Conforme a Lei Geral de Proteção de Dados (LGPD), para que as *startups possam lidar com dados pessoais precisam respeitar os seguintes requisitos:
Os dados pessoais devem ser utilizados para finalidades específicas e legítimas;
A startup deve explicar para o titular o fluxo dos seus dados e questões como: quais dados serão coletados, por quais motivos, como quem serão compartilhados e expurgados;
E, ainda, deve estar claro a base legal que permite o tratamento dos dados. As bases legais são as hipóteses previstas na Lei Geral de Proteção de Dados que permitem que o tratamento de dados pessoais seja realizado. Conheça as 10 bases legais da LGPD: A avaliação da base legal para cada tratamento deve ser analisada pelo setor jurídico da sua startup.
Consentimento A primeira base legal no artigo 7º da LGPD é o consentimento. Uma autorização expressa, livre, inequívoca, destacada e informada do titular para o tratamento de seus dados pessoais para uma finalidade determinada.
Por ser uma autorização livre, o consentimento pode ser revogado a qualquer momento, mediante requisição do titular ou de seu responsável legal. Uma vez revogada a autorização, a sua empresa não poderá mais lidar com essas informações.
Cumprimento de Obrigação Legal ou Regulatória pelo Controlador A segunda hipótese é o cumprimento de obrigação legal ou regulatória pelo controlador.
Quando a sua startup precisa da informação para cumprir alguma lei ou norma, o dado pode ser usado para esse fim, independentemente de consentimento do titular.
Execução de Contrato Quando o dado pessoal for necessário para que a startup possa executar o contrato ou procedimentos preliminares relacionados ao contrato do qual seja parte o titular, a pedido do titular dos dados, o tratamento também é permitido pela LGPD. Exemplo: se a sua startup possui um e-commerce que é contratado para entregar produtos para o usuário, o endereço de entrega poderá ser coletado e usado para essa finalidade.
Exercício de Direitos em Processos A LGPD também prevê a possibilidade de as empresas utilizarem dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral, nos termos da Lei de Arbitragem.
A startup pode tratar as informações que poderão ser usadas como provas, como os documentos que demonstram a sua regularidade, o cumprimento de obrigações, pagamentos, entre outros, cuja base legal permite que os dados sejam utilizados para essa finalidade e por um prazo compatível com a distribuição e duração dos eventuais processos.
Interesses Legítimos do Controlador ou de Terceiro O tratamento de dados pessoais podem ser realizados quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção das informações sendo que o legítimo interesse do controlador somente poderá fundamentar o tratamento de dados pessoais para finalidades legítimas.
Quando essa for a base legal aplicada, a Autoridade Nacional de Proteção de Dados poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, observados os segredos comercial e industrial.
Proteção da Vida ou da Incolumidade Física A LGPD também permite a operação de dados pessoais que tenha como objetivo proteger a vida ou a incolumidade física do titular dos dados ou de terceiros. A ideia é garantir que, em casos de emergências e situações graves, as informações indispensáveis para garantir a vida ou o bem estar das pessoas possam ser usadas.
Tutela da Saúde As informações pessoais podem ser tratadas para promover a saúde, desde que sejam utilizadas exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Proteção ao Crédito A Lei Geral de Proteção de Dados dispõe que os dados pessoais podem ser tratados nos casos em que o objetivo for proteção do crédito, observando as regras específicas sobre esse tema, permitindo o uso dos dados para operações, como a análise de histórico de inadimplência dos titulares e a efetivação da cobrança de créditos.
Demais Bases Legais
Acima as 8 (oito) bases legais são as mais utilizadas por startups e empresas de base tecnológica, porém, existem outras 2 (duas) hipóteses que também permitem o tratamento de dados pessoais:
Execução de Políticas Públicas: permite que a Administração Pública realize o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
Estudos por Órgão de Pesquisa: possibilidade que os órgãos de pesquisa realizem estudos, garantida, sempre que possível, a anonimização dos dados pessoais.
Procure uma assessoria jurídica especializada para descobrir as bases legais mais seguras para o seu negócio.
Por Natália Martins Nunes
* Startup é uma empresa que possui um modelo de negócios repetível e escalável e é constituída por um grupo de pessoas com perfil empreendedor, que sempre buscam por inovação.
Ufa! São muitos tópicos? Quer conversar conosco sobre isso? #DPOCenter #LGPD #DPO #BankRisk