A Lei Geral de Proteção de Dados e os desenvolvedores
A Lei Geral de Proteção de Dados já está prestes a se tornar uma realidade prática para as empresas do Brasil. Por essa razão, a discussão sobre suas implicações está acirrada e mobilizando muitos profissionais de tecnologia. Certamente já passou pelo radar de quem deseja estar alinhado às demandas do mercado e quer crescer na carreira.
Um questionamento comum é: como se adequar a esses princípios e mudar a cultura de desenvolvimento para respeitar a privacidade? Neste artigo, temos a resposta para essa pergunta e muitas outras. Acompanhe os tópicos e aprenda a otimizar a experiência dos usuários e os processos internos com segurança e conformidade com essa lei.
A Lei Geral de Proteção de Dados
A Lei Geral de Proteção (LGPD) foi sancionada em agosto de 2018, pelo então presidente da república Michel Temer. É uma norma que regula a relação entre empresas e clientes no ambiente virtual, contribuindo para o esclarecimento de regras quanto ao uso de dados pessoais.
O objetivo é oferecer maior controle aos titulares e evitar abusos no uso dessas informações. Para esse intuito, a lei aplica uma série de prescrições que determinam limites para as corporações. Foi baseada na regulação europeia acerca do assunto, a GPDR, aprovada em 2016. O debate sobre essa lei também suscitou grandes reflexões sobre o tema e a importância do controle governamental.
Motivações
Essas leis que abordam a segurança da informação surgem em um contexto propício. Ultimamente, diversos casos de escândalos envolvendo dados pessoais vieram à tona e mostraram-se decisivos para gerar um grande alarde social. As eleições de 2016, nos Estados Unidos, ocorreram em meio a esse ambiente de desconfiança nas empresas. De repente, as pessoas parecem mais preocupadas com seus direitos.
Com o avanço das tecnologias modernas, a privacidade se tornou um tema sensível. Na medida em que novos sistemas são implementados, com o objetivo de resolver problemas com maior agilidade e velocidade, mais informações pessoais são utilizadas. Isso porque, para lidar com problemas específicos, as empresas precisam conhecer a fundo as pessoas.
Afinal, o foco é gerar softwares personalizados às necessidades de cada usuário, de uma maneira que ofereçam uma satisfação maior para eles. Contudo, essa questão também cria uma maior complicação, decorrente do risco de vazamento e exposição dos dados pessoais.
Esse risco, por sua vez, está associado ao aumento da incidência de crimes e ataques virtuais, com hackers e programadores mal-intencionados tornando-se cada vez mais engenhosos. Eles melhoraram em seus métodos e conseguem invadir sistemas com mais facilidade, além de explorar melhor as vulnerabilidades. Tudo isso unido gera uma grande tensão quando o assunto é privacidade.
Inovação X cuidado com a privacidade
Por essa razão, o desenvolvimento tecnológico e a inovação são colocados em contraponto com o respeito à privacidade em muitos debates. Um dos fundamentos disso é a própria ignorância das pessoas com relação aos seus dados e a negligência dos próprios desenvolvedores com relação aos seus limites. Para solucionar esse problema, artigos como este são imprescindíveis.
Mesmo que esse equilíbrio pareça impossível, normas como a LGPD demonstram o caminho. Ou seja, além de um viés regulatório, a Lei Geral também possui um fim didático muito forte. É um dos objetivos conscientizar as pessoas acerca da importância da segurança/privacidade e sobre como é possível avançar em inovação e tecnologias disruptivas sem desrespeitar a honra dos clientes.
Os princípios da Lei
Agora que você já sabe o cenário que motivou a criação de leis sobre o assunto, vamos conhecer a fundo os princípios da LGPD.
Finalidade
Uma das prescrições determina que as companhias devem explicitar a finalidade do uso dos dados para os usuários titulares. Tudo deve ficar claro e transparente para os donos das informações. Cada passo e etapa referente à coleta, ao armazenamento e compartilhamento deve estar de acordo com a intenção definida e declarada.
Necessidade
Outra questão relevante é o foco maior na necessidade temporária dos dados. Quando não precisar mais das informações, as companhias devem excluí-las de suas bases, a fim de prevenir possíveis casos de exposição e vazamentos ilegais. Isso garante que o último ponto seja respeitado também, ou seja, que essas informações sejam usadas apenas para a finalidade especificada.
Consentimento
O controle dos usuários é bem-maior com a nova lei. Eles têm o direito de solicitar exclusão dos dados das bases das empresas, bem como pedir alterações para que fiquem corretas. Todos os passos e as etapas envolvendo o tratamento e a utilização devem ser comunicados aos titulares, e eles precisam consentir com o uso e as ações.
