A Lei Geral de Proteção de Dados entrou em vigor. Todas as pessoas físicas e jurídicas que utilizam dados pessoais (de pessoas naturais), mesmo que não seja por meio digital, precisam se adequar a nova lei através da implantação de uma cultura de proteção de dados.
Confira abaixo algumas dicas sobre como iniciar a adequação da sua empresa.
1. Você não vai encontrar um guia de adequação na Lei.
Quem recorre à leitura da LGPD atrás de um “guia” do que deve ser feito acaba se decepcionando. A Lei traz apenas diretrizes e apontamentos sobre responsabilidades, direitos e deveres das empresas e dos titulares de dados – mas ela não fala “como” esses pontos devem ser aplicados. Fica a cargo da startup buscar, por seus próprios meios, formas de garantir aquilo que é exigido pela Lei. Um bom ponto de partida é estudar sobre boas práticas em segurança da informação e as Normas da família 27000 da ISO.
2. Comece cedo (e por aquilo que está ao seu alcance).
Sabemos que a realidade das startups é operar com orçamento limitado. Por isso, é muito mais barato, e inteligente, desenvolver sua plataforma e ferramentas de uma forma que a privacidade seja, desde o planejamento inicial, valorizada. É o que chamamos de privacy by design. Isso torna o caminho para a elaboração de documentos muito mais fácil, rápido e menos custoso.
3. Estabeleça uma data limite para armazenar informações (e cumpra).
Chega de guardar dados e documentos por tempo indeterminado. Usuários têm que ser informados sobre o local e o prazo de armazenamento das suas informações. Você realmente precisa daqueles e-mails de três anos atrás?
4. Colete o mínimo de informações necessárias para o objetivo que você busca.
Qual a necessidade de coletar o número de celular dos usuários, se você não usa para entrar em contato? A coleta de informações em excesso pode se transformar em um risco desnecessário para a startup em sua fase inicial de operação.
5. Crie um canal de comunicação direto da empresa com os titulares de dados pessoais.
Uma das exigências da Lei é o fácil acesso às informações coletadas. A melhor maneira de fazer isso é criando um canal de comunicação exclusivo para assuntos relativos à privacidade de dados, e o treinamento de uma pessoa responsável por conduzir e responder solicitações.
LGPD PARA MARKETING
1. Clique aqui se NÃO deseja receber nossos e-mails?
O respeito à privacidade deve ser o padrão comportamental. Isso significa que cadastrar e usar um mailing baseado na inércia de usuários (o famoso “quem cala consente”) não tem mais espaço. Exija o opt-in afirmativo enquanto cria a sua base de mailing. Checkboxes pré-marcados com “sim, eu aceito”, também perderam a vez.
2. Faça a gestão de cookies do seu site.
Os cookies são pequenos arquivos que armazenam informações. No marketing, podem ser utilizados para direcionar campanhas ou identificar visitantes do seu site, por exemplo. Seja transparente com quem visita o seu site. Dê a opção de escolha aos usuários.
3. Cuidado ao utilizar bancos de e-mails vindos de parceiros.
Usar bases de dados de parceiros para o marketing pode ser um risco para a sua empresa. Antes de utilizar, é bom se certificar de que os usuários foram informados e concordaram com esse compartilhamento. Se você não pode rastrear essa origem lícita e ética, não use – simples assim. Bases comercializadas? Esqueça!
LGPD PARA A GESTÃO/BOARD
1. Treinamento de equipes é tão importante quanto investimentos em segurança e redação de documentos jurídicos.
Você sabia que o fator humano é o principal risco envolvendo vazamento de informações empresariais? Ainda que documentos e processos da empresa estejam em conformidade com a LGPD, é importante que toda a equipe esteja alinhada quanto às boas práticas e respeito à privacidade. Muito mais do que uma adequação jurídica ou técnica, a LGPD veio consolidar a importância de uma conscientização sobre a privacidade.
2. Estar em conformidade com a LGPD não é um processo com início, meio e fim.
A LGPD não é pontual, e os riscos envolvidos no negócio não são estáticos. O investimento em novas ferramentas de controle e hábitos de revisão de processos e documentos devem acompanhar o crescimento da startup. Sempre que a sua operação for alterada, ou novas funcionalidades forem implementadas, é importante realizar uma revisão nos processos, práticas e documentos da empresa.
3. Não compartilhe dados com qualquer parceiro comercial.
O compartilhamento de dados precisa ser informado aos titulares – às vezes, ainda é necessário o consentimento. Além disso, a sua empresa poderá ser responsabilizada caso compartilhe com parceiros que não seguem a LGPD ou que não tratam os dados com segurança.
*Luiz Gomes, advogado, sócio do escritório Gomes Barcelos, e cofundador da Casa Norma; Especialista em Direito Digital, DPO. No Gomes Barcelos, é responsável pela frente de Segurança e Privacidade de Dados, seu campo de pesquisa e especialização acadêmica, auxiliando empresas na transição entre o físico e virtual, e cultivando boas práticas jurídicas a quem deseja expandir a sua atuação na internet. www.gomesbarcelos.adv.br
