LGPD para empresas SaaS: o que é e como se adaptar?
Sancionada em 2018, a Lei Geral de Proteção de Dados Pessoais é objeto de dúvida para muitas empresas. Mesmo dentro de um mesmo segmento, empresas tratam diferentes massas de dados, o que dificulta a definição de um método ideal para implantar a lei. Esse é o caso da LGPD para SaaS (software como serviço), por exemplo, que contém empresas de tecnologia dos mais diferentes setores.
“Os dados são o novo petróleo”. Esta, que é uma das frases mais ditas no meio de tecnologia nos últimos tempos. Diante dessa lógica, o sucesso de muitas empresas da nova economia, muitas delas de Software as a Service, foi construído a partir captação do maior volume possível de informações pessoais dos usuários.
Na União Europeia, existe a General Data Protection Regulation (GDPR), que estipulou a regras e penalidades para empresas que coletam e fazem o tratamento de dados. Essa foi a norma que inspirou versão brasileira.
A Lei Geral de Proteção de Dados Pessoais começa a valer a partir de agosto de 2020. Empresas que não se adequarem e forem autuadas pela fiscalização podem sofrer sanções administrativas capazes de inviabilizar suas atuações.
Neste artigo você verá:
- O que diz a LGPD?
- Quais são os tipos de dados abrangidos pela lei?
- O poder nas mãos dos usuários
- LGPD para SaaS: como se adaptar?
O que diz a LGPD?
A nova legislação não se aplica apenas a empresas de tecnologia, mas a qualquer pessoa jurídica ou física que faça o tratamento de dados pessoais.
Considera-se “tratamento” a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Em linhas gerais, a lei define critérios de segurança para a coleta, armazenamento e uso dos dados. São estabelece condutas que devem ser tomadas no caso de vazamentos e define sérias penalidades.
Quais são os tipos dados abrangidos pela lei?
A LGPD divide os dados em três tipos: pessoais, pessoais sensíveis e anonimizados.
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Além disso, também leva-se em consideração que os bancos de dados podem ser eletrônicos ou físicos. Ou seja, armários cheio de documentos impressos também são contemplados pela lei e os dados contidos neles também devem ser resguardados.
As personagens da LGPD
Dentro do escopo de quem participa do armazenamento de dados, a lei define algumas personagens importantes:
- Titular: pessoa natural (física) a quem se referem os dados pessoais que são objeto de tratamento;
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
É importante sinalizar que as empresas podem ser tanto controladoras, quanto operadoras. No caso de uma empresa SaaS, quando nos referimos às informações de clientes, ela é a operadora, pois recebe dados de terceiros. Quando falamos de dados de colaboradores, por exemplo, que são tratados por outras empresas de RH e People Analytics, sua empresa será a controladora.
Outra figura de destaque é o Data Protection Officer (DPO). Trata-se de um profissional encarregado ou terceirizado para fazer a ponte entre a empresa e a agência reguladora.
O poder nas mãos dos usuários
Um dos pontos mais importantes da lei é possibilitar que o titular dos dados tenha o controle sobre os dados que estão nas mãos de terceiros. Ela define os direitos deste titular em relação ao uso de seus dados:
- Acesso: os usuários devem ter acesso gratuito e irrestrito sobre as informações que a empresa detém sobre ele;
- Retificação: ele pode atualizar as informações detidas pela empresa;
- Eliminação: o usuário pode solicitar a eliminação dos dados desde que não interfira no exercício regular do direito das empresas;
- Revogação do consentimento: mesmo que tenha dado consentimento para a utilização de suas informações, ele pode revogar a decisão;
- Informação e explicação: ele tem direito a saber exatamente para quais fins os dados serão usados;
- Portabilidade: por exemplo, caso o usuário queira migrar de um serviço para outro, cabe a empresa liberar esses dados.
Penalidades
Os agentes que promovem o tratamento de dados devem garantir a infraestrutura técnica e administrativa necessária para manter a segurança. Isso significa protegê-los de acessos não autorizados e de situações acidentais de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Caso algum incidente aconteça, como o vazamento de uma base de dados, o controlador precisa avisar a autoridade do governo sobre o ocorrido imediatamente, bem como os riscos afetados pelo incidente e as medidas que estão sendo tomadas.
