Cinco dicas para as fintechs de crédito se adequarem à LGPD

9/10/2020 –

Lei Geral de Proteção de Dados Pessoais entrou em vigor em setembro; sanções administrativas previstas na LGPD ficaram para agosto de 2021

No dia 18 de setembro de 2020, entrou em vigor a Lei Geral de Proteção de Dados, a LGPD. Essa nova lei, inspirada no regulamento europeu de proteção de dados (o General Data Protection Regulation – GDPR), promove mudanças nas condições para o tratamento de dados pessoais, o que inclui atividades como coleta, armazenamento, utilização, compartilhamento e eliminação de informações relacionadas a pessoas naturais identificadas ou identificáveis.

A LGPD estabelece novas obrigações às empresas que tratam dados pessoais, bem como traz princípios e diretrizes para assegurar que os serviços e produtos sejam, desde o princípio, adequados às boas práticas de proteção de dados pessoais. Prevê ainda a aplicação de sanções administrativas aos agentes que não estejam adequados à proteção de dados pessoais, como advertências, multas, publicização de infrações, proibição parcial ou total do exercício da atividade, entre outras.

Essas sanções administrativas somente poderão ser aplicadas a partir de 1 de agosto de 2021 pela Autoridade Nacional de Proteção de Dados (ANPD). Contudo, isso não significa que os agentes de tratamento poderão postergar sua adequação à LGPD, pois outras consequências jurídicas poderão ser impostas.

A orientação, portanto, é que desde já as empresas e suas atividades estejam em conformidade com a LGPD, uma vez que as fintechs de crédito lidam constantemente com dados pessoais – os quais são imprescindíveis para realizar a contratação do crédito com segurança jurídica a todos os agentes envolvidos nessa contratação.

Diante da importância da adequação das empresas à LGPD, a ABCD (Associação Brasileira de Crédito Digital) listou cinco passos essenciais para que as fintechs de crédito possam se adaptar a essa nova realidade:

1) Nomeie um Encarregado e disponibilize seus canais de interação: o DPO (Data Protection Officer), chamado de Encarregado pela LGPD, é o responsável por atuar como ponte de comunicação entre os titulares dos dados, a empresa e a ANPD. É ele quem monitora a conformidade da fintech de crédito com a LGPD e com outras normas de proteção de dados e coordena as políticas internas da empresa. Suas funções podem também incluir o treinamento e a conscientização dos colaboradores. A LGPD exige que a identidade e o contato profissional do DPO sejam divulgados publicamente, de preferência no website da empresa.

2) Assegure que os titulares possam exercer os direitos previstos na LGPD: a LGPD estabelece direitos para os titulares dos dados, tais como o direito de acessar seus dados pessoais, o direito de revogar consentimento, o direito de requerer eliminação, anonimização e bloqueio de dados tratados de forma excessiva, desnecessária ou em violação à LGPD e o direito de portabilidade. Enquanto controladoras de dados pessoais, as fintechs de crédito são responsáveis por garantir aos titulares mecanismos de exercício dos seus direitos em relação aos seus dados pessoais. É importante que as fintechs de crédito deem transparência aos titulares sobre como eles podem exercer seus direitos, criando canais específicos em seus websites e plataformas para esse fim.

3) Desenvolva um programa de governança em proteção de dados: é importante que as fintechs de crédito tenham a proteção de dados no centro da governança. O programa de governança deve estabelecer condições, regimes e procedimentos internos para o tratamento de dados pessoais, de modo que a empresa consiga garantir a segurança dos dados pessoais tratados. A adoção de um programa de governança não só auxilia a empresa no cumprimento da LGPD, como também demonstra suas melhores práticas em tratar os dados pessoais com responsabilidade, como, por exemplo, por meio de ações educativas e treinamento de colaboradores, mecanismos internos de supervisão e mitigação de riscos, procedimentos de resposta a incidentes de segurança, entre outros. Nesse sentido, o investimento em tecnologia da informação é importante no programa de governança, para mitigar os riscos e garantir um tratamento de dados adequado. A tecnologia faz parte do DNA das fintechs de crédito, sendo necessário dar especial atenção à segurança da informação.

4) Atente-se aos princípios da LGPD: a LGPD estabelece princípios a serem observados pelas empresas em relação ao tratamento de dados pessoais – são os princípios da finalidade, adequação, necessidade, livre acesso, qualidade de dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. Entre esses princípios, há um trio que deve ser observado com atenção: finalidade, adequação e necessidade. O princípio da finalidade determina que o tratamento dos dados deve ser realizado com fins específicos, legítimos, explícitos e informados ao titular dos dados. Já o princípio da adequação estabelece que não deve haver desvirtuamento da finalidade de tratamento informada ao titular no momento da coleta dos dados pessoais, isto é, os dados pessoais devem ser usados apenas para atingir a finalidade informada. Por fim, o princípio da necessidade diz respeito à limitação do tratamento de dados ao mínimo necessário para realização da finalidade informada ao titular.

5) Facilite a compreensão dos termos de uso e da política de privacidade: os termos de uso e a política de privacidade demonstram o grau de transparência da empresa com o titular dos dados. É papel das empresas facilitar o entendimento desses documentos para que o titular compreenda como serão coletados e tratados seus dados pessoais. Evite o uso de linguagem difícil e jurídica e dê preferência a textos curtos e de fácil compreensão, para tornar o conteúdo agradável e acessível. Os termos e a política deverão ser o mais completo possível, para que os titulares tenham conhecimento de quais dados pessoais são tratados, para quais finalidades e com quem são compartilhados. Recomendamos que os direitos dos titulares sejam informados na política de privacidade, bem como o canal de atendimento do titular do dado.

“Nós, da ABCD, orientamos as associadas a facilitar o entendimento inclusive nos contratos de contratação de crédito”, afirma Rafael Pereira, presidente da Associação Brasileira de Crédito Digital.

Web Site: