Impulsojunte-se à Impulso

08/04/21

17 min de leitura

LGPD e TI: O guia completo para implementar as regras da nova lei

Márcio SenaMárcio Sena

Inspirada nas diretrizes impostas pela GDPR na Europa, a entrada da Lei Geral de Proteção de Dados no final de 2020 trouxe mudanças para profissionais que trabalham com tecnologia e manuseio de dados como um todo.

Embora muito se fale sobre a Lei, ainda existem dúvidas sobre a relação entre LGPD e TI. É importante estar atento, já que a partir de agosto de 2021, as sanções passarão a poderem ser aplicadas pela ANPD (Agência Nacional de Proteção de Dados).

Com isso, os negócios estão correndo contra o tempo para adequação para a nova legislação, a fim de evitar punições. Assim, abre-se um leque de possibilidades para os profissionais da área.

Neste artigo, criamos um guia completo sobre a Lei, suas exigências e o impacto que ela trouxe para o universo da Tecnologia da Informação. Então, continue a leitura e confira!

O que é a LGPD?

As discussões sobre políticas de privacidade e o uso de dados pessoais no ambiente físico e digital não é de hoje, principalmente quando se trata do processamento de informações. Embora as diretrizes apresentadas no Marco Civil da Internet tratassem sobre o assunto, era necessário aprofundar e adaptar as normas para um cenário mais amplo.

Foi então que a criação da Lei Geral de Proteção de Dados se estabeleceu em 2018 e rapidamente se tornou uma realidade no Brasil, inspirada nas diretrizes da General Data Protection Regulation (GDPR), estabelecida pela União Europeia no mesmo ano. A GDPR é considerada padrão-ouro sobre o tema.

Após algumas prorrogações para o início de sua vigência, a LGPD passou a valer em setembro de 2020. Desde então, ela  trouxe a obrigatoriedade das organizações para adequarem suas práticas sob o risco de uma multa que pode chegar a um valor de até 50 milhões de reais, mostrando, assim, a relevância que suas diretrizes impõem para as empresas.

Quais os objetivos da LGPD?

Depois de entender o que é a LGPD e como foi seu processo de criação nos órgãos federais, é hora de entender a fundo quais os objetivos de suas diretrizes e o que espera-se das empresas daqui para frente. Continue a leitura!

Estabelecimento das partes envolvidas

A LGPD institui que as partes envolvidas na transação de dados pessoais passem a ter uma relação previamente acordada entre Pessoa Jurídica (as empresas) e Pessoa Física (os consumidores).

Definição de dados pessoais

É preciso entender e definir o que são os dados pessoais, pois esse é o tema central da LGPD. Por isso, tenha em mente que trata-se de qualquer informação que identifique um indivíduo, bem como suas preferências relacionadas ao consumo de produtos e serviços. Também é possível analisar seu perfil comportamental como um todo. 

Veja a seguir alguns exemplos dos principais tipos de dados pessoais de Pessoas Físicas:

  • nome completo;
  • e-mail;
  • telefone;
  • idade;
  • estado civil;
  • localização;
  • endereço do usuário.

Conceito de dados sensíveis

Além de definir o que são os dados pessoais, a LGPD também impõe um limite em relação aos dados sensíveis, ou seja, aqueles que podem gerar constrangimento, discriminação ou abuso contra determinado indivíduo (também chamado de titular)

Os chamados dados sensíveis são aqueles ligados à:

  • etnia;
  • religião;
  • preferências sexuais; 
  • opinião política e visões filosóficas;
  • informações relacionadas com saúde e vida sexual do usuário;
  • dados genéticos ou biométricos dos usuários;
  • participação em sindicatos.

Regramento do tratamento de dados

A LGPD tem como um de seus objetivos o aumento do controle da coleta e tratamento dos dados, visando garantir a privacidade do titular, um direito fundamental. Assim, a legislação prevê os casos nos quais é possível realizar o tratamento (sobre dados pessoais e também, especificamente, nas informações sensíveis).

Alguns pontos essenciais para os dados de forma geral são:

  • só pode ser feito com o consentimento do usuário, feito de forma expressa e inequívoca;
  • o consumidor precisa ter ciência sobre quais informações estão sendo coletadas e tratadas;
  • só é possível tratar dados com finalidades expressas, relacionadas com a natureza do negócio e deve ser informado para o indivíduo.

Nos casos de dados sensíveis, eles só podem ser tratados em duas situações:

  • quando o usuário oferecer consentimento para finalidades específicas;
  • pode-se não depender de consentimento em situações estritas, como realização de pesquisas, políticas públicas, proteção da vida ou integridade física de titular e terceiros, entre outros.

Compartilhamento com terceiros

Da mesma forma, as informações, para serem fornecidas para terceiros, devem ser informadas para o titular e deve-se obter o consentimento expresso, comunicando a finalidade dessa transferência. Isso é importante para que o usuário compreenda o rastro que seus dados estão fazendo na Internet.

Imposição de penalidades

As penalidades impostas pela LGPD são rigorosas e ressaltam a importância de se adequar às diretrizes. Quando uma empresa sofre denúncia, corre imediatamente o risco de receber:

  • uma multa em valores agressivos, que podem variar entre 2% do faturamento anual a 50 milhões de reais;
  • ato infracional divulgado em meios públicos;
  • bloqueio e remoção das informações envolvidas com a infração.

Protagonismo do consumidor no compartilhamento de seus dados

Todas as regras impostas pela LGPD têm como pano de fundo uma oferta de poder ao consumidor, que passa a ser protagonista no processo de decisão de coleta e compartilhamento de seus dados com as empresas. Assim, ele passa a ter maior controle da sua privacidade

É importante lembrar que o consentimento pode ser retirado a qualquer momento. Além disso, o usuário tem direito em solicitar para verificar quais são os seus dados pessoais que estão armazenados.

Quais mudanças a LGPD impõe?

A principal mudança que a LGPD apresenta é o protagonismo do consumidor em relação às suas informações pessoais, colocando-os como detentores de seus próprios dados e evitando seu uso indevido. Entenda a seguir quais as principais mudanças relacionadas a LGPD e TI.

Finalidade da coleta de dados

A principal mudança para as empresas após o início da LGPD é em relação à coleta de dados pessoais.  No período anterior à Lei, as empresas coletavam as informações dos consumidores – muitas vezes, sem o seu consentimento – e só depois é que pensavam o que fariam com eles. 

Porém, essa prática deve ser extinta para que o mercado se adeque à LGPD, que estabelece a necessidade de apresentar a finalidade para a qual aquele dado está sendo coletado. Ela deve estar alinhada com o core business da empresa, em alguma medida.

Adequação e necessidade

Outra prática bastante comum no processo de obtenção era em relação à relevância dos dados coletados para as empresas, que muitas vezes solicitavam acesso à informações que não estavam diretamente associadas ao seu negócio.

A partir da entrada da LGPD, as marcas devem coletar apenas aqueles adequados ao seu negócio, explicitando qual a necessidade de cada informação que armazena em seus ambientes digitais. Isso abriu espaço para a implementação da categoria de dados sensíveis, por exemplo.

Segurança no armazenamento de dados

Outro ponto crucial da LGPD é o armazenamento de dados, afinal, processos indevidos e negligências nessa etapa podem levar a multas agressivas em caso de vazamentos de dados. Muitas vezes, isso ocorre devido à má gestão e armazenamento nos data centers das empresas.

Isso reforça a importância de aumentar e otimizar os times capacitados em cibersegurança, bem como adotar ferramentas adequadas para o tratamento de dados pessoais, prevenindo possíveis vazamentos e outros problemas relacionados à segurança da informação.

Autonomia para os titulares

Outra mudança importante que a LGPD trouxe foi a autonomia das pessoas físicas em relação ao livre acesso aos seus dados. Isso significa que as empresas que coletam dados devem oferecer consulta gratuita. Assim, cada consumidor pode verificar o que está armazenado e com qual finalidade. Além disso, os titulares devem ter facilidade para solicitar a exclusão de seus dados a qualquer momento.

Quais áreas devem se envolver na adequação à LGPD?

Visto que as diretrizes da LGPD são impostas para todos os segmentos de mercado, as empresas devem envolver todas as áreas que trabalham direta ou indiretamente com dados pessoais. Entenda a seguir qual a importância de cada uma delas ao se envolver na adequação à LGPD.

Jurídico

Por motivos óbvios, o Departamento Jurídico é o primeiro setor a ser envolvido no início do trabalho de adequação à LGPD. Ele será responsável por revisar contratos com fornecedores, colaboradores e clientes, e também vai instituir novas políticas que envolvem todas essas partes.

