A data de vigência da Lei Geral de Proteção de Dados (LGPD) se aproxima e, com isso, cresce a preocupação das startups e empresas em geral de se adequarem as novas regras para o tratamento de dados pessoais.
Para tentar facilitar o reconhecimento de boas condutas e também das práticas que são inadequadas no dia a dia dos negócios, separamos aqui os 10 princípios que norteiam a LGPD e que devem ser respeitados:
1) Finalidade:
A partir da LGPD não será mais possível tratar dados pessoais com finalidades genéricas ou indeterminadas. O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. Ou seja, as empresas devem explicar para que usarão cada um dos dados pessoais.
Essas finalidades também devem estar dentro dos limites da lei e devem vir expressamente acompanhadas de todas as informações relevantes para o titular.
Além disso, a empresa não está autorizada a modificar a finalidade durante o tratamento. Se sua startup solicita o e-mail do cliente para a finalidade específica de login na plataforma, você não pode automaticamente utilizar esse mesmo e-mail para enviar publicidade ou ofertas.
2) Adequação:
Os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa. Ou seja, sua justificativa deve fazer sentido com o caráter da informação que você pede.
Por exemplo: se o seu negócio é um e-commerce de produtos eletrônicos, dificilmente será justificável pedir dados de saúde aos Usuários. Então, se não é compatível, o tratamento se torna inadequado.
3) Necessidade:
As startups e empresas em geral devem utilizar apenas os dados estritamente necessários para alcançar as suas finalidades. Procure fazer uma ponderação entre o que é realmente essencial para o seu negócio e o que é apenas conveniente.
Lembre-se que quanto mais dados você tratar, maior será a sua responsabilidade, inclusive em casos de vazamentos e incidentes de segurança.
4) Livre acesso:
A pessoa física titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito.
Além disso, devem ser especificadas questões como: o que a empresa faz com as suas informações, de que forma o tratamento é realizado e por quanto tempo.
5) Qualidade dos dados:
Deve ser garantido aos titulares que as informações que a empresa tenha sobre eles sejam verdadeiras e atualizadas. É necessário ter atenção à exatidão, clareza e relevância dos dados, de acordo com a necessidade e com a finalidade de seu tratamento.
6) Transparência:
Todas as informações passadas pela empresa, em todos os seus meios de comunicação, devem ser claras, precisas e verdadeiras.
Além disso, a empresa não pode compartilhar dados pessoais com outras pessoas de forma oculta. Se você repassa dados pessoais para terceiros, inclusive para operadores que sejam essenciais para a execução do serviço, o titular precisa saber.
7) Segurança:
É responsabilidade das empresas buscar procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, como nos casos de invasões por hackers.
Além disso, devem ser tomadas medidas para solucionar situações acidentais, como destruição, perda, alteração, comunicação ou difusão dos dados pessoais de suas bases.
8) Prevenção:
O princípio da prevenção objetiva que as empresas adotem medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais. Ou seja, as empresas devem agir antes dos problemas e não somente depois.
9) Não Discriminação:
Os dados pessoais jamais podem ser usados para discriminar ou promover abusos contra os seus titulares.
A própria LGPD já criou regras específicas para o tratamento de dados que frequentemente são utilizados para discriminação, os chamados dados pessoais sensíveis, como os que tratam sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico.
10) Responsabilização e Prestação de Contas:
Além de se preocuparem em cumprir integralmente a Lei, as empresas devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e a sua diligência.
Alguns bons exemplos estão na comprovação que fizeram treinamentos de equipe, a contratação de consultorias especializadas, a utilização de protocolos e sistemas que garantam a segurança dos dados e o acesso facilitado do titular a empresa sempre que preciso.
Assim, compreendendo e internalizando a verdadeira intenção da LGPD se torna mais fácil para as startups desenharem seus modelos de negócios e a todas as empresas tratarem os dados na prática. Caso tenha dúvidas específicas sobre o fluxo de dados no seu negócio, procure um especialista.
Por Natália Martins Nunes