LGPD sob a ótica do desenvolvimento de software: os primeiros passos
Deve-se, inicialmente, procurar um consultor com um conhecimento mais aprofundado na Lei 13.709/18, uma certa compreensão sobre o regulamento Europeu de proteção de dados (GDPR) e sobre tecnologias, cultura empresarial, desenvolvimento, arquitetura e gestão de software afins. São procedimentos muito mais técnicos do que jurídicos, vale ressaltar. Advogados, técnicos em infraestrutura, analistas e desenvolvedores de software dentre outras especialidades atuarão em vários momentos da interação da lei nas empresas.
Com um suporte razoável, é o momento de começar a agir, indo da estaca zero.
0) Ajustar contratualmente as relações entre a desenvolvedora de software e seus clientes, já que ambos responderão solidariamente em casos de problemas. Todo direito traz custos, e estes serão expressivos. Convêm reavaliar todo o fluxo de solicitações de customização e “correr atrás” de documentar pontos sensíveis em tratamento de dados.
1) É necessário mapear todos os dados consideráveis pessoais – em quais tabelas do banco de dados estão, em que formulário são inseridos, em quais relatórios são exibidos e em quais integrações são transmitidos -, esse procedimento vai ser chamado de data mapping. Com o “ciclo de vida” dos dados em mãos, é necessário entender se existe autorização legal para o tratamento (art. 7º da LGPD); caso não exista uma previsão, deve-se buscar a autorização por escrito ou outra forma que demonstre manifestação expressa – pode ser um e-mail, por exemplo – de todos os titulares (art. 8º da LGPD), e descrevendo exatamente quais os tratamentos que serão efetuados, conforme o data mapping.
2) Identificar possíveis pontos de problemas com vazamentos de dados ou acessos indevidos e, com um certo rigor técnico, elaborar relatórios de impacto a proteção de dados (art. 5º, XVII c/c art. 10, §3º), apontando os problemas originais, oque foi feito para mitigar o problema e tudo mais que for necessário.
3) Definir um plano de ação de conformidade global, que incluirá treinamentos pessoais sobre cultura de proteção de dados, governança, além de controle documental e contratual dos procedimentos de proteção de dados.
Uma questão importante
a Lei Geral de Proteção de Dados se aplica inclusive para meios não digitais. Isso significa que um relatório de cobrança emitido pelo software (que continha nome, telefone e valor da dívida) esquecido em cima de um balção e encontrado por uma pessoa que não seja do setor de cobranças se torne um vazamento de dados; da mesma forma, um funcionário do suporte que acessando o banco de dados para testes gere uma “cópia pessoal” das informações dos clientes, também acarreta em vazamento de dados e problemas de segurança da informação. Se essas informações forem parar na internet e existirem algum tipo de dano patrimonial decorrentes destas condutas, haverão problemas, conforme art. 43 e seguintes da LGPD.
Gostaria de saber mais sobre o impacto da LGPD na sua empresa e em como podemos ajudá-lo? Entre em contato conosco.
Para compreender um pouco melhor os agentes da Lei Geral de Proteção de Dados, você pode dar uma olhadinha aqui.