Se você não está isolado em uma caverna sem acesso ao mundo digital, já deve ter percebido que nas últimas semanas recebeu dezenas (senão centenas) de alertas sobre atualizações de termos de uso e políticas de privacidade dos serviços que normalmente usa na internet.

Essa correria das empresas para se atualizarem tem relação com os escândalos recentes da empresa Cambridge Analytica, mas a origem real das necessidades de atualização são por conta do Regulamento Geral sobre a Proteção de Dados tradução do General Data Protection Regulation (GDPR)em inglês, que é a regulamentação da lei sobre proteção de dados na União Européia, mas que está tendo impacto no mundo todo.

Sim, as regras são para indivíduos europeus, mas ela impacta sim a sua startup de alguma forma. Primeiro lugar, afeta diretamente caso você tenha usuários ou armazene dados de pessoas da UE (lembre que aqui consideramos os Brasileiros com dupla cidadania também), mas ainda que não seja o caso da sua startup, vale entender mais um pouco essas mudanças, pois com a força que ela está sendo adotada por vários países, inclusive fora da Europa, é muito provável que boa parte das regras sejam reutilizadas para próximas leis de outros países, ainda que com adaptações.

Qual papel desempenha a sua startup perante a GDPR?

O primeiro ponto é enquadrar seu projeto dentro das definições de “controlador de dados” e/ou “processador de dados”, pois as regras existem para ambos, mas a aplicação prática e as necessidades de adequação são diferentes.

A regulamentação entende como sendo uma controladora de dados, a empresa que coleta diretamente os dados dos usuários, seja através de um cadastro feito pelos próprios clientes, por coleta em serviços terceiros ou mesmo inserção manual. Já as processadoras de dados, são empresas que armazenam as informações desses usuários para a empresa controladora.

Para deixar mais fácil o entendimento, pense na relação entre a empresa e a pessoa que tem seus dados armazenados, por exemplo, se seu projeto é uma rede social, ou um e-commerce, você obtém os dados dos seus usuários, armazena e utiliza esses dados diretamente, ainda que para uso exclusivo do próprio cliente. Seu projeto então é um controlador de dados. Você usa um servidor para armazenar tudo isso, esse servidor é um processador de dados, e ambos são solidariamente responsáveis pelos dados desse cliente final.

Em outro exemplo menos óbvio, se seu projeto é uma ferramenta de gestão voltada para empresas e essas empresas armazenam dados dos clientes dela, então você nesse caso pode ser visto como o processador de dados, assim como o seu servidor, e o seu cliente pessoa jurídica que manipula esses dados que é o controlador.

Regras Básicas

Definindo onde sua startup se enquadra, fica mais fácil entender quais regras são aplicáveis para seu projeto e como elas devem ser implementadas. Vou listar aqui conceitos mais básicos para o GDPR, pensando na aplicação para startups:

• Ao coletar informações dos seus usuários, armazene apenas o que você necessariamente precisa para que seu serviço seja prestado, isso varia para cada projeto, é claro, mas tente exercitar essa linha de pensamento para diminuir a sua responsabilidade;
• Deixe claro para o usuário o que você está coletando e para que essas informações serão usadas. Lembre-se aqui que muitas vezes você coleta mais do que está no seu formulário de cadastro, seja através de APIs ou bancos de dados externos ou de parceiros de negócio;
• Não use os dados coletados para nenhum outro fim do que o informado ao usuário nos termos que ele aceitou. O exemplo mais óbvio é sempre o de não ceder o e-mail dele para terceiros fazerem campanhas de marketing, mas essa regra é muito mais sensível que isso, por exemplo, se você coleta o IP do usuário para fins de segurança, não use essa informação para determinar a localização geográfica dele se isso não estiver previsto nos termos de uso;
• Descarte as informações não necessárias após o processamento, sempre que possível. Se você não precisa manter informações específicas do usuário após algum período, não mantenha;
• De sempre ao usuário, controle total da informação dele mesmo. Isso inclui o direito dele atualizar sempre que quiser esses dados ou até mesmo pedir a exclusão completa do cadastro;
• Avise antecipadamente sobre possíveis mudanças nas suas regras de uso das informações, dando o direito do usuário aceitar ou então optar por sair da sua base caso não aceite a mudança da regra previamente aceita;
• Registre possíveis vazamentos de informações de usuários, em casos graves o órgão regulador deve ser avisado em até 72 horas da identificação;
• Tome as medidas técnicas necessárias para que em caso de vazamento do banco de dados, as informações estejam de forma não identificável. Um exemplo básico é armazenar dados sempre criptografados;
• Certifique-se que em todas as integrações usadas, os terceiros sigam os mesmos padrões mínimos de proteção de dados, incluindo servidores e APIs, pois você será responsabilizado mesmo que o vazamento ocorra no projeto do terceiro, caso a informação inicial foi provida pelo seu projeto;

Se você leu até aqui, pode estar se perguntando: Mas essas regras são tão básicas, né? Pois é, são! Mas não são seguidas pela maioria das empresas.

A lista é bem maior, eu apenas citei o que eu considerei mais importante para startups que estão provendo serviços e produtos no meio digital, mas recomendo ler o documento original com uma abordagem bem analítica, repensando o seu projeto e em como essas regras afetam o seu negócio e como se proteger.

Se quiser conversar mais sobre esses e outros desafios de se criar uma startup de base tecnológica, entre em contato comigo ou com alguém da equipe Ultrahaus.