Estar adequado à Lei Geral de Proteção de Dados (LGPD) hoje, além de ser uma obrigação legal de todas as empresas, é também uma condição básica para se relacionar com outros negócios.
Isso porque a LGPD traz diversas obrigações para as empresas envolvidas no tratamento de dados pessoais, tornando essencial garantir que os terceiros, com quem a sua startup troca informações, sigam a Lei, a fim de evitar penalidades e ter a sua startup exposta negativamente no mercado.
1) O que é e qual é a importância da LGPD para as empresas?
A Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020, tem o objetivo de regular a forma como o tratamento de dados é realizado no Brasil, protegendo a liberdade e a privacidade das pessoas físicas.
Para as empresas, a sua importância está na série de princípios e deveres impostos aos agentes de tratamento, que visam garantir que os dados pessoais serão tratados de forma adequada, com finalidades específicas, respeitando as bases legais e o dever de informação.
Caso queira entender mais sobre o papel de cada agente de tratamento, temos artigos e vídeos que explicam detalhadamente esses conceitos.
2) Quais os riscos da startup não observar a LGPD nas contratações?
A Lei Geral de Proteção de Dados estabelece que a empresa que causar danos a alguém é obrigada a repará-los.
Além disso, para garantir a efetiva indenização para o titular, pessoa física a quem o dado se refere, a LGPD impõe inclusive a responsabilidade solidária entre as empresas envolvidas no tratamento de dados pessoais, de forma que:
- o operador também responde pelos danos causados ao titular quando descumprir as obrigações da LGPD ou quando não tiver seguido as instruções do controlador;
- os controladores que estiverem diretamente envolvidos no tratamento, do qual decorreram danos ao titular dos dados, respondem em conjunto.
Isso sem falar nas penas judiciais e nas que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados e que podem ser lidas aqui.
Por isso, fica evidente a necessidade de verificar se os terceiros com quem a sua startup se relaciona são confiáveis e exercerão seus papeis garantindo segurança aos dados pessoais.
3) 5 passos para a startup contratar terceiros de forma adequada à LGPD
Buscando uma forma das startups realizarem contratações mais seguras, selecionamos abaixo 5 (cinco) passos que, se seguidos corretamente, tornarão as parcerias e prestações de serviços mais seguras e adequadas ao que impõe a Lei Geral de Proteção de Dados.
• Enviar um questionário de verificação de adequação à LGPD: Antes da startup fechar uma parceria ou prestação de serviço com um terceiro, uma boa prática é encaminhar um questionário de verificação para avaliar em qual estágio de adequação à legislação de Proteção de Dados o outro negócio está, principalmente aqueles que realizem tratamento de alto risco.
O questionário é um instrumento de coleta de informações sobre os controles implementados pelo terceiro, com o objetivo de assegurar a conformidade com a LGPD.
• Solicitar a Política de Segurança da Informação do terceiro: As startups devem verificar e exigir que o terceiro atenda, no mínimo, às orientações publicadas pela Autoridade Nacional de Proteção de Dados (ANPD), sobre como os agentes de pequeno porte devem realizar a segurança dos dados que tratam durante as suas atividades comerciais. Dentre as exigências, estão realizar a análise de riscos e ter uma Política de Segurança da Informação. Com base nessa Política, é possível verificar a segurança dos dados pessoais tratados e pontos, como servidores e sistemas utilizados, métodos de anonimização e backups.
• Verificar se o terceiro cumpre o dever de informação: Uma boa forma de verificar se o terceiro é transparente e adequado à LGPD é realizar uma consulta às suas páginas e plataformas e verificar se existem termos de uso e políticas de privacidade acessíveis e atualizados, trazendo as informações necessárias para os titulares. Caso não exista, é um importante sinal de alerta que esse terceiro não está seguindo plenamente a Lei Geral de Proteção de Dados.
• Conferir com quem os terceiros compartilham dados pessoais: É essencial verificar quais serão as outras empresas que terão acesso aos dados pessoais compartilhados pela sua startup, após a parceria ou prestação de serviço estar estabelecida. O ideal é que o terceiro contrate apenas empresas indispensáveis para operacionalizar e viabilizar o seu serviço. Além disso, deve ser estabelecido o direito da sua startup solicitar um relatório em que estejam descritos quais são as empresas que terão acesso aos dados pessoais compartilhados e por quais motivos.
• Elaborar contratos com cláusulas de LGPD: Depois de verificados os itens anteriores, é importante elaborar os documentos que irão reger a relação entre as empresas, definindo o enquadramento de cada agente de tratamento e estabelecendo os papéis e responsabilidades de cada uma das empresas, especialmente com relação ao atendimento de direitos de titulares, finalidades dos dados, medidas de segurança, notificações e penalidades.
4) Vantagens de seguir os 5 passos
Abaixo listamos algumas vantagens de seguir os 5 (cinco) passos anteriores:
- Direito de Regresso: A Lei Geral de Proteção de Dados prevê o direito de regresso da empresa que indenizar o titular contra os demais responsáveis pelo prejuízo, na medida de sua participação no evento danoso. Isso quer dizer que, se 2 (duas) ou mais empresas estão envolvidas em um tratamento inadequado, 1 (uma) delas pode arcar com todos os prejuízos perante o titular, mas depois pode ir atrás da outra empresa para ser reembolsada na parte que for de responsabilidade do terceiro.
- Exclusão de Responsabilidade: A LGPD estabelece que as empresas não serão responsabilizadas quando provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; que não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. Assim, tendo registro das operações e bons contratos, é possível isentar a sua startup das obrigações que forem das empresas parceiras ou prestadoras de serviços.
- Boa Reputação no Mercado: Seguindo tais orientações, ainda que a startup se envolva em um incidente de segurança, os danos à sua reputação com certeza serão menores, especialmente se a empresa conseguir demonstrar que fez tudo que estava ao seu alcance para que ele não ocorresse. Sendo assim, seguir à LGPD e ter os documentos corretos pode contribuir bastante com a forma como o seu negócio é visto no mercado.
Assim, no processo de contratação de terceiros é indispensável possuir um jurídico especializado para apoiar a startup e seus setores de tecnologia e segurança da informação, para que a empresa não saia prejudicada por condutas que não são, de fato, de sua responsabilidade.
Por Natália Martins Nunes