Proteção de Dados: como a lei afetará a minha pequena startup?

Proteção de Dados: como a lei afetará a minha pequena startup?

Em um artigo publicado anteriormente neste blog, tratei sobre os aspectos gerais da Lei de Proteção de Dados Pessoais, aprovada recentemente pelo Legislativo Federal. Apesar da importância dessa atualização normativa, o assunto parece muito distante para os empreendedores, principalmente de pequenas e médias empresas.

Esse “afastamento” do assunto é natural, uma vez que os casos de desvirtuamento da finalidade dos dados pessoais de usuários e clientes geralmente encontra-se atrelado às grandes corporações, que têm tecnologia suficiente para – num cenário que parece futurístico – utilizar da big data e da análise de dados para induzir comportamentos humanos, como comprar um produto específico, votar ou não em determinado candidato ou adotar certos posicionamentos pré-estabelecidos. E isso não é futuro: é a realidade.

Porém, engano de quem acha que a Lei de Proteção de Dados Pessoais afetará somente as grandes empresas de base tecnológica. A norma, em sua essência, atingirá toda e qualquer pessoa – natural ou física, de direito público ou privado – “independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”, que: i) trate dados no Brasil; ii) o tratamento de dados tenha o objetivo de oferecer produtos ou serviços no Brasil, ou, por fim; iii) a coleta de dados tenha sido realizada no Brasil.

Então, saiba que por menor que seja a sua empresa, se ela tratar dados, estará sujeita aos deveres da Lei. E por “tratar” dados, entenda “[…] toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.” (art. 5º, XII).

Ou seja: considerando que é quase impossível qualquer empresa, seja ela MEI, de pequeno, médio ou grande porte, prestar qualquer serviço sem coletar dados pessoais de seus clientes e fornecedores, todas estas estão submetidas às determinações legais.

Dentre as inúmeras obrigações a serem realizadas pelas empresas para se adequarem à LGPD, está a atualização dos documentos empresarias, no intuito de tornar claro ao usuário como os seus dados serão tratados, a quem serão fornecidos, dentre outras funções. Essa atualização tem o intuito de obrigar o proprietário dos dados que forneça o consentimento inequívoco para a utilização de seus dados por terceiros. E por tais documentos, entenda Termos de Uso, Políticas de Privacidade, Contrato de Prestação de Serviços, et al.

Ademais, a própria estruturação das empresas poderá ser afetada, uma vez que as formas de atendimento ao usuário para que este tenha informação sobre o tratamento dos seus dados deverá ser facilitada e estendida, nos termos do art. 8º da LGDP. Com isso, o usuário deverá ter a opção de executar os seguintes comandos de forma simplificada: solicitar o acesso aos dados existentes; a anonimização, bloqueio ou eliminação de dados desnecessários; a portabilidade dos dados para outras empresas, bem como a exclusão total dos dados do sistema.

Em que pese o período de 18 meses concedido pela Lei para que as empresas se adaptem às mudanças, é importante que tais atualizações sejam feitas de forma antecipada e por profissionais especializados, uma vez que as sanções aos transgressores no tratamento de dados são graves, partindo desde multas até à suspensão parcial das atividades empresariais.