* Por Lucas Mantovani
A Lei Geral de Proteção de Dados – LGPD já tem plena validade no Brasil e, apesar das flexibilizações recentes da Autoridade Nacional – ANPD, as startups precisam se adequar.
Se você me pergunta qual a hora certa para se adequar à LGPD, a resposta é muito simples: a partir do momento em que o primeiro dado pessoal for coletado. Até mesmo para fazer um simples formulário do Google com a finalidade de validar alguma hipótese você precisa se preocupar com o tratamento dos dados pessoais.
Não adianta ficar viajando na maionese achando que precisa fazer um super programa de adequação e usando isso como desculpa para não começar. Comece pelo básico e faça bem feito.
Nosso foco no artigo de hoje é falar um pouco sobre a adequação dos contratos da sua startup à LGPD, trabalhando os principais aspectos que precisam constar na cláusula de tratamento de dados entre as partes, sejam elas controladoras ou operadoras.
Entenda como funciona a cláusula de tratamento de dados nos contratos
Para começar, as partes precisam se comprometer mutuamente a proteger e a garantir o tratamento adequado dos dados pessoais a que tiverem acesso durante a relação contratual. A ideia é garantir o atendimento de alguns princípios básicos da LGPD, como a transparência, segurança e finalidade, por exemplo:
- O tratamento precisa ser limitado às atividades necessárias ao atingimento das finalidades de execução do contrato e do serviço contratado;
- Adoção de medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração ou qualquer forma de tratamento inadequado ou ilícito, observada a natureza dos dados tratados;
- O cumprimento integral dos deveres dos agentes de tratamento impostos pela Lei Geral de Proteção de Dados, principalmente no que se refere à coleta do consentimento e existência de hipótese legal para tratamento dos Dados.
Caso o contrato implique em algum tipo de subcontratação por alguma das partes, isso não vai diminuir a sua responsabilidade pelas obrigações previstas no contrato. A subcontratante precisa monitorar a conformidade das práticas do subcontratado com as obrigações de proteção dos dados pessoais previstas no contrato e deverá, quando necessário, comprovar que está fazendo esse controle.
Quando houver, por força do contrato, a transferência internacional de dados, é fundamental que as partes limitem o tratamento a países que observem um grau de proteção de dados pessoais adequado ao que se aplica no Brasil.
Nas hipóteses de rescisão contratual, conforme o caso, as partes precisam se comprometer a eliminar todos os dados pessoais disponibilizados, obtidos ou coletados no âmbito da relação contratual. Esse tipo de obrigação também pode se estender caso uma parte (fornecedora) solicite a eliminação à outra (receptora) que o faça, desde que essa hipótese esteja prevista no contrato e limitado apenas se houver base legal válida e específica para manutenção de determinadas informações
Por fim, na hipótese de haver um Controlador de um lado e um Operador do outro lado, é importante que, no ato de assinatura do contrato, o primeiro forneça ao segundo todas as orientações em relação aos cuidados necessários para realização do tratamento.
Impactos da Resolução nº 02 da ANPD e flexibilização da LGPD para startups
Falando um pouco sobre LGPD para startups, não é demais lembrar que existem sim algumas vantagens que foram criadas para essas empresas. Desde a dispensa da obrigatoriedade de ter um Encarregado de Dados na empresa, até a facilitação de procedimentos de registro e comprovação do tratamento ou da comunicação aos titulares ou ANPD.
No entanto, se liga nesse rolê aqui:
As flexibilizações da Resolução nº 2 da ANPD não se aplicam caso a startup tenha receita bruta superior a 16mi de reais no ano-calendário anterior ou pertença a um grupo econômico com essa receita.
Também não vai rolar flexibilização para as startups que façam tratamento de alto risco para os titulares. Para se caracterizar como um tratamento de alto risco é necessário cumular o preenchimento de pelo menos UM critério geral e UM critério específico dos listados abaixo:
CRITÉRIOS GERAIS: a) tratamento de dados pessoais em larga escala; ou b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares.
CRITÉRIOS ESPECÍFICOS: a) uso de tecnologias emergentes ou inovadoras; b) vigilância de zonas acessíveis ao público; c) decisões tomadas unicamente com base em tratamento automatizado; ou d) uso de dados pessoais sensíveis de crianças, adolescentes ou idosos.
É bom fazer uma avaliação cuidadosa para se certificar de que a sua startup de fato é beneficiária das recentes flexibilizações da ANPD.
Lucas Mantovani é especialista em Direito da Tecnologia, sócio fundador do Cunha Mantovani Advogados e cofundador da Legaltech Marquei. É advogado e mentor ativo do programa Inovativa de Impacto.
