Como toda empresa, as startups precisam dar a devida atenção à LGPD, a fim de evitar perdas decorrentes de infrações, sanções e multas.

A Lei Geral de Proteção de Dados (LGPD) estabelece base legal para o tratamento dos dados pessoais feito pelas empresas. Tal tratamento envolve diferentes etapas: desde sua coleta, armazenamento, até o seu descarte. Nesse sentido, a Lei ainda cita agentes de tratamento (conhecidos como DPOs): individuos responsáveis por tomar decisões e incumbidos de tratar os dados em nome da empresa.

Desta maneira, os agentes possuem o dever de realizar o tratamento, respeitando os direitos dos titulares, dos quais decorrem dos seguintes princípios:

• Finalidade específica e informada explicitamente ao titular;
• Adequação à finalidade previamente acordada e divulgada;
• Necessidade do tratamento, limitado ao uso de dados essenciais para alcançar a finalidade inicial;
• Acesso livre, fácil e gratuito das pessoas à forma como seus dados são tratados;
• Qualidade de dados, deixando-os exatos e atualizados, segundo a real necessidade no tratamento;
• Transparência, ao titular, com informações claras e acessíveis sobre o tratamento e seus responsáveis;
• Segurança para coibir situações acidentais ou ilícitas como invasão, destruição, perda, difusão;
• Prevenção contra danos ao titular e a demais envolvidos;
• Não discriminação, ou seja, não permitir atos ilícitos ou abusivos;
• Responsabilização do agente, obrigado a demonstrar a eficácia das medidas adotadas.

O descumprimento à LGPD acarreta sanções que variam entre advertências, multas e proibição parcial ou total do exercício de atividades relacionadas ao tratamento. A multa é por infração, no valor de até 2% do faturamento da empresa, limitado até cinquenta milhões de reais. Além de multas, as empresas ainda podem sofrer com publicização da infração, bloqueio ou perda dos dados a que se refere a violação.

No contexto das startups, a multa aplicada será abaixo do limite previsto, em virtude do regime diferenciado das empresas de pequeno porte. Sobretudo, se a LGPD for violada por uma startup cuja atuação seja baseada em tratamento de dados, esta terá sua reputação e existência comprometidas. Tais fatos decorrem da possibilidade da publicização da violação cometida e do bloqueio da atuação, o que potencializará a perda de clientes e, por consequencia, seu faturamento.

É fundamental que startups se atentem a questões como:

• Conhecimento do fluxo de dados;
• Nomeação do encarregado pelos dados (pessoa física ou jurídica responsável em estabelecer a comunicação entre a ANPD e os titulares dos dados);
• Reestruturação da política de privacidade e termos de uso;
• Medidas técnicas para assegurar a proteção dos dados pessoais;
• Melhorias no sistema de descadastramento e exclusão dos dados do cliente;
• Criação de política de violação de dados com prazos de notificação.

O modelo de negócio inicial e flexível das startups viabiliza oportunidades de ganhos, por meio da adequação à LGPD. A conformidade à Lei potencializa vantagem competitiva; atração de investidores e de clientes; logo, aumento de faturamento e redução de riscos.