A nova lei de proteção de dados pessoais da União Europeia entrou em vigor em maio de 2018. O chamado Regulamento Geral de Proteção de Dados (GRPD) é uma resposta à espionagem promovida pelo governo dos Estados Unidos. Apesar de ser uma iniciativa europeia, ela pode afetar as empresas brasileiras e os usuários que têm relações com o bloco europeu. Isso significa que as startups daqui mudarão sua forma de operar para encaixar no novo regulamento. Saiba mais!
A lei de proteção de dados
A nova lei de proteção de dados aborda basicamente a restrição do uso de dados sem o consentimento dos usuários. Ela se aplica a qualquer negócio que atenda residentes europeus ou que possui sistemas e subsidiárias na Europa. E como é isso na prática? Veja alguns exemplos de ações:
- Usuário pode gerir as informações que a empresa tem sobre ele;
- A empresa deve coletar somente os dados necessários ao funcionamento do seu serviço;
- A coleta e o uso dos dados pessoais só é possível com consentimento explícito;
- Se o cliente tiver seus dados hackeados, deve ser avisado em até 72 horas;
- A política de proteção de dados deve ser informada em linguagem acessível.
GRPD e startups brasileiras
O GRPD também impacta nas empresas inovadoras brasileiras. Especialmente aquelas que baseiam seu modelo de negócios na coleta de informações. As startups que vivem de publicidade baseada em dados é um ótimo exemplo.
A Social Miner é uma delas e foca em auxiliar negócios no engajamento para vendas. Por meio de algoritmos, os usuários recebem um anúncio relevante ao seu perfil. Mas, para isso, a startup manipula milhares de dados.
Para se adequar ao GRPD, ela vem melhorando o “direito de ser esquecido” do consumidor, possibilitando o descadastro de anúncios com o consequente e simultâneo descarte das informações. No mesmo sentido, reformulou a política de “cookies”. Agora, ela informa o consumidor que seu histórico de navegação está sendo coletado.
Em suma, a lei de proteção de dados exige das startups a adoção de práticas de proteção aos dados dos usuários. Especialmente duas: solicitar consentimento dos usuários para uso de dados e reforçar a prática de segurança da informação.
Consentimento para uso de dados
A lei de proteção de dados torna imprescindível o consentimento do usuário para uso de dados não previsto nas atividades essenciais do negócio. Para que isso seja, de fato, realizado, é preciso tornar acessíveis as políticas de privacidade.
Quantas vezes o usuário permite o uso das informações sem ler uma linha sequer da política? Isso ocorre, em boa parte, pela dificuldade imposta pelas empresas. E esse é um dos pontos que a GRPD combate.
Prática de segurança da informação reforçada
Quais são as informações solicitadas ao usuário? Qual o motivo de pedi-las? Por quanto tempo elas ficarão armazenadas? Quais as medidas de segurança de dados em vigor? A resposta a essas perguntas é o primeiro passo para reforçar a política de segurança da informação.
Apesar de uma startup não ter um diretor de proteção de dados, ela deverá guardar as informações de forma segura. O objetivo é simples: evitar vazamento de dados. A criptografia é uma das técnicas que pode ser utilizada para este fim.
Multa e execução da lei
A lei de proteção de dados prevê uma multa alta para quem descumpri-la. São cobranças de até 20 milhões ou 4% da receita anual da empresa (o que for maior). E a sanção pode ser aplicada às empresas brasileiras que tiverem de cumprir as regras.
Isso significa dizer que o regulamento europeu possui aplicação extraterritorial. Ainda não se sabe ao certo como as entidades judiciais brasileiras se portarão na execução da lei. Alguns especialistas apontam a necessidade de serem usados instrumentos de cooperação.
As startups brasileiras devem se conformar com a nova lei de proteção de dados. Além da vultuosa multa, é preciso mostrar ao mercado e ao cliente a seriedade com que suas informações são geridas. O auxílio de profissionais capacitados é fundamental para adequar as políticas da empresa. Você já iniciou sua adequação à GRPD?