Também conhecida pela sigla LGPDP, a Lei Geral de Proteção de Dados Pessoais, reserva novidades que têm como principal intuito proteger as informações dos usuários. Mas, como essa nova legislação impacta diretamente nos negócios de Software as a Service (SaaS)? Continue lendo para entender tudo sobre a lei que entrará em vigor em breve no Brasil!
A Lei Geral de Proteção de Dados Pessoais (LGPD) é um assunto relativamente recente aqui no Brasil, mas já está em pauta na Europa há muito tempo. A LGPD, começou a ser desenhada com base na General Data Protection Regulation (GDPR), adaptando-se ao cenário brasileiro e suas particularidades.
As informações oficiais do Planalto que explicam que a lei, conforme Art. 1º, “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
Como um resumo, podemos entender que ela é uma regulamentação voltada à proteção das informações pessoais que os cidadãos fornecem, seja para outras pessoas físicas ou para empresas. Trata-se de consentimento para uso de algumas informações pessoais dos cidadãos brasileiros, ou seja, seus dados não podem ser manipulados por terceiros caso não seja autorizado.
Com uma base totalmente tecnológica, essa novidade está extremamente ligada à privacidade das pessoas naturais do Brasil, conforme afirma Claudio Demeterco, Sócio-Fundador da DFDS Advogados: “É uma lei que vem melhorar o relacionamento das pessoas com a tecnologia, proteger a privacidade, que é garantida e inviolável constitucionalmente”, explica.
Além da mudança legal, essa lei traz embutida uma mudança de cultura. As pessoas passarão a ser mais criteriosas com relação às informações que são solicitadas e concedidas de modo geral. O advogado afirma ainda que essa é uma lei que não depende da “aceitação” ou não das pessoas, porque está ligada realmente à empoderar as pessoas e seus dados.
Afinal de contas, esse é mais um direito que os cidadãos ganham. Além da autorização e o manejo das informações, as pessoas podem:
- Acessar seus dados pessoais: saber quais são as informações que uma instituição tem sobre a pessoa;
- Corrigir ou completar: se existir algum dado que precise de complemento ou correção, também é possível solicitar;
- Confirmar ou não a veracidade: se encontrada alguma informação relacionada a pessoa que não seja verdadeira, é do seu direito instruir para que essas informações sejam alterados (ou retirados, conforme o próximo tópico);
- Excluir dados que não são relevantes: caso a pessoa entenda que os dados fornecidos para alguma empresa não são relevantes para o tipo de negócio, eles podem ser deletados da base de informações.
A lei tem como principal foco as pessoas físicas e como se munir para não expor informações desnecessárias. Mas, ela atinge muito as empresas, de diversos nichos – inclusive as SaaS (Software as a Service) que precisarão rever metodologias e processos.
Como saber se preciso me preocupar com a LGPD?
Segundo Demeterco, qualquer negócio que tenha pessoas envolvidas precisa se adequar às regras e investir em proteção. “É uma legislação que vai desde a banquinha de revista até uma multinacional”, reforça o advogado com intuito de chamar a atenção para a abrangência da lei.
- É importante lembrar que essa realidade deve ser aplicada para clientes, mas internamente nas empresas também. Dentro de uma empresa de qualquer ramo, por exemplo, temos uma área de recursos humanos, que contém muitas informações sobre os funcionários – e inclusive confidenciais. Demeterco elucidou sobre um atestado de doença médica arquivado na empresa: Caso essa informação vaze para outros setores ou órgãos, essa pessoa pode ser prejudicada até mesmo em se tratando se aumentar o valor do seguro ou plano de saúde, baseando-se nessa doença pré-existente.
Do ponto de vista de empresas com clientes, a preocupação também deve continuar. Independente do ramo, inclusive de tecnologia que oferecem software e/ou B2B, as informações de pessoas físicas são necessárias para captação de leads até fechamento de uma compra. Portanto, também devem rever a maneira que manipulam esses dados.
Por outro lado, é importante lembrar também que na relação SaaS B2B, vários dados que estão presentes são relacionados à própria empresa cliente e são públicos. São os casos do CNPJ e endereço, exemplifica Demeterco. O empresário enfatiza ainda que essas informações não entram nessa discussão legal porque não se tratam de pessoas físicas.
Como adequar o meu negócio SaaS à lei?
As empresas precisam observar tudo que envolve dados dentro da sua empresa para adequar qualquer tipo de negócio à Lei Geral de Proteção de Dados Pessoais. Selecionamos 4 áreas das empresas que precisam de mais atenção:
- Jurídico: Mais do que nunca, será necessário que o departamento jurídico ou advogado da empresa esteja envolvido nas atividades praticadas na empresa. A primeira responsabilidade, no caso, será revisar as práticas atuais para adequá-las ou eliminá-las quando a lei entrar em vigor. Depois, confirmar ou recusar algumas hipóteses para o negócio e precaver a empresa.
- Relacionamento e marketing: Entender quais informações e como elas são coletadas hoje para a sua empresa é essencial para regulamentação. As empresas precisam adequar formulários para que não sejam invasivos e com informações estritamente necessárias para o negócio – do contrário, isso acarretará um problema.
- RH: Conforme exemplificado por Claudio Demeterco, essa é uma área que possui muitas informações das pessoas. Embora as informações sejam autorizadas, o cuidado com o vazamento de dados precisa ser redobrado para não causar desconforto e descumprimento às leis.
