A LGPD no desenvolvimento de sistemas e aplicativos, traz para as empresas, os desafios que precisam rever os dados dos clientes com segurança.
A LGPD ou Lei Geral de Proteção de Dados, está em vigor desde de agosto de 2020. Portanto, essa adequação exige mudanças no processo de captura de dados pessoais e das informações como um todo. Isto é, não apenas do site, mas de qualquer canal de conversão da empresa, inclusive, por meios físicos de coleta.
Pensando nisso, a Crosoften criou um guia com boas práticas da LGPD. Assim, ajudar as empresas nas alterações necessárias nos sites e nas ferramentas. Como também, mostrar como será a relação com os clientes daqui para frente.
O controle de consentimento é fundamental com a LGPD
O primeiro ponto, é entender a ciência do usuário sobre o conteúdo da política de privacidade e o termo de uso. Que é obrigatória para o usuário concluir um cadastro ou interagir com um sistema.
Aliás, se a empresa for utilizar o consentimento como respaldo para o usuário, para ter o acesso do sistema e receber as comunicações futuras. O cliente tem o direito de escolha com da opção de interagir ou não.
Neste caso, será necessário solicitar o consentimento para cada finalidade pretendida pela a empresa. Assim, dividir o consentimento em níveis, por exemplo:
- Aceitar a comunicação por e-mail sobre as promoções da empresa;
- Aceitar receber a comunicação de parceiros;
- Permitir o compartilhamento dos dados com terceiros para a prestação de serviços;
- Permitir o compartilhamento dos dados com outras empresas do Grupo, para melhoria do serviço.
Cada um destes itens fica disponível na hora do cadastro, mas, para ter segurança jurídica em caso de contestações. É importante registrar todo o histórico.
Aliás, para auxiliar nesta gestão, já existem sistemas específicos que se integram ao site ou plataforma. O RD Station e AdOpt, por exemplo, ajudam no registro do consentimento de comunicação direta e da política de privacidade.
Quais seriam os dados coletados?
Para a LGPD, os dados são qualquer informação capaz de descrever ou individualizar as pessoas. Que inclui não somente os elementos documentais, mas também características físicas e sociais. Como a etnia, a cor dos olhos, a sexualidade, o posicionamento político, o perfil de consumo etc. Conforme se extrai do art. 5º da LGPD.
Práticas da LGPD para os aplicativos
Com a LGPD, os termos de privacidade e da segurança dos aplicativos. Deverão ser mais objetivos e concisos sobre a finalidade daquela coleta de dados. Isto é, mesmo se o app for estrangeiro, toda a informação coletada em território brasileiro, estará sujeito à LGPD brasileira.
Agora, entenda como aplicar a LGPD para os aplicativos:
No mapeamento
Mapeie todas as informações que serão realmente necessárias para o seu negócio. Isto é, definindo como elas serão adquiridas.
Na transparência
Todo o levantamento do passo anterior, servirá para a construção de um Termo de Uso e de Privacidade transparentes para o usuário.
O seu aplicativo deve informar quando alguma informação será utilizada. Assim, deixando claro se haverá uma venda de dados, o uso para os anúncios personalizados, as experiências personalidades e outros.
Por exemplo, um app de delivery requisita o acesso aos dados de geolocalização. Portanto, o aplicativo terá as informações dos endereços do usuário. Ao requisitar o acesso a esses dados, o app deverá deixar claro o motivo. Sendo um deles o envio de cupons de descontos personalizados para a região.
O app também precisa esclarecer ao usuário a opção de preferência. Isto quer dizer, se ele quer continuar recebendo as notificações push sobre os cupons ou os e-mails, dentre outras possibilidades de cada aplicativo.
Na análise e no diagnóstico
É interessante avaliar se o aplicativo e as suas alterações, resguardam a integridade e a privacidade dos seus clientes.
O empoderamento do titular dos dados pessoais
Outro fator muito importante que a LGPD impõe, é o empoderamento do titular dos dados. O usuário tem diversos direitos previstos na LGPD de forma que facilita o exercício destes, o que inclui a:
- A confirmação se está havendo tratamento de dados.
- A opção de solicitar o acesso aos dados registrados pela a sua empresa e a portabilidade de informações.
Além disso, precisa de um caminho para:
- Alterar a sua opção de consentimento.
- Revogar o consentimento.
Existe também a necessidade de excluir os dados pessoais da base. Como por exemplo, quando a ANPD – Autoridade Nacional de Proteção de Dados – solicitar, ou quando o próprio titular o fizer.
Portanto, excluir as informações de clientes, gera a perda dos dados históricos e gerenciais da empresa. Por isso, é preciso buscar caminhos técnicos, por exemplo, manter em sigilo o registro de que uma venda aconteceu. Como também, as informações dos clientes, como o nome, o e-mail e o endereço de entrega.
Pela LGPD, quanto tempo as empresas podem manter os dados dos clientes?
O prazo de retenção dos dados dentro da empresa, deve também seguir uma lógica. Ou seja, tem que guardar a relação com a finalidade para a qual o dado foi coletado/tratado.
Por exemplo, uma vez prestado o serviço, não seria mais necessário conservar o dado pessoal na base. Entretanto, a empresa pode guardar a informação pessoal, para cumprir com as suas obrigações legais, regulatórias ou para se defender em Juízo.
Mais do que um desafio técnico, o compliance com a LGPD. Impõe que a empresa assuma, de fato, o respeito à LGPD como um valor.
Assim, a empresa se compromete com um prazo, para que os dados sejam realmente excluídos após a solicitação da ANPD, ou do titular. Isso envolve a necessidade de criar processos internos. Garantindo que o procedimento seja feito em todos os sistemas da empresa. Que inclui o ERP e as plataformas de pagamento.
Além disso, a LGPD também exige a nomeação de uma pessoa responsável pela Privacidade de Dados, o denominado Encarregado. Que faz a intermediação com a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Onde ele pode acionar uma entidade de direito em caso de contestação, ou em acidentes de segurança.
A segurança da Informação
O último aspecto que é muito importante e não pode ser negligenciado, que é a segurança dos dados.
Na Crosoften, a equipe técnica realmente tem um papel fundamental para dar segurança à empresa. A ANPD tem um Guia Orientativo com Checklist dos requisitos básicos que as empresas precisam.
A lei diz que a empresa deve tomar as medidas técnicas, para impedir o acesso indevido aos dados pessoais. Além de garantir que não sejam alterados, compartilhados ou tratados de forma inadequada.
Mas, na prática, o que isso significa?
Que a empresa deve estabelecer os procedimentos de segurança da informação. Isto é, como a criptografia dos dados pessoais antes de serem salvas no banco de dados.
Neste caso, a criptografia garante a segurança, mesmo diante de um ataque. O acesso aos seus arquivos será dificultado ou até mesmo não acessado por terceiros. Na medida que haverá uma camada extra de proteção para a leitura deles.
Também deve planejar com cuidado o manuseio destes dados, criando diferentes níveis de acesso aos sistemas. Apenas os usuários com o nível administrativo, tem o acesso a todas as informações dos clientes.
Ainda que as equipes operacionais precisem realizar as consultas. Mesmo para gerar uma segunda via de boleto ou abrir uma solicitação interna. Uma boa alternativa é exibir apenas parte da informação para os operadores. Por exemplo, mostrar apenas o primeiro nome do cliente ou os últimos dígitos do CPF.
Os pontos de atenção ao capturar os dados
De maneira geral, a LGPD determina que devemos solicitar apenas os dados indispensáveis para atingir a finalidade da prestação do serviço pela empresa. Ou seja, deixar de fora as informações excessivas ou desnecessárias, como a data de nascimento e o sexo. Porque são irrelevantes para os serviços.
Existe ainda uma discussão sobre a necessidade de manter os dados como o telefone e o endereço. Mas como são informações cadastrais, justifica na permissão de contatar em caso de fraude, na geração de boletos e no contato em caso de falhas de processamento. Para isso, deve incluir a retenção de tais informações na política de privacidade.
Outro ponto importante, é a recomendação de que todo dado envolve a identificação pessoal. Como o nome, o e-mail e o CPF, por exemplo. Seja criptografado no Banco de Dados para reduzir os potenciais riscos ou o uso de acesso. Se não houver a possibilidade de realizar a criptografia de toda a base, a criptografia das informações sensíveis é o recomendável.
As alterações técnicas nos sistemas
O compartilhamento interno de informações, também é um ponto que mudou com a LGPD. Em razão dos princípios da finalidade, da necessidade e da adequação, podem acessar os dados apenas as áreas internas que tenham uma relação com os serviços prestados.
A cópia dos dados e a exportação também deve ser feita apenas por pessoas chave, com um alto nível de segurança, armazenando os logs de acesso. Por isso, deve alterar os perfis dos administradores, como:
- A identificação das pessoas que têm o acesso ao sistema: que inclui a identificação da pessoa logada.
- Prevenir os logins compartilhados: exigir a autenticação de dois fatores ao fazer login pela primeira vez no browser. Para isso, pode usar o aplicativo Google Authenticator ou token via e-mail/sms.
- Diferenciar os níveis de acesso: em tese se a pessoa não tem uma razão para ter o acesso aos dados pessoais, não deveriam aparecer.
- As restrições: a função de cópia de dados e de exportação deles, deve ser exclusiva dos superadministradores.
Os cuidados com a terceirização
O compartilhamento de dados com terceiros merece atenção. Os operadores de telemarketing e as agências de publicidade, por exemplo, atuarão como “Operadores de Dados” para a empresa .
Onde deverão se atentar às instruções transmitidas pela a empresa, assim, utilizar os dados pessoais compartilhados. Contudo, a companhia será responsabilizada, caso não utilize as informações de acordo com os limites impostos.
Além disso, é recomendável inserir as cláusulas sobre a proteção de dados pessoais no contrato de prestação de serviços com as empresas terceirizadas. Assim, estabelecer as responsabilidades e os limites de tratamento dos dados compartilhados.
