Artigo original publicado no Portal Na Cuia da Cris.
A LGPD – Lei Geral de Proteção de Dados, Lei nº 13.709/2018, é uma lei que estabelece parâmetros de como os dados pessoais dos brasileiros devem ser coletados, armazenados, processados e destruídos. Se a sua startup pede, pediu ou pedirá dados que identifiquem alguém, é preciso ficar atento(a) à nova legislação que entrou em vigor em 18 de novembro deste ano.
Primeiro, é preciso entender que tipos de dados estão sendo protegidos pela lei. A LGPD visa proteger dados pessoais, quais sejam, toda informação que pode identificar ou que torne identificável quem é a pessoa natural dona desses dados.
Dentro desse conceito estão os dados sensíveis que são informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. Estes últimos recebem uma proteção maior da lei, sendo em todos os casos obrigatório o consentimento do titular, exceto quando a finalidade for obrigação legal.
Não é que a LGPD vem para proibir o uso de dados pessoais, mas sim regulamentar o uso destes e proteger a privacidade do titular de dados. As permissões para tratamento de dados estão elencadas na lei. São elas:
- Colhido o consentimento do titular;
- Legítimo interesse do operador/controlador;
- Cumprimento de obrigação legal;
- Execução de políticas públicas;
- Realização de estudos por órgãos de pesquisa;
- Necessário para a execução de contrato;
- Exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Proteção da vida ou da incolumidade física do titular ou de terceiro;
- Tutela da saúde;
- Proteção do crédito.
Se o tratamento feito pelo operador/controlador se enquadrar em qualquer uma das justificativas acima, o tratamento é perfeitamente legal.
O risco de não se adequar à LGPD é de sofrer sanções administrativas das seguintes naturezas: advertência, multa simples de até 2% do faturamento da startup limitada a R$ 50.000.000,00 (cinquenta milhões de reais), multa diária, publicização da infração, bloqueio de bens, suspensão do funcionamento do banco de dados, suspensão das atividades de tratamento de dados e/ou eliminação dos dados pessoais referentes às infrações. Como podemos observar, as penalidades têm potencial de causar grandes danos às startups.
Por isso, é preciso se adequar a essa nova realidade e evitar criar um passivo para suas atividades. Para se adaptar, é necessário tanto conhecimento jurídico da lei quanto conhecimentos técnicos de informática capazes de adaptar os sistemas utilizados no tratamento de dados.
E aí, estão preparados para LGPD?