realizar a definição dos agentes de tratamento para cada caso – ou seja, se a startup e o terceiro atuarão como controladores e/ou operadores entre si e as responsabilidades de cada um sobre o tratamento destes dados pessoais.

3º Criação de documentação de conformidade

Para garantir a adequação da LGPD para startups, os procedimentos internos adotados devem ser formalizados e documentados. Há documentos que precisam ser divulgados ao público e compartilhados com os titulares de dados pessoais, para que verifiquem como se dá o tratamento dos seus dados pessoais, as finalidades e a garantia do cumprimento aos seus direitos, como é o caso da Política de Privacidade. 

Aliado a isso, a startup deverá possuir uma Política de Segurança da Informação, que indique as diretrizes de segurança da informação adotada pela startup, assim como, um Plano de Ação de Resposta a Incidentes, que deverá indicar o procedimento a ser adotado pela startup em caso de identificação de incidentes envolvendo os dados pessoais que realiza o tratamento.

Por fim, recomenda-se a criação de Acordo de Processamento de Dados a ser firmado com os terceiros com quem a startup realiza o compartilhamento de dados pessoais, para garantir as obrigações e responsabilidades de cada parte no tratamento de tais dados pessoais.

4º Definição de Data Protection Officer

No processo de adequação da LGPD para startups, a empresa atua na posição de controladora de dados pessoais e deve definir uma pessoa encarregada pela comunicação com o titular dos dados pessoais e com a ANPD, que deverá possuir um canal de comunicação estabelecido, sendo recomendável que este canal de comunicação seja próprio e exclusivo para este fim.

Importante! Startups que atendam que atendam os critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021 e empresas que estejam enquadradas como microempresas ou empresas de pequeno porte, podem se beneficiar de tratamento jurídico diferenciado, que permite a simplificação de determinadas exigências previstas na LGPD, como:

  • disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares através de meio eletrônico, impresso ou qualquer outro meio que permita o atendimento;
  • cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais, de forma simplificada, conforme modelo a ser oportunamente disponibilizado pela ANPD;
  • flexibilização ou procedimento simplificado de comunicação de incidente de segurança para agentes de tratamento de pequeno porte, nos termos de regulamentação específica a ser oportunamente emitida pela ANPD;
  • ausência de obrigação de indicação de Data Protection Officer, contudo deve disponibilizar um canal de comunicação específico para se comunicar com os titulares dos dados pessoais;
  • estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
  • adoção de prazo em dobro para atendimento de comunicações com os titulares dos dados pessoais e com a ANPD relativa à incidentes.

Por fim, vale ressaltar que para adequação da LGPD para startups ser feita com sucesso é preciso assegurar os direitos dos titulares dos dados pessoais, sendo necessário que os titulares concedam conscientemente autorização para que a startup realize o tratamento de seus dados pessoais, a qual, geralmente, deve ser dada de forma escrita e em documento separado das demais cláusulas do contrato firmado. Caso os agentes de tratamento quiserem repassar os dados coletados a terceiros, somente poderão fazê-lo mediante a autorização do titular.

No entanto, há de se ter em mente que, mesmo após a concessão da autorização, o titular terá direito ao acesso às informações sobre o tratamento de seus dados, os quais deverão ser disponibilizadas pelos agentes de tratamento de forma clara e abordar, dentre outros temas: qual a finalidade específica do tratamento; a forma e duração do tratamento; a identificação do controlador; as informações de contato do controlador; as informações acerca do uso compartilhado de dados pelo controlador e a finalidade; as responsabilidades dos agentes que realizarão o tratamento; e os direitos do titular.

O titular dos dados terá direito a acessá-los, solicitar sua alteração, correção ou exclusão, bem como revogar o consentimento a qualquer momento. As respostas às solicitações dos titulares devem ser dadas pelos agentes de tratamento e indicar, se for o caso, a razão pela qual não é possível o seu imediato atendimento.