Existem recursos que trazem maior segurança no desenvolvimento de sistemas. Por exemplo, ao invés de disponibilizar o telefone do cliente na interface, usar um discador integrado. Assim, o operador não teria o acesso ao dado pessoal, como o número do telefone, mas pode contatar o cliente normalmente.
De toda forma, o importante é planejar bem para se adequar às regras de privacidade e à proteção dos dados pessoais. Porque este procedimento se torna um diferencial para a empresa.
Se você precisa de ajuda para adaptar o seu site ou plataforma à LGPD, entre em contato conosco. Somos especialistas no desenvolvimento e integração de sites, de aplicativos, de plataformas e de ferramentas. Atuando em todas as etapas do projeto: desde o planejamento, à evolução após a entrega final.
Perguntas frequentes sobre o desenvolvimento de sistemas de maneira adequada à LGPD
1. Como funciona o controle de consentimento com a LGPD?
A ciência na política de privacidade e o termo de uso, deve ser obrigatório para o usuário concluir um cadastro ou interagir com um sistema. Mas, caso a fundamentação utilizada para tratar os dados seja o consentimento, a obtenção do mesmo, deverá ser feita para cada finalidade pretendida, que se divide em níveis citados logo abaixo:
- Aceitar receber as comunicações por e-mail sobre promoções da empresa;
- Aceitar receber a comunicação de parceiros da empresa;
- Permitir compartilhar os dados com terceiros, para prestar os serviços;
- Permitir compartilhar os dados com outras empresas do Grupo, para melhoria do serviço.
2. O que incluir nas fichas de cadastro por conta da LGDP?
Somente são incluídas na ficha de cadastro as informações, que são necessárias e suficientes para as finalidades do negócio. Isto é, os dados como o gênero, a crença, a idade e a raça, por exemplo, não devem ser requisitados.
Porque estes são dados excessivos e que não deveriam ter sido solicitados ao titular.
3. Que tipo de informação precisa ser criptografada com base na LGPD?
A criptografia é uma forma de colocar uma camada de proteção nos dados pessoais, de forma que a pessoa à quem eles se referem não seja mais identificada.
Por isso, é recomendável usar criptografia, e especialmente, quando coletar dados sensíveis dos clientes devem ser criptografados no Banco de Dados para evitar o vazamento das informações em caso de ataques.
São dados sensíveis:
. dado pessoal sobre origem a racial ou étnica,
. a convicção religiosa,
. a opinião política,
. a filiação a sindicato ou a organização de caráter religioso,
. o filosófico ou o político,
. os dados referente à saúde ou à vida sexual,
. os dados genéticos ou biométricos, quando vinculado a uma pessoa natura.
4. Quem pode ter acesso aos dados dos clientes segundo a LGPD?
Apenas aqueles que desempenham as funções de tratamento de dados, ou seja, tenham relação com finalidade de tratamento pretendida. Por isso, é necessário criar diferenciações de nível de acesso no admin.
5. Como prevenir logins compartilhados ao sistema?
Para impedir o compartilhamento de informações dos clientes a partir do acesso ao sistema utilizando o mesmo login de usuário, é necessário exigir a autenticação de dois fatores ao fazer login pela primeira vez no browser. Pode usar o aplicativo Google Authenticator ou token via e-mail/sms.
6. Quanto tempo os dados podem ficar armazenados?
Os dados pessoais, regra geral, ficam armazenados pela a empresa pelo estrito tempo necessário para cumprir a finalidade de tratamento.
Assim, por exemplo, quando expira a prestação de serviços, os dados. Porém, os dados pessoais podem permanecer com a empresa para fins de auditoria, para cumprir obrigações legais, para poder realizar defesa em Juízo (por exemplo em uma ação judicial sobre o serviço que prestou).
7. Como excluir os dados do cliente sem perder o histórico?
Excluir as informações dos clientes, pode gerar a perda de dados históricos e gerenciais da empresa. Então, é preciso criar um sistema que mantenha o registro da venda, mas manter o sigilo do dado bruto.
8. Como fica a terceirização com a LGPD?
As empresas terceiras podem, às vezes, representar um risco por causa do compartilhamento de dados. Neste caso, elas atuarão como “Operadoras de Dados” para a empresa e deverão se atentar às instruções transmitidas por esta para utilizar os dados pessoais compartilhados.
Portanto, as empresas terceirizadas, serão responsabilizadas caso não utilizem os dados nos limites impostos pela contratante. Além disso, é recomendável inserir cláusulas sobre proteção de dados pessoais no contrato de prestação de serviços, para estabelecer as responsabilidades e limites de uso.
Para evitar possíveis problemas, é possível criar uma interface de cobrança com um perfil de acesso específico no sistema, usando um discador integrado para que não haja acesso direto aos dados do cliente.
A qualificação de colaboradores
Os colaboradores responsáveis pelo tratamento dos dados, são treinados e inseridos na cultura de proteção de dados. Uma vez que eles são uma ponta de vulnerabilidade, eles precisam conhecer as boas práticas para evitar que vazamentos ocorram. Isso será um diferencial para o seu aplicativo!
O que você achou deste conteúdo? Para mais informações, fale com a gente.