Proteção de Dados para Startups e Empresas de Marketing Digital

Tempo de leitura: 8 minutos

Como muitos já sabem, desde a aprovação da Lei Geral de Proteção de Dados (LGPD) ou Lei nº 13.709/2018, o Brasil está passando por uma fase de mudança de comportamento e transição em relação ao cuidado conferido à segurança da informação e à proteção de dados pessoais de clientes e funcionários.

As grandes empresas de tecnologia estão contratando multinacionais para fornecer serviços como compliance e revisão das políticas de segurança da informação.

Além disso, essas gigantes estão contratando Data Protection Officer (DPO) para se adequar à LGPD e à GDPR. Essa mudança de postura tem acontecido como reflexo da atuação eficaz do Ministério Público na fiscalização de incidentes relacionados à venda, compartilhamento e vazamento de dados pessoais de clientes.

O Ministério Público tem aplicado diversas multas relacionadas à proteção de dados com base no Marco Civil da Internet e no Código de Defesa do Consumidor, foram assinados diversos Termos de Ajustamento de Conduta (TAC) nos últimos meses.

Ainda que a LGPD não tenha entrado em vigor (isso acontecerá em agosto de 2020), a criação dessa Lei juntamente com o projeto para criação da Autoridade Nacional de Proteção de Dados (MP 869/2018) já causam uma mudança de perspectiva, tendo em vista que os cidadãos estão mais atentos à matéria.

Assim, passa a haver uma comoção popular no sentido de defender a privacidade e os dados pessoais como direitos fundamentais à vida em sociedade no século XXI.

O que será que essa lei tem a ver com uma startup, uma pequena empresa de Business Intelligence (BI) ou marketing digital?

Ora, se a sua empresa faz o tratamento de dados pessoais, o que inclui desde a simples coleta, armazenamento, leitura, compartilhamento ou a complexa análise de informações como nome, CPF, RG, e-mail, IP, mapeamento de cliques ou dados de navegação de clientes, em qualquer dessas hipóteses, sua empresa poderá estar enquadrada no âmbito da aplicação da LGPD.

A aplicação da LGPD ocorre, indiscriminadamente, entre empresas de qualquer porte que realizem esse tipo de operação com dados pessoais. Não há qualquer menção ao porte da empresa, atenuantes para startups e pequenas empresas ou tratamento diferenciado para os pequenos players do mercado.

Portanto, todas as startups, empresas de marketing digital ou de BI devem se adequar ao novo regramento de proteção de dados com urgência, tendo em vista que o período de adequação à LGPD está se terminando.

Se você é dono de uma startup ou presta serviços de marketing digital, seja home office ou em uma grande agência de publicidade, deverá se adequar à LGPD e precisará implementar uma política de conscientização quanto ao tratamento dos dados dos seus clientes.

Se a sua empresa coleta dados do usuário para fazer cadastro no aplicativo ou website, coleta e-mails para envio de newsletters, armazena dados coletados por outra empresa ou utiliza dados pessoais para criação de profiling e targeting para criação de mecanismos preditivos de consumo e análises demográficas de perfis de clientes, você precisará se adequar às leis de proteção de dados.

Minha empresa coleta poucos dados, é ‘’inofensiva’’, ainda assim terei que me adequar?

A LGPD não traz qualquer hipótese de exclusão da aplicação devido à análise do porte da empresa ou à quantidade de dados tratados.

Todas as empresas que tratam (coletam, armazenam, compartilham, analisam etc) dados pessoais de clientes ou empregados estarão sujeitas à aplicação da LGPD.

Se uma startup ou pequena agência de marketing digital que funciona home office realizar qualquer uma dessas atividades de tratamento de dados, estará, automaticamente, sujeita à Lei Geral de Proteção de Dados.

Então só precisarei começar a me adequar quando a Lei Geral de Proteção de Dados começar a ser aplicada?

Não.

Antes da vigência da LGPD (agosto de 2020), outras leis já regulam a questão da proteção de dados no Brasil como Código de Defesa do Consumidor, o Marco Civil da Internet, a Constituição Federal e a Lei do Cadastro Positivo.

Inclusive, o Ministério Público já iniciou uma forte fiscalização relacionada à proteção de dados em diversos estados.

Posso utilizar dados coletados por um parceiro comercial ou vender/ceder/compartilhar dados sem o consentimento do usuário?

Não.

Em realidade, o consentimento do usuário (cliente ou potencial cliente) é a regra geral para o tratamento de dados pessoais. As empresas não poderão compartilhar os dados dos seus clientes com parceiros comerciais sem que haja consentimento expresso e específico para esta finalidade.

O regime da LGPD, assim como o previsto no Marco Civil da Internet, prevê que o consentimento do usuário como indispensável para qualquer atividade de provedor de aplicação (sites ou aplicativos, por exemplo). Assim, as startups e empresas de marketing digital quase todas estariam enquadradas neste escopo.

Não é permitido que haja venda de dados pessoais, bem como, qualquer operação gratuita, sem que o titular dos dados pessoais tenha expressa e especificamente autorizado o compartilhamento para esta finalidade determinada.

Quais são as consequências da violação das leis de proteção de dados pessoais?

Atualmente a violação de normas previstas no Marco Civil da Internet e no Código de Defesa do Consumidor tem sido utilizada para embasar ações cíveis de reparação de dados morais e materiais, no âmbito da responsabilidade civil e do Direito do Consumidor. Essas normas podem justificar a aplicação de condenações ao pagamento de indenizações no Judiciário.

Com o novo regime previsto na Lei Geral de Proteção de Dados, de acordo com o disposto no artigo 52, inciso II da LGPD, as empresas que não se adequarem poderão incorrer em infrações às normas de proteção de dados, o que pode implicar em aplicação de multa de até 2% do faturamento anual da empresa ou R$ 50.000.000,00 (cinquenta milhões de reais), independente do porte da empresa ou fluxo de dados tratados.

Como evitar essas sanções para a minha startup ou empresa de marketing digital?

Para a prevenção de incidentes nas empresas ou violações da Lei Geral de Proteção de Dados, recomenda-se a instituição de um regime de proteção de dados, como ‘’remédio’’ jurídico mais adequado para minorar riscos e proteger as empresas dos riscos inerentes às atividades de tratamento de dados pessoais de usuários pessoa física, independentemente de apropriação econômica destes dados.

O mais recomendável agora é a criação prévia e gradual de um programa de proteção de dados pessoais de usuários, o que pode ser composto por:

As startups e empresa de marketing digital em sua grande maioria utilizam o tratamento de dados pessoais como parte do principal do negócio (core business), isso não quer dizer que estas empresas precisarão suspender a atuação com dados pessoais.

No entanto, significa, objetivamente, que todas essas empresas precisarão se ajustar às novas leis de proteção de dados pessoais.

Glossário de alguns termos da LGPD

O nosso ordenamento se preocupou em destacar e explicar alguns termos utilizados no decorrer do texto da lei. Assim, quando lidamos com dados pessoais devemos ter em mente algumas das seguintes definições legais:

  1. dado pessoal é a informação relacionada a pessoa natural (física) identificada ou identificável;
  2. dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  3. tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  4. titular é a pessoa natural (física) a quem se referem os dados pessoais que são objeto de tratamento;
  5. controlador é a pessoa física ou jurídica que tomará as decisões sobre o tratamento de dados pessoais;
  6. operador é a pessoa física ou jurídica encarregada pelo controlador a realizar o tratamento dos dados pessoais.

Importante: a LGPD só entra em vigor em 2020, mas quanto antes começar a adaptação, mais fácil será a transição e o cumprimento das normas!

Tem algumas dúvidas sobre LGPD que não foram respondidas aqui? Então baixe agora o nosso Q&A gratuito sobre LGPD com as respostas para as perguntas mais comuns sobre a nova lei.

Compartilhe esse artigo nas suas redes sociais ajude a compartilhar conhecimento com o ecossistema de startups no Brasil.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *