A GDPR é a nova lei de proteção de dados da União Europeia. Ela fala sobre a restrição do uso de dados sem o consentimento de usuários. Todas as empresas que atendem residentes europeus ou que possuem sistemas e subsidiárias na Europa se submetem à lei. Inclusive as startups brasileiras. Especialmente aquelas com modelo de negócios focado em coleta de informações. Veja a seguir o que muda nas startups com a nova lei de dados!

eBook: Guia de investimentos para Startups

Consentimento do usuário é obrigatório

A GDPR torna obrigatório o consentimento do usuário para uso de dados não previsto nas atividades essenciais do negócio. Consentimento significa oferecer aos indivíduos real escolha e controle. Dessa forma, a empresa cria confiança e engajamento e melhora sua reputação. Para realizar isso, a startup deve tornar acessíveis as políticas de privacidade.

Mas, antes disso, deve verificar as atuais práticas de consentimento adotadas. Elas atendem ao padrão GDPR? O consentimento está separado de outros termos e condições? Ele não pode, por exemplo, ser uma condição prévia para se inscrever em um serviço.

Direito de ser informado

Outro ponto muito relevante para as startups é o direito de ser informado. O GDPR é específico sobre as informações que a empresa fornece ao usuário acerca do uso dos dados pessoais. São as chamadas “informações de privacidade”.

Isso significa que a empresa deve fornecer informações para os usuários de uma maneira fácil de acessar, ler e entender. Da mesma forma, deve enquadrar a abordagem atual de fornecimento de informações de privacidade nos padrões do GDPR.

O direito de ser informado abrange alguns dos principais requisitos de transparência do GDPR. Por isso, dê aos usuários informações claras e concisas sobre o que sua empresa faz com seus dados pessoais.

Direito de acesso

Com a nova lei de dados, as startups devem obedecer ao direito de acesso. Mas o que é isso? É o direito do usuário de obter uma cópia de seus dados pessoais e de outras informações suplementares. Assim, ele entende como e porque a empresa está usando seus dados. Além disso, pode verificar se ela está fazendo isso de forma legal.

Outros direitos do usuário previstos na GDPR

O GDPR estabelece muitos direitos do usuário no tocante a seus dados pessoais. Eles podem corrigir os dados imprecisos ou concluir dados incompletos. São desdobramentos do chamado princípio da precisão.

Um dos direitos que chama a atenção é o direito de ser esquecido. Ou seja, de apagar os dados pessoais. Ele pode ser invocado somente em certas circunstâncias, como:

  • Dados pessoais não são mais necessários para o propósito que motivou a coleta e o processamento;
  • Indivíduo retira o consentimento para o uso de dados ou para seu processamento;
  • Processamento ilegal de dados;
  • Cumprimento de obrigação legal.

Outro direito no mesmo sentido é o de restrição do processamento dos dados pessoais. Ele também não é absoluto e pode ocorrer em determinadas circunstâncias.

Segurança da informação reforçada

Considerando todos os direitos do usuário, o GDPR obriga as startups a terem uma política de segurança da informação reforçada. Basicamente, a empresa deve ter controle sobre quais informações solicitadas ao usuário e o motivo de pedi-las. Do mesmo modo, saber o tempo pelo qual ficarão armazenadas e as medidas de segurança de dados em vigor.

Apesar de uma startup não ter um diretor de proteção de dados, ela deverá guardar as informações de forma segura. O objetivo é simples: evitar vazamento de dados. A criptografia é uma das técnicas que pode ser utilizada para este fim.

Lei 13.709/18 – A lei brasileira de proteção de dados pessoais

A Lei nº 13.709/18 dispõe sobre a proteção de dados pessoais e altera o Marco Civil da Internet. Ela foi impulsionada pelo GDPR e pelos escândalos de vazamentos de dados de usuários. Lembra-se do escândalo do Facebook no caso da Cambridge Analytica? Exatamente. A lei brasileira foi publicada  em 14 de agosto de 2018. No entanto, entrará em vigor somente após 18 meses, contados de sua publicação oficial.

Já em seu artigo 1º ela diz qual seu objetivo: “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Ou seja, é um espelho da GDPR.

A nova lei de proteção de dados impacta na rotina de dados das startups. Assim como União Europeia publicou a GDPR, o Brasil também passou a ter normas que dispõem sobre o tratamento dos dados pessoais. Para atender às leis, é interessante contar com o acompanhamento de um advogado.

Ainda tem dúvidas sobre a GDPR? Deixe seu comentário!