Isso é importante para evitar que as pessoas não fiquem sabendo do que ocorre com suas informações. Assim, a fiscalização garante que haja um diálogo saudável entre as partes e que os clientes conheçam a fundo as operações das companhias e como os dados são utilizados. Esse conhecimento por si só é fundamental para gerar maior consciência sobre a privacidade.
Qualidade
Outro dos princípios diz respeito à necessidade de qualidade das informações, o que chama a atenção para a segurança digital. É preciso focar os pilares mais comuns que compõem esse conceito e trabalhar para reforçar as barreiras da companhia.
Integridade
Por exemplo, é importante trabalhar a integridade dos dados, a fim de garantir que eles estejam claros e transparentes. As informações devem estar corretas e consistentes para que sejam usadas sem nenhum problema nos sistemas internos.
Um dado não íntegro está em uma qualidade suspeita e pode levar à corrupção de outras informações ou à proliferação de vírus em softwares internos. Esse é o cenário que deve ser evitado.
Disponibilidade
Da mesma forma, é fundamental fortalecer a disponibilidade das informações. Os dados devem estar disponíveis para uso em qualquer momento e precisam ser fáceis de serem recuperados e manipulados. Até porque, se o cliente quiser acesso, deve ter a facilidade para solicitar a qualquer instante.
Confidencialidade
Outro pilar é a confidencialidade. Esse fator diz respeito ao controle de acesso interno, ou seja, ao cuidado com quem gerencia cada informação. É importante estabelecer uma forma de controlar isso para evitar que pessoas erradas consigam manipular dados sensíveis, por exemplo.
Com visualização nesse sentido, a organização é capaz de prevenir possíveis problemas e reforçar a hierarquia empresarial, com respeito aos valores internos.
Autenticidade
A autenticidade também deve ser gerenciada e garantida. Esse conceito está associado à possibilidade de identificar a origem de algum dado e reconhecer que ele pertence a alguém.
Abrangência
Outro ponto relevante acerca da LGPD é a sua abrangência: todos os subcontratantes e parceiros devem respeitar as regras. Ou seja, isso vale tanto para companhias nacionais quanto para internacionais, desde que estejam lidando com dados de pessoas brasileiras.
Assim, é preciso tomar bastante cuidado no repasse dessas informações e estabelecer um relacionamento saudável e transparente com os parceiros, a fim de evitar complicações.
Cuidado com dados sensíveis
A lei também estabelece claramente a distinção entre dados pessoais e sensíveis. Informações pessoais são uma categoria que compreende qualquer dado que identifica alguém. Ao passo que os dados sensíveis são os que estão sujeitos a atos e análises discriminatórios. Para os sensíveis, existe um conjunto de restrições especiais que deve ser observado.
Para deixar claro, vamos citar alguns tipos de informações sensíveis: origem racial ou étnica, convicção religiosa, opinião política, orientação sexual, entre outros. Para eles, o uso pode ser permitido conforme consentimento do usuário titular ou algumas regras predefinidas, tais quais:
- cumprimento de obrigação legal;
- tratamento em virtude de execução de políticas públicas;
- estudos de órgãos de pesquisa;
- questão de saúde;
- proteção da vida ou incolumidade física do titular;
- prevenção de fraudes.
Comunicação
Além dos aspectos citados, existe também a definição acerca da mudança na comunicação entre empresa e cliente. A relação deve ser mais transparente, com respeito à vontade do usuário. Por isso, além de só operar com o devido consentimento, as companhias devem informar tudo, caso algum ataque/crime virtual ocorra.
O titular deve conhecer os processos e estar alinhado aos eventos. A empresa também deve reportar para o órgão fiscalizador, deixando claro quais medidas estão sendo tomadas para reparar o problema e diminuir os prejuízos.
5 impactos na rotina dos desenvolvedores
Veremos, nesta seção, alguns impactos na rotina do desenvolvedor de software.
1. Necessidade de gestão proativa
Inicialmente, o principal impacto da LGPD é a atenção para a necessidade de uma gestão de dados mais organizada e proativa. Ao começar a pensar em conformidade com a nova lei, as companhias terão que se deparar com os entraves da cultura atual e iniciar um processo de ajuste. O cuidado reativo, focado apenas em resolver problemas depois que eles acontecem, não é mais o ideal.
Por esse motivo, as equipes terão que reavaliar suas abordagens e seus processos, buscando um foco maior em identificar riscos e ameaças. É preciso ter um claro controle das informações utilizadas, bem como da finalidade, como mencionamos. Da mesma forma, é importante ter uma boa noção dos possíveis perigos e como é possível evitá-los.
Veremos com mais detalhes como isso ocorrerá na prática, mas dá para adiantar que o TI deverá reformular suas estratégias para alcançar esse nível de conhecimento e transparência. Nesse sentido, o mapeamento de dados é fundamental, assim como uma análise profunda da proteção da informação.
2. Segurança na infraestrutura
Esse é outro ponto de impacto relevante. As prescrições da nova lei chamam a atenção para o reforço da segurança digital e para o abandono de velhas práticas da área. Assim como a gestão proativa, é fundamental focar na privacidade, com a definição de regras claras para a coleta, o armazenamento, o compartilhamento e a utilização. Isso abrange, inclusive, a transferência para parceiros.
Nesse sentido, vale destacar um dos pontos da LGPD que ainda não comentamos. A privacidade por padrão é um conceito que diz respeito ao cuidado com esse princípio desde o início da concepção dos sistemas. Ou seja, busca uma clareza maior desde o começo para evitar problemas quando os projetos estiverem maiores.
Quando se trata de reforçar a segurança, as equipes de TI devem se questionar se as estruturas atuais permitem que isso seja feito. Ou seja, o armazenamento físico é capaz de suportar essa demanda? A segurança na nuvem é uma garantia maior, por exemplo, pois, uma vez que os sistemas estão virtualizados e distribuídos, o risco de ataque e exposição é menor.
A cloud surge como uma boa opção, já que também oferece criptografia e proteção em todos os pontos. Assim, é possível reforçar essa característica por uma taxa simples, relacionada a um custo de serviço apenas. A empresa ainda conta com recursos escaláveis, que crescem automaticamente a depender da necessidade.
3. Multas
Caso não haja conformidade quando a lei estiver em vigor, as companhias poderão enfrentar multas e penalidades severas. Isso é um mecanismo dos legisladores para garantir a segurança dos clientes e punições justas. O valor pode chegar até 50 milhões de reais, o que impacta diretamente as operações e o planejamento financeiro de qualquer empresa.
Se a organização não estiver adaptada à lei e sofrer algum ataque, poderá perder o direito de uso daqueles dados. Essa questão facilmente se torna um gargalo operacional que impede a continuidade saudável dos processos. É preciso também seguir as dicas já citadas e comunicar tudo para os fiscalizadores e clientes.
Outras punições definidas é uma advertência para que as empresas observem suas ações e multas diárias que juntam em um montante maior para prevenir que o uso inadequado prossiga.
4. Impacto nas estratégias
Em termos práticos, como a vida do profissional de desenvolvimento será afetada? A resposta está nas estratégias simples e rotineiras. Ao trabalhar nas telas de interação, por exemplo, os desenvolvedores deverão pensar em abordagens que priorizem o consentimento do usuário antes de cada solicitação de dado pessoal. Esse cuidado também vale para a inclusão de regras e documentações que os titulares precisam ler.
Nesse sentido, é importante atentar para as regras específicas. No caso de uso de dados sensíveis para pesquisas, por exemplo, a recomendação é que eles sejam anonimizados. Por essa razão, o desenvolvimento da interface e das regras de negócio dessas aplicações terão que se ajustar e obedecer a isso.
Assim, o cuidado começa com a criação das telas de interface e vai até o gerenciamento do ciclo de vida das informações, com monitoramento deles em todas as etapas. Basicamente é isso que representa o “privacidade por padrão”, algo que abrange o trabalho de todos os desenvolvedores, independentemente da função.
5. Necessidade de um profissional especializado
Outro impacto é a necessidade de um profissional especializado para tratar dos dados e do acesso a eles. Todas as empresas precisarão nomear um colaborador específico para fiscalizar as operações e responder aos órgãos principais. Ele será o intermediário entre a companhia, os titulares e o governo.
Essa regra requer que as empresas se preparem para contratar um profissional que conheça bastante sobre leis e a norma específica, mas também sobre questões técnicas de TI. Os desenvolvedores deverão, então, estar alinhados às ordens desse membro e de acordo com suas definições.
As vantagens de estabelecer conformidade
Veremos agora três principais benefícios de se adequar à lei.
Menos problemas operacionais
Ao reformular os processos para satisfazer os princípios da nova lei, a companhia terá que reforçar as estratégias e otimizar a continuidade das operações. Isso implica menos problemas operacionais para interromper as atividades. Afinal, haverá um foco maior na previsibilidade de resultados, com um planejamento organizado e gerenciamento de riscos.
Otimização do tempo
Da mesma forma, o tempo para chegar a uma solução será menor. Com menos erros e falhas técnicas, a empresa poderá focar no núcleo do negócio e nas funcionalidades a serem desenvolvidas, o que ajuda a gerar maior agilidade. O desenvolvimento não será interrompido, portanto os prazos podem ser cumpridos normalmente.
Satisfação dos clientes
Com uma proteção maior, os clientes ficarão mais satisfeitos e felizes com a experiência. O contato com a companhia e o relacionamento serão mais marcantes e menos problemáticos. Assim, é possível fidelizar as pessoas e garantir que elas voltem mesmo depois do primeiro contato.
Dicas para se preparar para a LGPD
Neste tópico, vamos apresentar algumas dicas para quem deseja preparar-se para essa lei.
Conheça os dados
A primeira estratégia é conhecer muito bem os dados que são utilizados nas operações internas. Isso pode ser feito com um mapeamento das informações, o que permite que a equipe interna conheça o grau de sensibilidade delas e saiba como administrá-las.
Essa etapa é importante, pois fornecerá insights de como os dados estão sendo tratados e o que é preciso ajustar para otimizar os resultados.
Estude os pontos e treine os colaboradores
Como vimos ao longo do artigo, adaptação à LGPD requer uma transformação profunda na cultura empresarial. O foco em privacidade deve tornar-se uma prioridade e garantir um esforço proativo de todos os membros. Assim, a gestão precisa assegurar que todos conheçam os pontos da lei e estejam alinhados aos objetivos de implementar maior cuidado com as regras.
O apoio de todos os funcionários é crucial para que a implantação seja bem-sucedida. Desse modo, os riscos são atenuados e existe maior previsibilidade na administração dos dados. Isso também contribui para a continuidade das operações e o aumento da produtividade.
A especialização dos membros é imprescindível, principalmente porque a empresa precisará de um colaborador que seja referência no assunto para fiscalizar as operações: o Data Protection Officer.
Gerencie as informações
Da mesma forma, é importante gerenciar bem o ciclo de vida desses dados, cuidando deles em cada fase de utilização. Esse monitoramento é imprescindível para assegurar que a gestão acompanhe as informações e mantenha tudo saudável e seguro. Essa dica é interessante para reforçar a segurança, garantindo que somente as pessoas autorizadas tenham acesso.
O controle do ciclo de cada dado permitirá que a empresa se mantenha em conformidade com uma das principais regras da LGPD: o cuidado com a finalidade. Ou seja, com essa gestão, os gestores conseguem eliminar informações quando não estão sendo mais utilizadas, reduzindo o risco de exposição e vazamento.
Do mesmo modo, essa administração também contribuirá com a clareza quando esses dados forem passados para terceiros. Como a lei define que os parceiros obedeçam às prescrições, é interessante manter transparência em todos os momentos.
Implemente medidas de segurança
Para reforçar o cuidado, vale ressaltar a necessidade de implantação de uma política de segurança da informação. A empresa deverá começar a cuidar dessa área de uma maneira mais preventiva, buscando remover os pontos falhos e tornar a infraestrutura mais consistente.
Para assegurar os três pilares da segurança, é fundamental estabelecer uma hierarquia clara de acesso, na qual cada membro estará ciente de suas atribuições.
Da mesma forma, os sistemas devem estar claros e disponíveis para acesso, sempre que necessário. O monitoramento constante, com varreduras frequentes, é outra dica que não deve ser negligenciada. Vale utilizar recursos adicionais que ajudam a reforçar a proteção, como criptografia e backups.
Para isso, a empresa deverá utilizar as ferramentas corretas, soluções que garantem uma segurança ampla e completa com visualização para os líderes, mas também precisará trabalhar os hábitos de cada colaborador, a fim de garantir que todos estejam na mesma página. É interessante controlar horários de acesso à internet, administrar o que cada um acessa e como procedem quando conectados.
O cuidado preventivo passa pela necessidade de um bom gerenciamento dos possíveis riscos, com a definição de estratégias de contingência e planos de recuperação de desastres. Assim, cada colaborador saberá bem o que fará em momentos complicados e conseguirá contribuir para que as operações voltem logo à normalidade.
Busque atualizações
Essa dica diz respeito tanto à necessidade de aprendizado e estudo da nova lei quanto à atualização dos ativos. Para reforçar a segurança e chegar ao nível necessário, a empresa precisará manter-se em dia com as tecnologias vigentes e abrir mão de sistemas e equipamentos obsoletos que oferecem muitos riscos.
É interessante ressaltar que essa dica não pode ser implantada com uma ação somente. A atualização deve ser constante, sempre com a busca por novas abordagens e estratégias para evitar brechas e fortalecer a seguridade.
A LGPD está se tornando uma realidade para as companhias e deve direcionar os esforços com relação à segurança e privacidade. É importante entender os seus pontos e aprender mais sobre suas implicações, a fim de buscar conformidade. Para isso, as empresas precisarão mudar a cultura, treinar os colaboradores e investir em estratégias robustas de proteção.
Como vimos, o cuidado com a lei é fundamental para garantir redução de problemas técnicos e operacionais que interrompem as atividades, maior satisfação dos clientes e otimização do processo de desenvolvimento dos sistemas.
Agora que você já sabe mais sobre a Lei Geral de Proteção de Dados, assine a nossa newsletter e continue conectado com nossos conteúdos.