Blog

Primeiro é necessário que você tenha em mente os 10 princípios da LGPD, que são:

1. Finalidade: o usuário deve saber para qual finalidade o seus dados estão sendo coletados e estes só poderão ser utilizados para tal.
Por exemplo: uma academia coleta o e-mail dos clientes para envio de dicas de exercícios em casa e alimentação balanceada, porém ao começar vender roupas de ginástica utiliza a sua base de dados para disparar propagandas e promoções das roupas. Neste caso a empresa descumpre o princípio da finalidade, uma vez que tal objetivo não foi especificado no momento em que o cliente forneceu o dado.

2. Adequação: o tratamento dos dados deve ser adequado para cada finalidade.
Por exemplo: ainda seguindo o exemplo anterior, para cadastro em uma academia não faz sentido solicitar a religião ou posição política do cliente. Neste caso, se a informação não é compatível com a finalidade informada pela empresa, o tratamento do dado se torna inadequado.

3. Necessidade: os princípios da adequação e necessidade caminham juntos, se não é necessário para a sua finalidade não faz sentido coletar a informação.
Por exemplo: Para que seria necessário coletar a religião dos clientes no caso de uma matrícula na academia? Quanto mais dados coletados mais tratativas deverão ser realizadas, além claro de uma maior estrutura para armazenamento desses dados.

4. Livre acesso: o usuário deve ter acesso fácil e gratuito aos dados coletados pela empresa, seja para atualização das informações ou até mesmo exclusão. É importante também que o usuário tenha uma forma de consultar se a empresa trata os dados, porque e para qual finalidade e quais dados são esses.
Por exemplo: Seguindo a linha da academia, o usuário poderá ter um local (seja através de um site ou um sistema fornecido pela empresa, onde ele consulte os seus dados cadastrais e consiga alterar ou excluir a informação, nesse cenário o e-mail.

5. Qualidade dos dados: é importante que os dados armazenados pela empresa estejam atualizados.
Por exemplo: imagine que para renovar o acesso anual à academia é enviado um e-mail de confirmação que o cliente deverá responder em até 15 dias caso contrário o acesso será suspenso, porém o cliente já não utiliza mais o e-mail cadastrado a 1 ano atrás. Que constrangimento poderá ser causado quando o usuário tentar acessar as dependências e ser barrado?

6. Transparência: As informações fornecidas pela empresa, seja por redes sociais, pessoalmente ou meios de comunicação devem ser claras e verdadeiras. Além disso, deve ser transparente aos usuários o que a empresa faz com os seus dados e com quem será compartilhado quando necessário.
Por exemplo: O processo de acesso a academia será automatizado, o usuário deverá informar o seu CPF e a senha na catraca para ter o acesso liberado. Porém será terceirizado esse processo, dessa forma a academia irá fornecer os dados cadastrais do seus clientes para que a empresa terceirizada realize a configuração do sistema de acesso. Antes de fornecer esses dados, a academia deverá informar a todos os clientes atuais e aos futuros sobre o compartilhamento dos dados e quais são esses dados.

7. Segurança: a empresa é responsável por garantir que os dados fornecidos pelos clientes, e pelos próprios funcionários, estejam seguros buscando meios e tecnologias que geram tal segurança.
Por exemplo: na academia todos os dados dos clientes estão armazenados em uma pasta que fica sob o balcão, ou armazenados em um drive onde todos os colaboradores da empresa possuem acesso. Qual a segurança no armazenamento desses dados? Qual a garantia de que esses dados não serão vazados?

8. Prevenção: a empresa deverá adotar meios de prevenção para que situações graves de vazamento ou comprometimento dos dados não ocorram.
Por exemplo: a academia adotou uma política de acesso limitado aos dados do cliente. Apenas os coordenadores têm acesso aos dados completos dos clientes, os demais visualizam apenas o primeiro e último nome e os primeiro 5 dígitos do CPF. Além disso, ao acessar a informação de um cliente é necessário informar uma senha e o histórico de acesso do usuário ficará salvo.

9. Não Discriminação: os dados fornecidos pelos usuário jamais poderão ser utilizados para fins ilícitos, discriminatórios ou abusivos.
Por exemplo: entre os dados solicitados pela academia no momento do cadastro, é solicitado o peso e a altura do cliente. Essa informação será utilizada pela academia para segregar os alunos criando uma sessão apenas para pessoas gordas, restringindo o acesso a outros ambientes não destinados a esse grupo de pessoas.

10. Responsabilidade e Prestação de contas: é importante que a empresa tenha documentado todas as medidas adotadas para se adequar a LGPD. Seja o programa de adequação, treinamento das equipes, contratação de consultorias especializadas, melhoria no sistema de segurança da informação ou utilização de protocolos de acesso à informação, tudo deve ser documentado.
O próximo passo no desenvolvimento de um software adequado a LGPD, é encaixar o objetivo do seu programa aos princípios da LGPD, garantindo que toda a estrutura esteja dentro do contexto previsto na lei.

É importante neste passo que toda a empresa esteja envolvida nesse processo de adequação, afinal é um trabalho em conjunto onde todos estão em busca de um produto viável comercialmente, escalável e dentro da lei de proteção de dados.

Veja que essa lei não é nenhum bicho de 7 cabeças, e que com o tempo se tornará hábito considerar todos esses princípios até no desenvolvimento de uma simples tarefa.

Caso ainda esteja um pouco receoso com a LGPD, lembre-se que ela trás segurança e confiança para os clientes, além claro de segurança para a sua empresa tanto na proteção dos dados dos clientes / funcionários, quanto no casos em que ocorra qualquer tipo de vazamento de dados ficará fácil de provar que foi tomada todas as providências possíveis para impedir tal situação.

E ai, você e sua empresa já estão preparados para a LGPD?

Texto: Ana Paula Green