Já está em vigor o Regulamento Geral de Proteção de Dados Pessoais da União Europeia (2016/679) – conhecida como GDPR. A lei estabelece parâmetros para seja ponderado os legítimos interesses de negócios das empresas e os direitos de proteção de dados dos titulares, quando do tratamento de dados pessoais pelas empresas, inclusive por startups.
Recentemente, diversos foram os escândalos envolvendo violação à proteção de dados, como o do Facebook – que tem repercutido mundialmente – e o da Netshoes, ocorrido em dezembro passado, que teve cerca de dois milhões de clientes afetados por um ataque hacker.
A lei europeia se aplica a companhias ou instituições de qualquer região do mundo que coletem, processem, monitorem ou recebam dados pessoais de indivíduos localizados em qualquer dos 28 países da União Europeia. A regulamentação é aplicável a todos os titulares que estejam na União Europeia (independentemente de nacionalidade ou residência) e que tenham seus dados coletados e tratados para as finalidades lícitas permitidas pela GDPR.
No Brasil, atualmente, não há uma Lei Geral de Proteção de Dados, de forma que tal proteção está fragmentada em diversas leis, como o Marco Civil da Internet e seu decreto regulamentador, o Código de Defesa do Consumidor, além de normas expedidas por órgãos reguladores como as resoluções do Banco Central do Brasil sobre sigilo bancário e segurança da informação.
Contudo, correm no Congresso Nacional três Projetos de Lei nº 5.276/2016, 4.060/2012 e 330/2013, sendo os dois primeiros muito parecidos com as disposições da GDPR. Além disso, a Secretaria Nacional de Defesa do Consumidor (Senacon, órgão do Ministério da Justiça) já discute uma medida que obrigará as empresas a informar no caso de vazamento de dados, além de prever punições administrativas.
A advogada Andreia Santos, da SBAC Advogados – escritório especializado em atender startups e PMEs -, listou boas práticas que constam nas leis brasileiras e podem orientar as startups na administração e uso de dados. Confira:
Termos de uso/serviço – Política de dados/privacidade
As empresas precisam estar cientes da responsabilidade de proteger os dados fornecidos pelos usuários e aplicar medidas sólidas para estabelecer a segurança dessas informações. “O contrato de prestação de serviços (ou termo de ciência) deve detalhar todo o processo de coleta, tratamento, compartilhamento, retenção e exclusão destes dados, sobretudo assegurar canais efetivos de comunicação para que os usuários exerçam seus direitos de acesso, retificação e exclusão dos dados, previstos no Código de Defesa do Consumidor, no Decreto e Marco Civil da Internet”, explica a especialista.
O usuário tem como direito básico a informação clara, inclusive de todos os riscos inerentes na contratação de um serviço. Sendo assim, quanto mais claras e inteligíveis forem as Políticas, maior legitimidade será dada ao consentimento concedido pelo usuário para a coleta o uso destes dados. Além disso, recomenda-se a inclusão de cláusulas que prevejam soluções de conflitos.
Controle do usuário
Ao usuário deve ser garantido o direito de decisão sobre quais dados serão compartilhados e para quais finalidades a empresa poderá utilizar dessas informações, bem como a possibilidade de excluir definitivamente seus arquivos ao romper o contrato com a empresa.
Regras da comunidade
Os conteúdos aceitos pela plataforma (seja ela um site, uma rede social ou uma empresa – via website ou app), deverão constar nas regras da comunidade. Desta maneira, fica mais fácil identificar, punir e banir os usuários que descumprirem as regras.
Direito autoral
Compartilhar textos e fotos sem autorização pode gerar inúmeras consequências como processos judiciais e multas. As dicas da especialista envolvem creditar o autor e usar bancos de imagens gratuitos. Para os donos dos textos e fotos, o cuidado para garantir a propriedade intelectual dos materiais é utilizar assinatura de marca d’água e utilizar os formatos RAW e EXIF, que mostram o local, data, autor e demais características da imagem.
A responsabilidade é das empresas
As leis preveem multa (fixada entre R$ 1.000 e 20 mil dependendo da gravidade da infração), suspensão temporária das atividades da empresa, intervenção administrativa e/ou interdição da atividade exercida pela organização para as empresas que compartilham dados deliberadamente ou, ainda, empresas que tenham seus dados hackeados e seus usuários prejudicados.
Governo também deve entrar na lei
O governo tem acesso a muitas informações pessoais e, portanto, uma boa legislação sobre o tema deve envolver regras gerais de proteção de dados tanto para setores privados quanto para o setor público, destacando suas particularidades dentro da determinação geral das novas regras.
Lado bom
De acordo com a advogada, a proteção de dados acabará trazendo uma vantagem competitiva para as empresas que se adequarem, pois ela traz mais confiança para futuros acordos comerciais com usuários e empresas do mundo todo.
