Hoje uma cliente nos questionou sobre o uso de notificação de Cookies em sites de internet e a LGPD (Lei Geral de Proteção de Dados Pessoais).
E como é um assunto recente e que ainda tramita no congresso nacional, pedimos para a advogada e especialista no assunto Mônica Villani nos enviar algumas informações a respeito do assunto.
A Agência IceCream está analisando todas as informações necessárias para aplicar a LGPD, principalmente no que diz respeito ao uso de cookies em sites da internet, caso a caso, afinal, cada site que desenvolvemos possui características únicas.
Por ora, a definição do Senado Federal no sentido de a LGPD entrar em vigor imediatamente depende de sanção ou veto presidencial, o que deve ocorrer em até 15 dias úteis após o recebimento do texto aprovado no dia de ontem.
E se você ainda não conseguiu compreender sobre o se trata essa lei, confira o texto de autoria de Mônica Villani:
Lei Geral de Proteção de Dados Pessoais – LGPD
Inspirada no Regulamento Geral sobre a Proteção de Dados – Regulamento (UE) 2016/679, também conhecido como GDPR, que entrou em vigor em maio de 2018 na União Europeia, a Lei Geral de Proteção de Dados Pessoais (a LGPD – Lei Federal nº. 13.709/2018) foi publicada no Brasil, com o propósito de tutelar a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento dos indivíduos.
A LGPD representa um grande passo no universo da privacidade e da proteção de dados pessoais no País pois, ao contrário da Europa (que edita normas neste sentido há mais de 25 anos), o Brasil carecia de legislação específica sobre a matéria, contando com previsões esparsas na Constituição Federal e em leis como, por exemplo, o Código Civil, o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, a Lei do Acesso à Informação, dentre outras normas (que podem ser inclusive setoriais).
De forma sucinta, uma das principais regras da LGPD é a obrigação, por aqueles responsáveis pelos tratamentos de dados pessoais (que vai desde a recepção e a coleta até a guarda e a eliminação, sem deixar de lado a utilização propriamente dita dos dados), sendo o tomador da decisão ou seu mero executor, a realizar o enquadramento de cada uma destas operações em uma base legal, ou seja, em uma permissão trazida pela LGPD.
Outra das obrigações-chave da LGPD diz respeito à adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situação acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento considerado inadequado ou ilícito.
O descumprimento das disposições previstas na LGPD podem expor estes agentes – chamados de controladores e de operadores – às às sanções administrativas previstas na Lei – desde advertência à aplicação de multa de até 2% do faturamento, além da publicização da infração, do bloqueio e da eliminação dos dados pessoais a que se refere a infração – como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.
Com a necessidade de revisar todos os processos de tratamento e promover a adequação à LGPD, e a consequente implementação de um programa de governança para realizar todos os ajustes legais e organizacionais necessários, tem-se a percepção que os esforços necessários à conformidade da LGPD sejam demasiadamente pesados para uma startup.
E qual saída têm as startups, considerando a escassez de recursos para investir em uma solução tão robusta para se adequarem à LGPD?
A resposta pode estar em uma expressão estrangeira chamada “privacy by design”, que significa a privacidade desde a concepção. É um conceito importado da ciência de desenvolvimento de sistemas computacionais que visa a conformidade com a privacidade desde a criação, da idealização, e muito antes da implementação de um negócio – um cenário perfeito para as startups.
Segundo Ann Cavoukian, a quem essa expressão é atribuída, a privacidade desde a concepção é baseada em 7 princípios fundamentais, a saber:
- a postura pró-ativa e preventiva, e não reativa e corretiva;
- a preservação da privacidade do usuário como configuração padrão da ideia em desenvolvimento;
- a privacidade incorporada ao design, como a arquitetura e os modelos de negócio;
- a total funcionalidade, em uma soma positiva “ganha-ganha” dos interesses e objetivos esperados;
- a garantia de segurança de ponta a ponta, incorporando a proteção completa ao ciclo de vida das informações;
- a visibilidade e a transparência às partes interessadas, inclusive usuários e fornecedores; e
- o respeito pela privacidade do usuário, o que resulta em uma cultura de centralização do usuário durante a concepção da ideia.
A observância da privacidade desde a concepção certamente reduz os custos e os esforços de adequação de uma startup à LGPD, e estar preparado é fundamental para evitar surpresas desagradáveis, assim como é uma oportunidade de sair na frente no mercado e se diferenciar ainda mais. Quem souber aproveitar o momento, muito terá a ganhar com a LGPD.
Sobre a Autora
Mônica Villani é advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito empresarial e das startups, compliance e proteção de dados, com certificações EXIN PDPE® e ISFS®. Membro da Comissão de Direito Digital e Compliance da OAB de São Bernardo do Campo/SP.