A LGPD entra em vigor em agosto de 2020 e sua aplicabilidade tem gerado muitas dúvidas entre as empresas de TI. Se sua empresa desenvolve soluções de software que armazenam dados pessoais, é importante prestar atenção para estas dicas.
O que é a LGPD
A lei 13.709/18, também conhecida como Lei Geral de Proteção de Dados Pessoais, vem para colocar o Brasil em pé de igualdade com outros países que já reconheciam a privacidade dos dados pessoais como um direito do cidadão. Ela estabelece direitos dos titulares dos dados e obrigações para as empresas que armazenam ou tratam estes dados, incluindo multas pesadas para aquelas organizações que falharem na proteção da privacidade e segurança dos dados pessoais.
Dado pessoal é qualquer informação relacionada a uma pessoa natural identificada ou identificável, tais como nome, e-mail, CPF, endereço IP ou qualquer outra informação. A lei traz ainda o conceito de dado pessoal sensível, aquele que pela sua natureza pode levar a um prejuízo maior à pessoa em caso de vazamento, tais como informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
As punições podem chegar a multa de 2% do faturamento no ano anterior, limitada a R$50 milhões por infração, ou até mesmo a eliminação dos dados pessoais a que se refere a infração.
5 dicas de preparação para a LGPD
1. Identifique a informação pessoal tratada pela sua aplicação
Mantenha uma documentação clara sobre que tipo de informação pessoal é salva pela sua aplicação, de que forma ela é obtida, como é utilizada e com que finalidade. Estas informações, dependendo do caso, devem até mesmo estar publicamente disponíveis na sua Política de Privacidade.
Se você não atende diretamente pessoas físicas, mas o cliente do seu software o utiliza para salvar informações pessoais (como por exemplo em uma aplicação de RH), seu cliente precisará ter acesso a estas informações porque pode ser necessário comunica-las aos titulares dos dados.
Como boa prática geral, sua aplicação deve coletar somente aquelas informações que são realmente necessárias. Por exemplo, seu app pode registrar a localização do usuário, mas desde que isto seja necessário para o seu funcionamento (como um aplicativo de carona, por exemplo) e que o usuário dê o seu consentimento.
2. As configurações de privacidade do usuário devem ser default
Pense em um checkbox em um formulário de registro no qual o usuário concorda em receber e-mails promocionais seus ou de parceiros. No passado, frequentemente isto vinha marcado por default e o usuário tinha que desmarcar se não fosse do seu interesse. A LGPD obriga a postura inversa, qualquer opção que privilegie a privacidade do usuário deve ser a default.
Além disso, há a necessidade de esclarecer corretamente que dados estão sendo coletados e com que finalidade.
3. Cuide da segurança
A LGPD dá bastante ênfase para a segurança dos dados, incluindo a anonimização e pseudoanonimização. Na prática, sua aplicação deve tomar o cuidado de sempre que possível usar recursos de criptografia de dados em trânsito e em repouso. Aplicações que salvam informações pessoais em claro na base de dados estão mais sujeitas ao risco de vazamento de dados do que aquelas que seguem boas práticas de criptografia.
Os cuidados com a segurança também se estendem aos mecanismos de autenticação e controle de acesso dentro da aplicação e também na própria proteção da aplicação contra ataques, especialmente quando se trata de aplicações publicadas na internet.
Além disso é importante que os dados usados para testes ou em ambientes de desenvolvimento não sejam dados reais de usuários, porque senão você passa a ter responsabilidade ainda maior sobre estas informações, já que mais pessoas podem vir a ter acesso a elas.
Em tempo: dado anonimizado é aquele que não pode mais, por nenhum meio razoável disponível à época, permitir identificar o indivíduo. A LGPD estabelece que uma vez anonimizado, o dado deixa de estar sob o escopo da lei.
4. Crie mecanismos para a exclusão de dados
Um dos direitos dos titulares garantido pela LGPD é o de exclusão de dados. Quando um dado pessoal deixa de ser necessário ou por solicitação do titular, ele deve ser excluído, salvo se outra legislação obrigar sua guarda. Sua aplicação deve estar pronta para aceitar solicitações de exclusão de informações. Mas você não deve apenas aguardar estas solicitações. É necessário que sua aplicação suporte processos automáticos de exclusão de dados antigos que não são mais necessários, sem que isto gere inconsistências na sua base de dados.
A anonimização dos dados, se corretamente implementada, é equivalente à exclusão, para efeitos práticos.
5. Prepare-se para as solicitações dos titulares
Além da exclusão, os titulares dos dados têm assegurado por lei uma série de outros direitos, tais como a confirmação de tratamento, o acesso aos dados e a revogação do consentimento. Sua aplicação precisa estar pronta para, por exemplo, emitir relatório com a totalidade dos dados pessoais que ela tem sobre um indivíduo e disponibilizá-lo de forma fácil e clara. É possível inclusive deixar este recurso à disposição do próprio titular, evitando assim que este tipo de solicitação precise passar pelo encarregado de dados de sua organização ou que você corra o risco de não a atender dentro do prazo legal (o qual deve ser definido na futura regulamentação da LGPD).
Seguindo estas dicas durante o projeto e desenvolvimento de seu software, você já estará no caminho de assegurar a sua conformidade com a LGPD!
André Mazeron
- VP de Marketing e Eventos – Assespro-RS
- Sócio-fundador da Leverage – Segurança da Informação
