GDPR: o que muda nas startups brasileiras com a nova lei de dados

Sua caixa de e-mails recebeu uma série de atualizações de termos de uso de aplicativos e sites nos últimos dias? Não é coincidência. Startups de todo o mundo – incluindo as brasileiras – estão correndo para atualizar seus termos de privacidade e de segurança de dados. Isso porque, desde a última sexta-feira (25), passou a valer a Regulação Geral de Proteção de Dados da Europa.

O que é, na sigla oficial, a GDPR? Todos os negócios que atendem residentes europeus ou possuem sistemas e subsidiárias no continente deverão restringir o uso de dados sem o consentimento dos usuários. Isso vale mesmo para empresas que não tenham escritórios por lá. É uma mudança bem-vinda à Europa, dado que a última legislação sobre o tema foi promulgada em 1995.

A regulação se adapta a um novo ambiente, em que o volume de dados é bem maior – assim como a possibilidade de usos não autorizados.

No Brasil, as startups já começaram a se mexer. “Se elas querem atacar o mercado europeu, seja tendo clientes ou fornecedores, deveriam se preocupar. Mas, independentemente disso, existe cada vez mais preocupação dos usuários com seus dados. É importante toda startup ter práticas para protegê-los”, afirma Pedro Ramos, advogado especializado em
direito na internet.

Principais regras da GDPR

A Regulação Geral de Proteção de Dados da Europa traz duas grandes mudanças para as startups, de acordo com Ramos.

A primeira alteração é ter de pedir o consentimento dos usuários para qualquer uso de dados que não esteja previsto nas atividades nucleares do negócio. E estamos falando de consentimento de verdade.

“Um usuário dá permissão a centenas de termos e provavelmente não leu nenhum. As empresas criam dificuldades para o usuário ter acesso às suas políticas de privacidade, e essas barreiras podem dificultar o entendimento como real consentimento. Felizmente, existe um movimento das empresas para fazer termos mais acessíveis e fáceis de serem lidos.”

Outra grande mudança é reforçar a prática de . As empresas terão de documentar quais são as informações pedidas aos usuários, o porquê da coleta, quanto tempo elas ficarão armazenadas e quais medidas de segurança de dados estão em vigor. Nas empresas maiores, que praticam “monitoramento sistemático e regular”, será preciso designar um diretor de proteção de dados.

Qualquer brecha deixada pode trazer consequências e é por esse motivo que tantas empresas vêm implantando a Gestão Contínua de Segurança. A SONDA, especialista em gestão de TI, pode te ajudar

“Dificilmente uma startup terá esse cargo, mas ela ainda precisa guardar informações de forma segura e evitar vazamento, usando técnicas como a criptografia”, afirma o advogado. As empresas devem comunicar usuários quanto ao vazamento de dados no prazo de 72 horas após terem ciência do ocorrido – algo que não é previsto pela lei brasileira.

A multa é alta para quem não seguir a legislação. A GDPR impõe cobranças de até 20 milhões ou 4% da receita anual de uma empresa (o que for maior). Facebook, Google, Instagram e WhatsApp já são alvos de processos – e, com essa porcentagem, as gigantes de tecnologia podem pagar mais de um bilhão de euros.
Cases na prática

Empresas que tinham como estratégia a monetização sobre dados pessoais já sofreram com a nova regra europeia. Diversos serviços online saíram do ar às vésperas de a nova legislação entrar em vigor, como Unroll.me, Klout, Drawbridge e até o jogo Ragnarok, que terá servidores desligados na Europa.

No caso brasileiro, Ramos alerta que há três tipos de startup que podem ser mais afetados pela GDPR, justamente por basearem seu modelo de negócio na coleta de informações.

O primeiro tipo são startups que vivem da publicidade baseada em dados, assim como os casos internacionais já citados. “Também devem prestar atenção negócios baseados em big data, que puxam dados de lugares diferentes para fazer análises de mercado, e startups que lidam com informações sensíveis, como fintechs de crédito.”

A Social Miner é uma startup que ajuda negócios no engajamento para vendas – então, já dá para imaginar o quanto dados são importantes para a operação do negócio. São usados algoritmos para que os usuários recebam um anúncio relevante ao seu perfil, com processos automatizados. Algumas das empresas atendidas são Extra, Polishop, Ponto Frio e Natura, com 25 milhões de clientes finais que deram permissão às comunicações corporativas.

Segundo o cofundador Ricardo Rodrigues, a Social Miner se movimentou nos últimos três meses para cumprir obrigações com as empresas atendidas e, ao mesmo tempo, proteger os dados dos consumidores finais.

A empresa procura melhorar o “direito de ser esquecido” dos consumidores – além de o usuário se descadastrar de anúncios, a Social Miner trabalha para que todas as informações coletadas sejam apagadas junto, uma exigência da GDPR.

Além disso, estuda quanto tempo tais dados devem ser armazenados no sistema, já que a nova regulação pede para que as empresas especifiquem o prazo de disponibilidade das informações. “Acho que faz sentido que excluamos os dados de interesse após um certo prazo, já que eles perdem relevância com o passar do tempo.”

Por fim, a Social Miner está reformulando uma política de cookies – pequenos pacotes de informação sobre o que você faz na internet. Ao acessar um site, o consumidor saberá que seu histórico de navegação está sendo coletado para oferecer conteúdos relevantes.

“O objetivo é acabar com o spam, ou seja, receber algo que você nunca permitiu. Num primeiro momento o mercado sentirá dificuldade em trabalhar, mas acho que iremos colher os frutos. Vai ser mais justo ao consumidor e isso tende a refletir em mais compras – menos pessoas impactadas, mas uma taxa de conversão melhor”, diz Rodrigues.

Leonardo Militelli, fundador da IBLISS Digital Security, sabe bem das complicações de uma má gestão de informações. A startup ajuda gigantes como Allianz, Cardiff e Carrefour com segurança digital em seus sistemas. Tais negócios sentem a pressão de suas matrizes para se adaptar à GDPR – e, com isso, a própria IBLISS terá de mudar alguns processos.

A startup se planeja para as mudanças desde fevereiro de 2017, quando decidiu internacionalizar para o mercado europeu. Ela espera que suas alterações entrem em vigor ainda nesta semana.

A IBLISS terá de identificar mais precisamente quais funcionários acessam as plataformas com dados das empresas e de seus funcionários (antes, toda a equipe de desenvolvimento e operação poderia ver as informações).

Outro ponto é melhorar o sistema de descadastramento do cliente e exclusão do histórico de informações coletadas. “Tínhamos uma base unificada dos clientes, então apagar a estrutura de dados de um usuário era um processo complexo. Hoje cada cliente tem sua própria área e o processo de esquecimento foi simplificado.”

Por fim, o site também deve passar por melhorias: um comunicado informará os usuários quais informações são coletadas e para quais finalidades assim que eles entram e também na hora de se cadastrar para algum serviço, pedindo seu consentimento.

Militelli tem cidadania europeia e vê com bons olhos a nova regulação. “É uma oportunidade para as empresas pensaram na segurança do próprio negócio desde o primeiro dia, na construção do seu mínimo produto viável. Assim você cresce com mais robustez. Já já essa lei de dados vai chegar ao Brasil e, se sua empresa tem ambição de crescer e ser competitiva, deve começar a pensar em proteção de dados desde agora.”

Passo a passo para sua empresa se adaptar à GDPR

O Information Comissioner’s Office, autoridade independente do Reino Unido para direitos de informação, publicou um guia com 12 passos para empresas se prepararem para a GDPR.

O primeiro passo é de reconhecimento: todos os membros do seu negócio devem saber o impacto que a GDPR gerará na empresa. Depois, é preciso documentar quais dados você possui dos seus clientes e quem possui acesso a eles.

Em terceiro lugar, revise seus comunicados de privacidade e planeje quais precisarão de alterações para a nova regulação. Também veja como estão seus processos para cobrir os direitos individuais de receber ou deletar as informações cedidas pelos próprios usuários – esse tipo de pedido precisa ser atendido em até um mês. Isso inclui o próximo passo, que é ter processos para pedidos adicionais de acesso a dados.

O sexto passo é estudar a fundo a legislação da GDPR e ver se suas atividades se adequam à regulação de forma jurídica. Se sim, documente-as e atualize seus termos de privacidade com as bases legais.

A próxima recomendação é de consentimento. Reveja como você busca, grava e gerencia o compartilhamento de informações dos seus usuários. Em oitavo lugar, considere se será necessário incluir sistemas de verificação de idade ou de permissão de pais para uso de dados, caso seu negócio atenda menores de idade. Depois, confira se sua empresa possui processos para detectar, gravar e investigar vazamentos de informações.

O décimo passo é se adequar a outras legislações recentes de proteção de dados no Reino Unido. No caso do Brasil, cabe conferir regulações a respeito – o portal Privacy Hub, por exemplo, elencou algumas preocupações para o cenário nacional.

Também designe alguém para se responsabilizar pela proteção de dados, ainda que sua startup não tenha a obrigação de contratar um diretor de proteção de dados. Por fim, se sua startup atua em diversos países, veja a qual autoridade supervisora de proteção de dados seu negócio deve se reportar.

A consultoria Gartner vê a regulação europeia como oportunidades para empresas, mas destaca que a assessoria jurídica é crucial nesse momento. “O consentimento obtido deve permitir uso flexível e compartilhamento expansivo, mas ainda deve ser específico o suficiente para atender aos requerimentos da GDPR”, de acordo com relatório.

Ramos concorda com a pesquisa. “Procurar um auxílio pode ser importante, dependendo da maturidade e do modelo de negócio da startup”. Seu negócio está preparado para a GDPR?