Lei Geral de Proteção de Dados
A mudança no cenário internacional fez com que surgisse a necessidade para a elaboração de uma Lei – que muito se assemelha à europeia – buscando a proteção de dados pessoais no contexto regulatório brasileiro. A Lei Geral de Proteção de Dados (LGPD) possui foco na proteção de dados pessoais de usuários, além de promover a responsabilização por parte das empresas na coleta e tratamento destes dados.
A LGPD traz conceitos básicos como dado pessoal, dado anonimizado, titular de dados, tratamento, entre outros, para embasar suas disposições. Além disso, também traz a necessidade do consentimento dos titulares das informações pessoais para coleta de dados, bem como da opção de não compartilhamento de dados.
Em complemento a isso, a Agência Nacional de Proteção de Dados – ANPD publicou uma Resolução que regulamenta a aplicação da LGPD e que se aplica a microempresas, empresas de pequeno porte e startups.
Principais pontos para as startups
Devido ao conceito de startup, a forma como esse tipo de negócio lida com dados é de suma importância, seja pelo fato de que há uma tendência global no uso de dados pessoais ou em decorrência do caráter escalonável dessas empresas. Nesse sentido, é importante se atentar ao tratamento de dados considerados de alto risco, os quais não fazem parte do escopo da Resolução citada acima.
De acordo com a nova Resolução, as startups estão dispensadas de conferir portabilidade de dados para outro fornecedor, de manter registro das operações de tratamentos dos dados pessoais, de indicar encarregado de dados e apresentar declaração de origem, registro e forma de tratamento de dados pessoais.
Ainda, houve a simplificação de procedimentos de apresentação do Relatório de Impacto de Dados Pessoais, bem como da comunicação de incidentes de segurança, da medida de segurança da informação, das boas práticas e compliance de dados e, ainda, do atendimento de requisição dos titulares de dados.
Dicas preciosas do N8 para a Resolução da ANPD
- Não adotar a definição de startups da Lei Complementar 182/2021: ao se considerar prazo de dez anos para constituição do CNPJ, em hipóteses de incorporação, é contado o prazo da incorporadora. Em operações de acqui-hiring, a startup perderá seu status.
- Operação de tratamento de “alto risco” e “larga escala”: é necessário buscar parâmetros para a definição de larga escala.
- Estímulo à auto-regulamentação: a ANPD cria mecanismos de boas práticas de startups como um checklist para medição de conformidade.
- Prestígio ao modelo sandbox regulatório: criação de um ambiente transgressor e realização de experimentos dentro de um conjunto de regras sem danos aos titulares.
.
Por fim, é evidente as inúmeras mudanças que ocorreram após a instauração da Lei Geral de Proteção de Dados. A LGPD também dá às startups o prazo em dobro para atender requisições de lei e não inclui no escopo as startups que lidam com dados sensíveis e de alto risco. Desse modo, com a orientação correta, é possível utilizar essa Resolução a favor do seu negócio para expandi-lo e contornar diversas situações.