Startups – Como saber se está adequada à LGPD?
11/11/22
Aos poucos, as cobranças de adequação à Lei Geral de Proteção de Dados já estão sendo realizadas. Muitos empreendedores ainda têm dúvidas de como estão se dando essas demandas e se as exigências são para a suas empresas também, sejam startups ou não.
A verdade é que, muito além da fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), o próprio mercado está “se regulamentando” e cobrando as empresas, seja por meio de parceiros que exigem a adequação para fechar um contrato, ou até mesmo o cliente, que já tem conhecimento dos seus direitos e busca empresas que tenham responsabilidade com o tratamento dos seus dados.
Para as startups, as imposições também vem por meio de parceiros e clientes, mas existe ainda a cobrança dos investidores, ou você acha que um investidor vai aportar dinheiro na sua startup se ela não estiver adequada às legislações obrigatórias?
Aqui no nosso blog, já falamos sobre o impacto da adequação à LGPD nos investimentos para Startups, você pode conferir clicando aqui.
Agora, você deve estar se perguntando: Como sei se a minha startup está adequada?
A adequação das Startups é a mesma que para empresas tradicionais?
Toda empresa, que trata dados pessoais, seja de clientes ou de colaboradores, está obrigada a se adequar à LGPD. Mas, primeiramente, é importante saber se a sua startup se enquadra ou não na Regulamentação da LGPD para Empresas de Pequeno Porte.
Em janeiro de 2022 foi promulgada a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que aprova o regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.
Para saber se a sua startup se enquadra nos benefícios do regulamento, você pode ler o nosso artigo sobre a Regulamentação da LGPD para Empresas de Pequeno Porte.
Nesse sentido, se a sua startup se enquadrar na utilização dos benefícios da referida resolução, com a dispensa ou flexibilização das obrigações dispostas, deve-se atentar que tal regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
Em resumo, sua startup poderá ter algumas flexibilizações, como por exemplo, prazo em dobro para atendimento de solicitações dos titulares; não serão obrigados a indicar um encarregado de dados (DPO), mas deverão mesmo assim ter um canal de comunicação para o titular dos dados, entre outras.
No entanto, você segue obrigado a cumprir as exigências de modo geral, adequando a sua startup à LGPD.
Quais são as principais exigências da LGPD para Startups?
Vamos lá! Separamos alguns pontos primordiais, que devem ser trabalhados dentro da sua startup para que você atenda as exigências da LGPD.
Mapeie todos os canais de dados – startups
Para começar a preparar sua startup para LGPD, é necessário, sobretudo, que você rastreie todas as fontes em que são coletados os dados de clientes, desde os canais offline até os digitais.
Cada startup tem seus processos internos exclusivos, por isso convém fazer essa busca sem se basear em outras empresas.
De modo geral, podemos citar alguns exemplos para você começar, como os formulários preenchidos no primeiro atendimento ao cliente. Além disso, há as ligações telefônicas, trocas de mensagens nas redes sociais, troca de mensagens internas entre colaboradoras, e, inclusive, o diálogo no momento do cadastro na recepção.
Se a sua startup é B2B, ou seja, vende para outras empresas, você precisa analisar se no seu serviço há alguma troca de dados no que se refere ao cliente do seu cliente, e ainda, aos dados dos seus colaboradores.
Exclua os dados depois de usados – startups
Uma das exigências da nova lei é a exclusão dos dados logo após o término do atendimento, para garantir a segurança das informações.
Entretanto, se houver necessidade de arquivamento desses registros, é importante pedir o consentimento do cliente e mantê-los protegidos com o responsável por controlar essa parte, o Data Protection Officer (DPO) ou, em português, o encarregado de guardar os dados.
Proteja com mais rigor os dados sensíveis – startups
Todas as startups que trabalham com dados sensíveis, devem ficar atentas às normas sobre a manipulação de dados desse grupo. É necessário um maior cuidado com essas informações.
Mas o que são considerados dados sensíveis?
Os dados sensíveis são aquelas informações pessoais que possam vir a gerar qualquer tipo de discriminação, como dados de saúde, raciais, religiosos, ou dados de menores de idade e biometria, por exemplo.
Atualize os processos de coleta de dados – startups
Os clientes e colaboradores devem consentir o uso das suas informações, tanto no momento da coleta quanto do armazenamento e tratamento.
Na prática, isso significa que a sua startup deve desenvolver um documento de consentimento, informando o recolhimento, finalidade e processamento das informações pessoais e cadastrais.
Colete apenas os dados necessários – startups
Um dos princípios da Lei Geral de Proteção de Dados é a necessidade de coleta. Ou seja, para recolher as informações é preciso pensar no porquê está sendo feito isso, para não haver excesso delas em relação ao objetivo.
Assim, não há motivos para, por exemplo, recolher o nome dos pais de um cliente ou colaborador apenas para consultá-lo. Ou ainda, ter essa informação para enviá-lo um material gratuito por e-mail.
Por isso, sempre pense se é mesmo necessário ter tais informações, até mesmo para assegurá-lo de não vazar algo que você nem utilizou, mas que responderá as sanções igualmente.
Revise e adeque contratos, políticas de privacidade e outros documentos – startups
Outro ponto importante no processo prático de adequação à LGPD é revisar e adequar documentos como contratos e políticas de privacidade. Ou seja, toda a documentação relacionada à coleta e tratamento de dados envolvendo funcionários, parceiros, clientes e visitantes do site.
Nesse contexto, todos os documentos devem estar dentro dos parâmetros da LGPD e prever a conformidade com a lei, especialmente no caso de contratos com terceiros.
Vale destacar que é comum que as empresas tenham a impressão de que a adequação se limita a essa revisão e criação de documentos, mas este é apenas um ponto dentro de um processo de adequação muito maior e mais complexo.
Conclusão
Não há uma receita pronta para preparar a sua startup para a LGPD, mas há alguns passos fundamentais a serem seguidos. Aproveite as orientações dadas neste artigo para começar a fazer a implementação no seu negócio.
Por vezes, a adequação à LGPD pode parecer algo inatingível, mas para se adequar primeiramente é necessário mudar a cultura no que diz respeito ao gerenciamento dos arquivos, contratação de especialistas e investimento em segurança da informação.
De modo geral, é recomendável que a sua startup faça um mapeamento, a documentação dos dados que já possui e classifique essas informações. É importante, por exemplo, verificar se estão armazenadas de maneira segura, se foram coletadas mediante consentimento e para qual finalidade.
Além disso, os funcionários que lidam com dados de pessoas e clientes devem assegurar o sigilo das informações seguindo boas práticas de segurança da informação.
Caso você ainda esteja com dúvidas, clique aqui e converse com um de nossos consultores jurídicos, especialistas na adequação à LGPD.
Quer mais dicas como essa? Então, siga-nos nas redes sociais e tenha acesso a conteúdos como esse.
Posts mais recentes:
- Erro de Diagnóstico: Um Guia Completo para Laboratórios
- Gestão da Qualidade na Saúde: Priorizando a Segurança do Paciente
- Boas práticas em laboratórios de análises clínicas: comece a aplicar hoje mesmo!
- Lei Geral de Proteção de Dados: o seu RH está preparado?
- Auditoria Interna de LGPD: Verificando a Conformidade Regularmente