- Tecnológico: A área tecnológica será a base para todas as mudanças e a proteção das informações, que precisam estar em local seguro e facilmente retiradas caso esteja de maneira irregular. Um software guarda muitos dados, de diversas maneiras e isso será extremamente impactado. Demeterco sugere que “Se você hospeda dados na nuvem, tenha segurança que o seu provedor tenha todos os aparatos necessários para que não tenham vazamentos. Você tem que exigir dos seus parceiros, postura de conformidade, que adotem postura de segurança de dados”.
Para facilitar a visualização e como dar o primeiro passo, Demeterco dá algumas dicas do que é possível pensar para o sua empresa SaaS: “As empresas estão se preparando, identificando o fluxo de informação da empresa: como ela entra? Quem tem acesso a informação? Como ela é classificada? Como ela é deletada? E como posso transformar esse fluxo da forma mais segura possível para evitar ataques ou que os funcionários utilizem dos dados para vender lista?” lembra.
Quem decide as informações necessárias: Controlador e Operador
Com a LGPD, surgem também novas funções presentes nas relações entre pessoas e informações. Os chamados Controlador e Operador são agentes responsáveis pelo tratamento das informações, um para decidir quais são os dados relevantes e outro para a prática de como serão manipulados posteriormente.
Ambos devem estar cientes de todas as regras da nova regulamentação com objetivo de agir de acordo com a mesma. O controlador será uma pessoa (física ou jurídica) que terá o poder da decisão sobre o tratamento do dado. O operador, por sua vez, cumprirá a coleta e manutenção dessa informação, conforme orientado pelo controlador.
Demeterco traz um exemplo dessa relação na emissão de uma nota fiscal: “O Controlador é o meu cliente que presta o serviço de emissão de uma nota fiscal. Ele que está captando esses dados e está tratando as informações com a colaboração de um Operador, que no caso é a empresa SaaS, para a emissão da nota”, comenta. A empresa de software, então, fará o tratamento desses dados da maneira adequada e respeitando a legislação e as orientações fornecidas pelo Controlador nessa situação.
O que são dados sensíveis da LGPD?
Para solicitar ou fornecer dados, eles precisam ser relevantes para um determinado objetivo. Existem algumas informações que são ainda mais delicadas. Os dados sensíveis são informações voltadas a origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual. Em geral, esses dados não devem ser utilizados para ser critério de algo, são mais voltados à documentos legais e utilização governamental.
Além desses, outros dados que precisam de atenção redobrada em sua manutenção são informações sobre crianças e adolescentes. Nesse caso, os dados só podem ser solicitados se estritamente necessários. Tanto esses últimos quanto os sensíveis precisam de autorização explícita para qualquer uso – no caso de crianças, autorização de pais ou responsáveis.
E os dados para emissão de nota fiscal e similares?
Dados de pessoas físicas serão protegidos pela LGPD, assim como as informações de pessoas jurídicas já exigem cuidados específicos em outro tópico da legislação. Quando tratamos da emissão de uma nota, independente de ser um caso ou outro, “estamos cumprindo uma exigência fiscal, não temos escolha”, explica o fundador da DFDS Advogados. O que acontece, no caso da intermediação de cliente e SaaS, conforme exemplo passado, é o tratamento cauteloso e conforme orientado por parte de um Controlador e Operador para garantia de uma informação mais rápida e segura para todos os envolvidos.
Como identifico dados violados?
A identificação dos dados violados pode exigir o uso de tecnologia para investigar, mas também pode acontecer até de uma maneira bem simples. “Imagine que eu estou em casa no domingo a noite e alguém me liga dizendo que eu tô interessado em algo”, exemplifica Demeterco complementando que caso não tenha autorizado essa ligação ou demonstrado interesse, ele pode ser considerado um dado violado e ser questionado.
“As pessoas estão se empoderando disso para não deixar que as empresas façam esse tipo de ligação. Afinal, qualquer tratamento deve ser autorizado, exceto em casos específicos”, comenta o empresário. Por isso, é tão valiosa a conferência dos dados entrantes e já disponíveis na nuvem ou banco de dados. E, caso um cliente questione a existência desse tipo de informação errônea, é preciso estar disponível e ter as ferramentas necessárias para investigar – e corrigir o quanto antes.
Como funciona a fiscalização
“Por exemplo, houve um vazamento de dados em uma empresa de ecommerce e todos os meus dados de compras foram vazados para o mercado. A quem eu recorro?” questiona o empresário que conclui contando que a resposta é a Autoridade Nacional de Proteção aos Dados (ANPD), um novo órgão que será criado para dar mais segurança para lidar e fiscalizar esse tipo de problema.
A lei consegue atuar de maneira preventiva e repressiva, já que oferece a oportunidade de que as empresas que manipulam informações, tomem as medidas necessárias para se adequar. Por outro lado, “A Autoridade Nacional vai ser, como por exemplo, a Prefeitura verificando um alvará comercial. Ela poderá multar, como a Anvisa faz. Isso acontece para disciplinar o mercado e fazer com que as empresas tenham mais responsabilidade sobre os dados”, explica Demeterco.
Quando a LGPD entra em vigor?
A lei já foi adiada para entrar em vigor, mas está prevista para 16 de agosto de 2020. Enquanto isso, empresas de SaaS e outros ramos já estão se preparando, reestruturando informações e processos para de adequar à lei.
E na sua empresa, como as informações são manipuladas e quais mudanças a Lei Geral de Proteção de Dados Pessoais (LGPD) irá acarretar? Deixe seu comentário!