De outro lado, se as startups que realizam o tratamento de dados pretenderem transferi-los para terceiros de outros países, é importante reforçar que a LGPD tem como um dos seus pontos mais marcantes a chamada Aplicação Extraterritorial. Ela se aplica a qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território brasileiro; ou a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil; ou ainda, se os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Destacamos que em relação à aplicação da LGPD, o legislador, em momento nenhum, específica que somente o tratamento de dados pessoais será objeto da GPD. Portanto, qualquer empresa que processe, trabalhe ou se utilize de dados (pessoais ou não) está submetida ao diploma legal em análise.

Atingida a finalidade buscada pelas startups através do tratamento dos dados dos usuários, a operação será considerada encerrada para fins da lei. Finalizado o tratamento de dados, os operadores devem eliminá-los de acordo com o âmbito e os limites técnicos de sua atuação, sendo autorizada a sua manutenção em algumas hipóteses previstas em lei (cumprimento de obrigação legal, estudos para órgãos de pesquisa, transferência autorizada a terceiros ou por conta de uso exclusivo do controlador).

Como funciona a aplicação das sanções administrativas pela ANPD?

A ANPD, com o intuito de verificar o cumprimento das normas previstas na LGPD, possui processo de fiscalização, em que são realizadas atividades de monitoramento, orientação e prevenção, que podem ser realizados de ofício, em decorrência de programas periódicos de fiscalização, ou ainda, em cooperação com Autoridades Nacionais de Proteção de Dados de outros países.

Durante a atividade de monitoramento, ou através de recebimento de denúncias, anônimas ou não, a ANPD poderá identificar infrações às normas da LGPD que estão sendo cometidas pelas empresas reguladas.

Nestes casos, a ANPD poderá solicitar a elaboração de plano de conformidade ou solicitar regularização imediata.

Quando houver identificação de infrações, a ANPD instaura processo investigatório, denominado de “fase de instrução de procedimento preparatório”, com o intuito de averiguar a infração cometida pela empresa, através da solicitação de esclarecimentos, realização de diligências, entre outros.

Concluída a fase de instrução do procedimento preparatório, a ANPD poderá determinar o seu arquivamento ou a instauração de instaurar processo administrativo sancionador, sem prejuízo da adoção de medidas de orientação e prevenção, conforme o caso.

Vale destacar que a ANPD, em razão da natureza da infração ou da sua gravidade, poderá optar por não realizar o processo investigatório e por instaurar, imediatamente, o processo administrativo sancionador.

A LGPD determina as sanções que podem ser aplicadas, de acordo com a gravidade da infração e reincidência, em casos de instauração de processo administrativo sancionador em que há condenação, podendo ser, cumulado ou não:

  • advertência;
  • multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração;
  • multa diária, observado o limite total do item acima;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;   
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Contudo, a forma de aplicação das sanções acima indicadas é definida pela ANPD, com base em normativa específica.

Vale ressaltar que a adoção de boas práticas de conformidade pela empresa, mesmo que não sejam expressamente exigidas às empresas ou que seja objeto de dispensa, como é o caso das startups, pode impactar na análise de aplicação da sanção, podendo mitigar a dosimetria.

A partir do que discorremos acima, é possível verificar que a LGPD é aplicável para toda e qualquer empresa que realize o tratamento de dados pessoais, dentre os acima listados, inclusive para empresas de pequeno porte e para startups que estejam em estágio inicial de operação, mas que já realizem, pelo menos, a coleta e armazenamento de qualquer dado pessoal.

A adequação da LGPD para startups é de suma importância, principalmente considerando que a ANPD já possui procedimentos determinados para processos administrativos sancionadores e as sanções administrativas aplicáveis trazem riscos relevantes à operação de uma startup.

Se quiser saber mais sobre como realizar a adequação da LGPD para startups ou sobre a construção dos documentos mencionados no decorrer do texto, a equipe do Silva Lopes Advogados pode te ajudar!

*Lopes é CEO do Silva Lopes Advogados, Euzébio é sócio e diretor Comercial e Mallet é integrante do time do escritório.