Em caso de necessidade ou denúncia, a empresa pode sofrer severas punições:
- Advertência;
- Multa Simples: 2% do faturamento total do ano anterior, chegando até R$ 50 milhões;
- Publicização da infração: em diário oficial e, possivelmente, em outros veículos oficiais;
- Bloqueio dos dados pessoais a que se refere a infração, até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração – que pode inviabilizar a atividade da sua empresa.
LGPD para SaaS: como se adaptar?
Os dados de seus usuários são extremamente importantes para o sucesso de um negócio de software como serviço. O impacto e preocupação sobre a LGPD é evidente, sejam elas de produtos B2B ou B2C.
Confira algumas dicas importantes para auxiliar a implantação de processos e boas práticas seguras :
Revise a infraestrutura de segurança
Para evitar vazamentos de dados, é preciso contar com tecnologias de segurança da informação que tragam um alto nível de proteção com criptografia. Dependendo do contexto e nível de absorção de dados, é possível que isso demande investimentos.
Atenção aos termos do usuário
Como agente controlador de dados pessoais, o fornecedor de um software como serviço passa a ter a obrigação de ter termos de serviço absolutamente claros, atualizados e em conformidade com as leis.
É preciso especificar a razão do processamento de dados, sua natureza e duração; que tipo de dados será processado, além das responsabilidades da empresa como controladora e os direitos do cliente em relação a seus dados. A aceitação do cliente em relação ao uso dos dados precisa ser explícita.
Por exemplo, em campanhas de marketing que utilizem formulários para captar leads. Os objetivos devem estar explícitos, bem como com quem eles serão compartilhados se houverem parcerias de divulgação.
Estabeleça um DPO
A figura do Data Protection Officer surge a nova legislação, pois o controlador deve indicar o nome de um encarregado de reportar à agência reguladora. O nome deste profissional deve ser divulgado publicamente, de forma clara e objetiva.
O DPO será o profissional responsável, entre outras atribuições, por receber reclamações de usuários, se comunicar com as autoridades responsáveis e também conscientizar o público interno em relação às práticas de proteção de dados pessoais.
Busque por informações
Além das fontes oficiais do governo e da mídia, fornecedores de tecnologia e serviços relacionados já produziram muito conteúdo informativo. Buscar fontes diversas, que explorem diferentes ângulos da legislação, é fundamental para que os responsáveis pelas empresas de SaaS possam entendê-la de forma plena.
Assim, procurem materiais diferentes, explicativos e direcionados ao seu segmento. Eventos, webinars, whitepapers, eBooks são algumas opções.
Crie uma cultura de segurança de dados
A LGPD é um marco importante para que as empresas levem a sério a proteção de seus dados e criem uma cultura voltada à segurança. Isso significa fazer uma ampla conscientização de toda a equipe sobre suas responsabilidades e exigir condutas adequadas.
Além disso, as empresas de SaaS devem contemplar os aspectos de proteção de dados já na concepção de seus produtos e serviços.
Outro detalhe é adotar padrões internacionais de segurança. Para quem trata dados de cartão de crédito dos clientes, por exemplo, há o PCI-DSS, que dita uma série de práticas para evitar riscos sobre informações financeiras dos consumidores.
Conte com fornecedores adequados à LGPD
Uma vez que sua empresa esteja preparada para a LGPD, utilizar soluções que não estejam adequadas à lei pode ser um complicador e criar brechas para o vazamento de dados. Por isso, exija dos fornecedores de tecnologia para o seu negócio que já estejam adaptados às exigências trazidas pela legislação.
→Leia a Lei Geral de Proteção de Dados na íntegra
Sobre a Superlógica
A Superlógica desenvolve o software de gestão líder do mercado brasileiro para empresas de serviço recorrente. Somos referência em economia da recorrência e atuamos nos mercados de SaaS e Assinaturas, Condomínios, Imobiliárias, Escolas e Cursos.
A Superlógica também realiza o Superlógica Xperience, maior evento sobre a economia da recorrência da América Latina, e o Superlógica Next, evento que apresenta tendências e inovações do mercado condominial.