LGPD sob a ótica do desenvolvimento de software: o nome de cada coisa

As empresas de sistemas e software houses, com o advento da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD) deverão se ajustar a novas condutas e práticas relativamente inovadoras para o modelo de desenvolvimento, armazenamento e captura de dados praticado até então.

O setor era regulado, no máximo, pela Lei n. 12.965/2014 (Marco Civil da Internet), que apenas atingia quem trabalha com tecnologias web, sendo uma lei pouco aplicável a ERP’s, softwares de automação comercial, frentes de vendas e afins.

A nova Lei Geral de Proteção de Dados alcançará a qualquer pessoa ou empresa que opere dados pessoais — como aquele cadastro de cliente, que normalmente é a primeira tela desenvolvida no sistema —, e apenas estarão foras do alcance da LGPD, conforme o Art. 4º:

1. Pessoas físicas que utilizem os dados para fins particulares e não ganham nada com isso.
2. Empresas com fins jornalísticos ou artísticos.
3. Operações de dados para fins acadêmicos; e
4. Atividades estatais puras, como segurança pública e defesa nacional.

Iniciemos portanto com coisas fundamentais (nomes aos bois):

O controlador é o usuário final do software, o mercado, autopeças, mecânica, […] que utiliza o tratamento dos dados e realiza decisões com eles (como dar um desconto com base em histórico de compras ou uma promoção pra um grupo de clientes, por exemplo).

A empresa que desenvolve o software é chamada de operador, é a aquela que efetivamente realiza o tratamento de dados em nome do controlador.

O titular dos dados é o cliente, fornecedor, funcionário, contato, etc. Toda pessoa natural que tem os dados inseridos no sistema do controlador, e que terá seus dados tratados de alguma forma.

O encarregado é uma pessoa indicada pelo controlador e pelo operador, juntos, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

Parece confuso, mas é assim mesmo: O ERP é do operador, o controlador assina um contrato para utilização deste software, o titular dos dados se cadastra nesse software para realizar/acessar algum serviço e o encarregado é o canal de comunicação para “qualquer problema”, a ANPD é a agencia nacional de proteção de dados, uma espécie de ANVISA para o setor.

A definição das atribuições que cada um terá no bom andamento das obrigações deve ser definida e especificada, além do disposto na lei, nas relações contratuais entre as partes e na aplicação de boa governança. Adequações legais sempre geram custos econômicos, mas a LGPD tem um viés reputacional bastante forte e o retorno financeiro da adequação pode transformá-la em um aliado importante.

Gostaria de saber mais sobre o impacto da LGPD na sua empresa e em como podemos ajudá-lo? Entre em contato conosco.

Você pode ler um pouco mais sobre a LGPD nas empresas neste artigo.