Se você não está isolado em uma caverna sem acesso ao mundo digital, já deve ter percebido que nas últimas semanas recebeu dezenas (senão centenas) de alertas sobre atualizações de termos de uso e políticas de privacidade dos serviços que normalmente usa na internet.
Essa correria das empresas para se atualizarem tem relação com os escândalos recentes da empresa Cambridge Analytica, mas a origem real das necessidades de atualização são por conta do Regulamento Geral sobre a Proteção de Dados tradução do General Data Protection Regulation (GDPR)em inglês, que é a regulamentação da lei sobre proteção de dados na União Européia, mas que está tendo impacto no mundo todo.
Sim, as regras são para indivíduos europeus, mas ela impacta sim a sua startup de alguma forma. Primeiro lugar, afeta diretamente caso você tenha usuários ou armazene dados de pessoas da UE (lembre que aqui consideramos os Brasileiros com dupla cidadania também), mas ainda que não seja o caso da sua startup, vale entender mais um pouco essas mudanças, pois com a força que ela está sendo adotada por vários países, inclusive fora da Europa, é muito provável que boa parte das regras sejam reutilizadas para próximas leis de outros países, ainda que com adaptações.
Qual papel desempenha a sua startup perante a GDPR?
O primeiro ponto é enquadrar seu projeto dentro das definições de “controlador de dados” e/ou “processador de dados”, pois as regras existem para ambos, mas a aplicação prática e as necessidades de adequação são diferentes.
A regulamentação entende como sendo uma controladora de dados, a empresa que coleta diretamente os dados dos usuários, seja através de um cadastro feito pelos próprios clientes, por coleta em serviços terceiros ou mesmo inserção manual. Já as processadoras de dados, são empresas que armazenam as informações desses usuários para a empresa controladora.
Para deixar mais fácil o entendimento, pense na relação entre a empresa e a pessoa que tem seus dados armazenados, por exemplo, se seu projeto é uma rede social, ou um e-commerce, você obtém os dados dos seus usuários, armazena e utiliza esses dados diretamente, ainda que para uso exclusivo do próprio cliente. Seu projeto então é um controlador de dados. Você usa um servidor para armazenar tudo isso, esse servidor é um processador de dados, e ambos são solidariamente responsáveis pelos dados desse cliente final.
Em outro exemplo menos óbvio, se seu projeto é uma ferramenta de gestão voltada para empresas e essas empresas armazenam dados dos clientes dela, então você nesse caso pode ser visto como o processador de dados, assim como o seu servidor, e o seu cliente pessoa jurídica que manipula esses dados que é o controlador.
Regras Básicas
Definindo onde sua startup se enquadra, fica mais fácil entender quais regras são aplicáveis para seu projeto e como elas devem ser implementadas. Vou listar aqui conceitos mais básicos para o GDPR, pensando na aplicação para startups:
Se você leu até aqui, pode estar se perguntando: Mas essas regras são tão básicas, né? Pois é, são! Mas não são seguidas pela maioria das empresas.
A lista é bem maior, eu apenas citei o que eu considerei mais importante para startups que estão provendo serviços e produtos no meio digital, mas recomendo ler o documento original com uma abordagem bem analítica, repensando o seu projeto e em como essas regras afetam o seu negócio e como se proteger.
Se quiser conversar mais sobre esses e outros desafios de se criar uma startup de base tecnológica, entre em contato comigo ou com alguém da equipe Ultrahaus.