Agentes da LGPD: Qual é o papel da sua Startup no tratamento de dados pessoais?

A Lei Geral de Proteção de Dados (LGPD) em vigor desde de Setembro de 2020 tem o objetivo de regular o tratamento de dados no país, protegendo os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Para isso, dispõe, entre outras questões, de princípios, requisitos, regras, sanções e conceitos que disciplinam a matéria no país.

Uma etapa importante na necessária adequação de sua Startup é entender qual é o papel da empresa no tratamento de dados pessoais que realiza, uma vez que é a partir desta definição que as decisões e medidas de adequação serão tomadas de maneira eficaz, avaliando riscos e responsabilidades.

Antes, é importante conhecer alguns conceitos principais:

  • Tratamento de dados: Conforme a legislação, o tratamento de dados vai além da coleta de informações de pessoas físicas, podendo ser compreendido como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Titular: O titular é a pessoa a qual a informação tratada se refere.
  • Autoridade Nacional de Proteção de Dados: é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional.

1. Controlador de dados:

O Controlador é aquele que efetivamente toma as decisões relacionadas ao tratamento de dados pessoais, ou seja, a pessoa a quem o titular confia os seus dados pessoais, é a porta de entrada e quem decidirá o que será feito com essa informação, quais dados serão coletados, com quem compartilhar essas informações, como armazená-las e como mantê-las seguras, por exemplo.

Segundo a ICO, a autoridade britânica de proteção de dados, para saber se uma empresa se enquadra como controlador, segundo a GDPR, diretiva europeia que serviu de inspiração para a LGPD e que possui estes conceitos bastante similares, deverá responder sim para as seguintes questões (sendo que, quanto mais respostas afirmativas, maiores são as chances de serem enquadrados como controladores):

  • Decidimos coletar ou tratar os dados pessoais?
  • Decidimos qual seria o propósito ou resultado do tratamento?
  • Decidimos quais dados pessoais devem ser coletados?
  • Decidimos sobre quais indivíduos coletar dados pessoais?
  • Obtemos um ganho comercial ou outro benefício do tratamento, exceto para qualquer pagamento por serviços de outro controlador?
  • Estamos processando os dados pessoais como resultado de um contrato entre nós e o titular dos dados?
  • Os titulares dos dados são nossos funcionários?
  • Tomamos decisões sobre os indivíduos em questão como parte ou como resultado do tratamento?
  • Exercemos julgamento profissional no tratamento dos dados pessoais?
  • Temos uma relação direta com os titulares dos dados?
  • Temos total autonomia no tratamento dos dados pessoais?
  • Nomeamos os operadores para tratar os dados pessoais em nosso nome?

O controlador, por ser a quem cabe as decisões acerca do tratamento, é também o maior responsável por estas operações, devendo se assegurar que a empresa e seus parceiros estão realizando o tratamento de dados de forma segura, em conformidade com a legislação, tomando medidas de governança e compliance.

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

2. Operador de dados:

O operador é aquele que realiza o tratamento de dados pessoais em nome do controlador, de uma maneira mais prática, seria aquela empresa contratada pelo controlador para desempenhar um serviço complementar, como é o caso dos servidores onde são armazenados aqueles dados.

Conforme a mesma autoridade europeia ICO, para entender se sua Startup seria operadora de dados, deverá responder sim para as seguintes questões (sendo que quanto mais respostas afirmativas, maiores são as chances de serem enquadrados como operadores):

  • Estamos seguindo instruções de outra pessoa em relação ao tratamento de dados pessoais.
  • Os dados pessoais foram fornecidos a nós por um cliente ou terceiro semelhante, ou informados sobre quais dados coletar.
  • Não decidimos coletar dados pessoais de indivíduos.
  • Não decidimos quais dados pessoais devem ser coletados de indivíduos.
  • Não decidimos a base legal para o uso desses dados.
  • Não decidimos para que propósito ou propósitos os dados serão usados.
  • Não decidimos se divulgamos os dados ou a quem.
  • Não decidimos por quanto tempo reter os dados.
  • Podemos tomar algumas decisões sobre como os dados são processados, mas implementamos essas decisões sob um contrato com outra pessoa.
  • Não estamos interessados no resultado final do tratamento.

É importante mencionar que empresas poderão ser tanto controladoras quanto operadoras de tratamento de dados distintos, assim como duas empresas parceiras poderão ser controladoras de dados em conjunto, caso realizem o tratamento com os mesmos objetivos e tomando decisões em comum.

Por fim, é importante que tanto Startups operadoras de dados quanto aquelas controladoras de dados, ou ambos, estejam adequadas à legislação e que tomem medidas internas de governança e compliance, sendo indispensável a ajuda de um time jurídico especializado para entender as necessidades da empresa apontar a direção mais adequada e menos arriscada na jornada de adequação à LGPD.

Por Laís Arduini