Quando houver a coleta e o tratamento de dados pessoais por qualquer empresa, sejam elas startups ou não, elas deverão obedecer às disposições previstas na Lei Geral de Proteção de Dados (LGPD), cujo objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade do titular desses dados.
Como integrar um encarregado de dados (DPO – Data Protection Officer) na sua estrutura?
1. O papel do encarregado de dados
O encarregado de dados é um especialista em proteção de dados pessoais que monitora os processos de tratamento de dados para garantir que a empresa esteja em conformidade com a LGPD e as boas práticas do setor. Ele também será quem deverá intermediar os interesses da empresa e do titular de dados, além de ser o canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
2. Devo designar um DPO para a minha startup?
A LGPD impõe a indicação pelo controlador e operador de uma pessoa que funcione como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), conforme art. 41.
Leia mais: Blog Solere – O que é um DPO e qual sua função no contexto da LGPD?
Entretanto, a mesma lei prevê a possibilidade de que a autoridade nacional dispense a necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Como a regulamentação pela ANPD ainda está pendente, todo aquele que realiza o tratamento de dados está obrigado a nomear um DPO.
Quem designar para a minha startup?
O §4º do art. 41 da LGPD estabelecia as qualidades e as exigências necessárias para a nomeação do DPO, porém o parágrafo foi vetado. Assim, atualmente, não há qualquer restrição legal a pessoa que será nomeada para o cargo.
Recomenda-se, entretanto, que a pessoa a ser designada possua qualidades e conhecimentos técnicos, autonomia profissional, e, se beneficie dos meios materiais e organizacionais, recursos e posicionamento que lhe permitam exercer suas tarefas.
Leia mais: Blog Solere – Qual é a base legal para o tratamento de dados de acordo com a LGPD?
Caso haja dentro dos quadros da Startup alguém que atenda a descrição acima, ela poderá ser nomeada. Do contrário, deve ser nomeado um encarregado externo para a proteção dos dados coletados por qualquer empresa, sejam startups ou não, de acordo com os preceitos da LGPD.
O encarregado de dados externo pode ser pessoa física ou jurídica, por exemplo, um advogado ou uma empresa de consultoria especializada em proteção de dados. Nesse caso, deve ser firmado um contrato de prestação de serviço.
Ressalta-se a necessidade prévia de verificar a confiabilidade do prestador de serviços, se ele possui ou não conhecimento suficiente das operações na sua área de expertise, a sua disponibilidade, bem como sua independência.
No âmbito de cooperação entre Startups, é possível compartilhar a função do encarregado de dados externo. Inclusive, essa cooperação permite, além de compensar a ausência de recursos humanos suficientes, que a empresa se beneficie de uma competência e da disponibilidade de profissionais dedicado e limite os custos associados ao serviço de qualidade.
Responsabilidade, prestador de serviços e operador
É comum que uma empresa recorra a operadores no âmbito de um serviço ou de uma prestação de serviço em seu nome ou sob as suas instruções (provedor de serviços de TI, empresa de serviços de TI, agências de comunicação). Em caso de pluralidade de atores, é importante deixar claro o papel de cada um dentro do tratamento de dados pessoais.
Leia mais: Blog Solere – Glossário LGPD: Entenda os principais termos e suas diferenças
Assim, o responsável pelo tratamento de dados, controlador, é quem define os propósitos e os meios do processamento, ou seja, para que o processamento é usado e como os dados serão tratados. O operador é a pessoa física ou jurídica que processará os dados pessoais em nome de um controlador de dados.
Se você fizer uso de operadores como parte de sua atividade e que processarão seus dados sob as suas instruções, deve-se estabelecer essa relação por meio de um contrato. O objetivo da formalização da relação com um contrato é garantir que os dados pessoais confiados aos operadores estejam protegidos.
Inversamente, se você for o operador, a LGPD prevê como sua obrigação manter um registro que lista todas as categorias de atividades de processamento que você realiza em nome de seus clientes.
Em conclusão, este texto procura tratar sobre como integrar os preceitos da LGPD às empresas tipo startups. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.