Embora todo o setor jurídico precise ter pleno conhecimento da LGPD, o ideal é que a empresa designe um responsável por esse assunto na equipe, já que ele é extenso e repleto de detalhes minuciosos. Outra opção é trazer uma equipe de compliance, que realizará a adequação necessária.

Marketing e Vendas

Nos últimos anos, as áreas de Marketing e Vendas vêm baseando cada vez mais suas estratégias em dados pessoais. Isso significa que campanhas e ações promocionais, muitas vezes, são entregues a partir de recortes de segmentações com base nos dados pessoais dos consumidores.

Por esse motivo, essa é uma das áreas prioritárias que devem ser envolvidas no trabalho de adequação, já que detém muitos dados em suas ferramentas e estratégias, que precisam ser revisitadas sob a ótica das novas diretrizes impostas pela Lei Geral de Proteção de Dados.

Atendimento ao cliente

A área de Atendimento ao cliente tem papel essencial no processo de conformidade com a LGPD, pois ela se alimenta de informações pessoais o tempo todo.

Por se tratar de um time que está na linha de frente e, muitas vezes, serve como porta-voz da empresa perante aos consumidores, é primordial que as diretrizes estejam claras para toda a equipe responsável por atender clientes, já que parte dos dados coletados passará por suas mãos em alguma parte do processo.

Tecnologia da Informação

Por fim, mas não menos importante, está a área de Tecnologia da Informação. Ela fica responsável pelo armazenamento e compartilhamento dos dados, e tem como principal escopo garantir a segurança desses ambientes, gerenciando riscos e prevendo possíveis instabilidades no que remete à segurança da informação.

Os profissionais dessa área são responsáveis, muitas vezes, pela implementação de soluções que vão, justamente, trabalhar com coleta e tratamento de informações. Por isso, quem trabalha nessa área deve estar profundamente atento com as questões da legislação.

Além disso, a LGPD criou a figura do Data Protection Officer (DPO), que seria o responsável por garantir a proteção dos dados dos usuários. Nesse cenário, normalmente, a função é atribuída a um colaborador de TI, justamente, pela sua proximidade com os processos de armazenamento e tratamento de informações.

Quais os desafios da LGPD para a área de TI?

Como visto até aqui, a LGPD trouxe modificações relevantes no processo de coleta, tratamento e uso de dados pelas empresas. Isso tem um impacto considerável na área de TI. Entenda a seguir quais os desafios impostos pela Lei para os profissionais da área.

Entendimento da Lei

Como é de se esperar, a maioria dos profissionais de Tecnologia não possui vasto conhecimento sobre termos e normas jurídicas. Isso significa que a barreira inicial para adequação à LGPD nas empresas é em relação ao conhecimento sobre as diretrizes da Lei e o que cada cláusula significa.

Esse deve ser o primeiro desafio a ser superado para que exista uma adequação satisfatória entre LGPD e TI. Para isso, diversos cursos e capacitações têm sido oferecidas, justamente com foco neste público. Então não deixe de realizá-los.

Além disso, compreendendo esse desafio, muitos empregadores têm criado equipes multidisciplinares, com profissionais de TI e da área do Direito. Assim, é fundamental que você, como especialista na área, trabalhe de forma sinergética com os demais membros da equipe.

Tempo e recursos 

Outro desafio importante a considerar na adequação da LGPD em TI é a limitação de tempo e recursos das equipes, já que a maioria dos squads trabalha em seu máximo potencial de produtividade, mesmo quando metodologias ágeis são aplicadas.

O grande ponto é que a Lei exige um aprimoramento constante em relação ao seu cumprimento, impondo demandas complexas a serem absorvidas pelas equipes. Contudo, ferramentas e soluções de automação já voltadas para a adequação à lei estão cada vez mais sendo desenvolvidas e implementadas nos setores de TI.

Governança de dados

O principal desafio imposto pela LGPD para as equipes de TI está relacionado à governança dos dados. Afinal, como os titulares devem ter rápido e fácil acesso aos seus dados, é preciso implementar soluções que facilitem essa consulta de forma automatizada, sem perder de vista a segurança para que não haja invasões a esses dados.

Abre-se, assim, uma brecha de oportunidades para que desenvolvedores possam atuar, justamente, criando soluções e métodos que facilitem essa governança nas rotinas das organizações. Interessante, não é mesmo?

Segurança em nuvem

As tecnologias de cloud computing são essenciais para a maioria das empresas hoje em dia. Porém, com a chegada da LGPD, cabe ao time de TI uma verificação extra para garantir se a solução utilizada garante a segurança necessária e se fornece visibilidade em relação à rastreabilidade dos dados.

O grande desafio está no ato de fazer a verificação da nuvem atual da empresa, bem como propor e implementar mudanças caso julgue necessário, o que pode comprometer as horas da equipe para uma demanda até então não mapeada.

Gerenciamento de API’s

Como parte das diretrizes podem ser resolvidas por meio de aplicações e automatizações, a relação entre LGPD e TI é estratégica dentro das empresas. Porém, o principal ponto de atenção é em relação ao gerenciamento dessas API’s e soluções propostas pelos times de tecnologia

Eles devem se atentar ao consentimento do usuário e garantir que qualquer mudança solicitada pelo titular seja processada imediatamente. Assim, para os desenvolvedores, esse é um ponto que merece atenção. Isso evidencia o desafio de manter um controle contínuo com processos rigorosos que devem ser seguidos à risca por desenvolvedores e outros profissionais da equipe de TI.

Como implementar as mudanças que a LGPD impõe?

Como você percebeu no item anterior, a LGPD produziu diversos desafios e, ao mesmo tempo, oportunidades interessantes para os profissionais de TI. Contudo, é fundamental estar atento para realizar as implementações necessárias e garantir maior eficácia. Vamos mostrar algumas dicas a seguir.

Mapeamento dos dados

Para iniciar o processo de adequação à LGPD, é preciso fazer um mapeamento consistente dos dados atuais. Esse trabalho consiste em:

  • revisitar todos os ambientes em que os dados ficam armazenados;
  • verificar a sua origem;
  • entender se existem dados sensíveis;
  • aplicar a base legal para cada dado coletado e armazenado;
  • analisar se há riscos de vazamento de dados.

Contrate uma consultoria jurídica

Antes de mais nada, é importante contar com suporte jurídico para criar um projeto de adequação à LGPD. Ele deve ser especializado em projetos de proteção de dados, já que esse trabalho é multidisciplinar e envolve praticamente todas as áreas da empresa, desde as mais estratégicas até as operacionais.

Essa consultoria ficará responsável por:

  • fazer um diagnóstico atual;
  • revisar os contratos com colaboradores, fornecedores e clientes;
  • entender os pontos de fricção;
  • estabelecer um cronograma com as mudanças a serem implementadas;
  • criar um plano de contingência em caso de problemas;
  • entre outros.

Crie um comitê de privacidade

A formação de um comitê de privacidade é essencial para apoiar o trabalho jurídico e garantir o cumprimento da Lei. Ele deve ser composto, prioritariamente, por um time multidisciplinar de profissionais.

O comitê se reunirá periodicamente para discutir a aplicação da Lei em sua área de atuação dentro da empresa. Assim, eles podem agir para evitar e minimizar eventuais brechas que podem passar despercebidas no desenvolvimento das atividades primárias e secundárias da empresa.

Institua um Data Protection Officer (DPO)

Até então desconhecida, a carreira de Data Protection Officer passa a ser uma das mais promissoras no mercado de Tecnologia da Informação no cenário pós LGPD. Afinal, o cargo é obrigatório nas empresas. Ele é responsável por:

  • avaliar riscos;
  • rever processos;
  • definir códigos de conduta;
  • prevenir possíveis vazamentos de informações;
  • atender prontamente os titulares desses dados.

Esse profissional pode ser uma pessoa física ou jurídica, tendo em seu escopo a obrigação de responder aos questionamentos da Autoridade Nacional de Proteção de Dados (ANPD), órgão federal responsável pela fiscalização das diretrizes da LGPD.

Adeque os processos da equipe

Para se adequar à LGPD, as empresas devem começar a implementação de políticas de segurança de dados pelo seu público interno. Assim, é necessário que a empresa atualize suas políticas de privacidade para colaboradores, além de garantir segurança no acesso de colaboradores aos dados de pessoas físicas.

Para a área de TI, isso implica em:

  • ter uma política restrita de acessos e senhas;
  • verificar a segurança das máquinas utilizadas pela equipe para transacionar esses dados;
  • implementar auditorias periódicas;
  • evitar o compartilhamento indevido de informações dentro da empresa.

Implemente o Privacy by Design

Criada nos anos 90, a metodologia Privacy by Design vem recebendo novos adeptos no mercado brasileiro após a sanção da LGPD. Afinal, esse é o termo prioritário norteador da lei em vigor.

Isso porque a metodologia leva em conta a privacidade desde o marco zero na construção e implementação de softwares. Assim, permite-se que as empresas desenvolvam seus produtos e serviços considerando as diretrizes da LGPD como premissa.

Para isso, os 7 pilares da metodologia Privacy by Design devem ser considerados. São eles:

  1. Proatividade ao invés de reatividade;
  2. Privacidade por padrão;
  3. Privacidade incorporada ao projeto;
  4. Funcionalidade total;
  5. Segurança de ponta a ponta; 
  6. Visibilidade e transparência;
  7. Respeito pela privacidade do usuário.

Quais as oportunidades da LGPD para os profissionais de TI?

Como pudemos ver até aqui, a LGPD traz inúmeros desafios e mudanças para as empresas, levando atualizações de processos, softwares e rotinas de todas as áreas que lidam com dados pessoais.

Vimos também que a área de Tecnologia da Informação tem um papel decisivo para garantir conformidade com a Lei e, embora existam muitos desafios nesse sentido, as oportunidades também são exponenciais para o mercado de Proteção de Dados.

Afinal, com a necessidade de adaptação, soluções novas, metodologias inovadoras e possibilidades de automação de processos (por exemplo, na obtenção do consentimento) tornam-se cada vez mais necessárias. E, assim, os profissionais de TI podem aproveitar a onda da LGPD para alavancar suas carreiras. Vejamos a seguir.

Maior notoriedade para o TI estratégico

A principal oportunidade para quem atua com TI é a visibilidade estratégica que a área vem ganhando com a LGPD. Portanto, os colaboradores do setor passam a ter uma maior importância a partir de agora.

Isso se dá porque as empresas agora dependem de profissionais capacitados não só para desenvolver e coordenar softwares, mas também para desenvolver processos ligados à conformidade com a Lei. Assim, é possível prever riscos que podem impactar diretamente o negócio.

Nesse sentido, a área de TI se tornou espaço para profissionais interdisciplinares, com conhecimentos e habilidades variados e visão estratégica. Assim, estamos expandindo o nicho em que os programadores e outros profissionais do segmento normalmente se encaixavam.

Novas áreas de LGPD e TI na empresa

Além do destaque que a área de TI vem ganhando, a LGPD traz consigo novas funções que podem ser exercidas pelos profissionais de TI, como no cargo de DPO, que passa a ser uma posição obrigatória em toda e qualquer empresa que lide com dados pessoais.

Como se capacitar para lidar com a LGPD?

Para que você possa aproveitar todas as possibilidades que a LGPD traz para a área de TI, separamos algumas dicas para ajudá-lo a direcionar sua carreira para o futuro da tecnologia em relação à Proteção de Dados. Confira!

Entenda melhor a Lei

É importante que haja entendimento sobre a Lei, suas diretrizes e aplicações na área de TI. Por esse motivo, o indicado é que você faça a leitura da legislação com atenção e relacione os pontos ali mencionados com o que aprendeu neste artigo e em outros guias da internet.

Estude os casos de uso da GDPR

Muitas empresas europeias que adaptaram seus negócios à GDPR compartilham seus aprendizados por meio de estudos de caso. Como as legislações são semelhantes, você poderá compreender e compartilhar dores com os colegas europeus.

Acompanhe as notícias sobre LGPD

Ficar de olho nas matérias relacionadas à LGPD que são publicadas em território nacional também é importante para os profissionais de TI que desejam se especializar no assunto. Afinal, elas normalmente abordam casos de empresas que sofreram as sanções. Isso pode servir como benchmark para garantir que não acontecerá o mesmo em sua empresa.

Em resumo, pode-se entender que a entrada dessa nova lei causou uma reviravolta no mercado em geral, mostrando para profissionais de Tecnologia o quanto LGPD e TI devem andar de mãos dadas nas empresas. 

💡Se você gostou deste artigo, conte-nos aqui nos comentários e não deixe de compartilhar com outras pessoas interessadas no tema!

Nós usamos cookies para melhorar sua experiência no site. Ao aceitar, você concorda com nossa Política de Privacidade

Assine nossa newsletter

Toda semana uma News com oportunidades de trabalho, conteúdos selecionados, eventos importantes e novidades sobre o Mundo da Tecnologia.

Pronto, em breve você vai receber novidades 👍