GDPR: o que muda nas startups brasileiras com a nova lei de dados

Sua caixa de e-mails recebeu uma série de atualizações de termos de uso de aplicativos e sites nos últimos dias? Não é coincidência. Startups de todo o mundo – incluindo as brasileiras – estão correndo para atualizar seus termos de privacidade e de segurança de dados. Isso porque, desde a última sexta-feira (25), passou a valer a Regulação Geral de Proteção de Dados da Europa.

O que é, na sigla oficial, a GDPR? Todos os negócios que atendem residentes europeus ou possuem sistemas e subsidiárias no continente deverão restringir o uso de dados sem o consentimento dos usuários. Isso vale mesmo para empresas que não tenham escritórios por lá. É uma mudança bem-vinda à Europa, dado que a última legislação sobre o tema foi promulgada em 1995.

A regulação se adapta a um novo ambiente, em que o volume de dados é bem maior – assim como a possibilidade de usos não autorizados.

No Brasil, as startups já começaram a se mexer. “Se elas querem atacar o mercado europeu, seja tendo clientes ou fornecedores, deveriam se preocupar. Mas, independentemente disso, existe cada vez mais preocupação dos usuários com seus dados. É importante toda startup ter práticas para protegê-los”, afirma Pedro Ramos, advogado especializado em direito na internet.

Principais regras da GDPR

A Regulação Geral de Proteção de Dados da Europa traz duas grandes mudanças para as startups, de acordo com Ramos.

A primeira alteração é ter de pedir o consentimento dos usuários para qualquer uso de dados que não esteja previsto nas atividades nucleares do negócio. E estamos falando de consentimento de verdade.

“Um usuário dá permissão a centenas de termos e provavelmente não leu nenhum. As empresas criam dificuldades para o usuário ter acesso às suas políticas de privacidade, e essas barreiras podem dificultar o entendimento como real consentimento. Felizmente, existe um movimento das empresas para fazer termos mais acessíveis e fáceis de serem lidos.”

Outra grande mudança é reforçar a prática de segurança da informação. As empresas terão de documentar quais são as informações pedidas aos usuários, o porquê da coleta, quanto tempo elas ficarão armazenadas e quais medidas de segurança de dados estão em vigor. Nas empresas maiores, que praticam “monitoramento sistemático e regular”, será preciso designar um diretor de proteção de dados.

“Dificilmente uma startup terá esse cargo, mas ela ainda precisa guardar informações de forma segura e evitar vazamento, usando técnicas como a criptografia”, afirma o advogado. As empresas devem comunicar usuários quanto ao vazamento de dados no prazo de 72 horas após terem ciência do ocorrido – algo que não é previsto pela lei brasileira.

A multa é alta para quem não seguir a legislação. A GDPR impõe cobranças de até 20 milhões ou 4% da receita anual de uma empresa (o que for maior). Facebook, Google, Instagram e WhatsApp já são alvos de processos – e, com essa porcentagem, as gigantes de tecnologia podem pagar mais de um bilhão de euros.

 

 

Fonte: EXAME

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *