Todos os artigos

LGPD: Ações simples e básicas para quem desenvolve aplicativos

Cadeado aberto na mão de uma pessoa com um notebook no fundo.

Imagem de Schluesseldienst por Pixabay

Em 2018 foi sancionada pelo então presidente do Brasil, Michael Temer a Lei Geral de Proteção de Dados (LGPD) ou Lei Nº 13.709 que regulamenta o tratamento (acesso, gestão, armazenamento e compartilhamento) dos dados pessoais de usuários por todo e qualquer serviço digital em funcionamento no território nacional.

A lei entraria em vigor em Agosto deste ano mas, devido ao contexto de pandemia causada pelas medidas de proteção ao COVID-19, a vigência foi adiada para 3 de Maio de 2021.

Conceitos

Antes de continuar, é importante entender alguns conceitos relacionados a lei de proteção de dados:

Dados pessoais

Dados que possibilitam a identificação direta ou indireta do indivíduo como por exemplo: RG, CPF, endereço físico, endereço de email, telefone, e até endereço de IP.

Dados pessoais sensíveis

Dados vinculados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. Estes dados devem ser tratados com extrema cautela pois são passíveis de discriminação.

Dados anonimizados

Dados que não possibilitam identificação como renda familiar, classe social, ocupação, etc.

Titular

Pessoa na qual os dados se referem, proprietária dos mesmos.

Controlador

Pessoa ou empresa responsável pelas decisões referentes ao tratamento dos dados.

Operador

Pessoa ou empresa responsável pela manipulação e tratamento dos dados.

LGPD e os aplicativos

Apesar de ser atualmente um assunto muito em alta em produtos digitais, pouco se sabe sobre o real impacto que a aplicação da lei pode causar efetivamente no trabalho de uma pessoa desenvolvedora de aplicativos. Principalmente tendo em vista que a multa pode chegar a milhões de reais no caso de não cumprimento das normas.

Obviamente, cada aplicação tem suas necessidades e regras de negócio que divergem sobre as necessidades e utilidades dos dados dos usuários. Portanto, seguimos a premissa: “cada caso é um caso”. Cada projeto exige determinado aprofundamento nas aplicações da nova legislação: umas exigem maior cuidado enquanto outras nem tanto.

Este artigo trás algumas soluções práticas para resolver alguns dos pontos principais da regulamentação, mas não entraremos no detalhe e tão pouco na sua jurisdição. Se quiser saber mais, a idwall fez um excelente material explicando tudo sobre a lei.

Além disso, algumas das coisas sugeridas aqui necessitam de outros stakeholders do projeto como o próprio cliente, equipe de gerenciamento e, em alguns casos até mesmo o departamento jurídico.


Ações básicas

Notebook com a tela escrito: "Just Start" com um celular e um vaso de planta ao lado esquerdo e uma caneca e mdo lado direito

Photo by Dayne Topkin on Unsplash

Para estar de acordo com a nova legislação, o projeto precisa ser pensado na privacidade do usuário e de seus dados. Por isso, minimamente, algumas medidas simples precisam ser tomadas:

Verificar dependências

Uma das primeiras ações a ser tomada é verificar se todos os serviços e dependências que o projeto utiliza estão de acordo com a LGPD. Usa serviços de container, armazenamento, ou alguma biblioteca de terceiro, algum pacote externo? Tudo que tiver relacionado a tratamento de dados precisa ser verificado se está de acordo com a nova legislação.

Alguns serviços maiores já se adaptaram a lei europeia de proteção de dados (GDPR) que foi a inspiração para a versão brasileira, então é possível já verificar algumas configurações de segurança dos dados (em alguns casos até mesmo obrigatória para o funcionamento do projeto), mas ainda é preciso conferir.

Solicitar permissões de recursos do dispositivo

Atualmente, muitos próprios sistemas operacionais bloqueiam o acesso aos dados de hardware, por questões de segurança. Mas de qualquer forma, é necessário adotar uma política de boas práticas na requisição dessas permissões: não obter permissões além do necessário e apenas quando for usado o recurso.

Por exemplo: se tenho um aplicativo que faz apenas cadastros de clientes e não preciso dos dados de localização dos mesmos, não tem porquê eu pedir a permissão para acesso a localização do dispositivo. E, nesse mesmo aplicativo, se preciso acessar os arquivos externos para, por exemplo, adicionar uma foto do usuário, meu aplicativo deve solicitar a permissão de acesso a arquivos externos apenas quando esse acesso for necessário.

Consentimento

Antes de qualquer operação com um dado do usuário, principalmente um dado sensível, o titular precisa dar o seu consentimento explícito. Ou seja: ele precisa saber quais são os dados tratados pelo aplicativo e o porquê precisa disponibiliza-los. Além disso, se a especificação da finalidade e utilização estiverem muito genéricos não será considerado consentido o uso do dado referente.

O titular também pode, a qualquer momento, revogar o consentimento do tratamento de quaisquer que sejam os seus dados fornecidos, além da completa exclusão deles. Nestes casos, se o seu aplicativo necessita dos dados que precisarão ser apagados precisa alertá-lo das consequências, mas não pode impedi-lo de prosseguir com o procedimento. A maioria das vezes, essas informações de consentimento ficam nos termos de uso e política de privacidade, e o usuário precisa aceitá-los ao acessar um aplicativo. Neste caso, como pessoas desenvolvedoras, nem sempre somos os responsáveis por esses termos, mas, além de disponibilizar esses termos nos aplicativos, é importante termos conhecimento para evitar algum problema futuro no aplicativo.

Gerenciador de dados

O usuário, como titular de seus dados deve poder gerencia-los da forma como bem entender. Por isso, é importante ter um local em que ele possa modificar, baixar ou até mesmo excluir seus dados no aplicativo.

No caso de serviços que possuem diversas plataformas de utilização como mobile, web, etc. Esse gerenciamento completo pode ficar disponível apenas em uma plataforma, mas o usuário precisa estar ciente dessa possibilidade.

Dados seguros

Dê preferência para armazenamento de dados pessoais de forma segura com criptografia. Os dados sensíveis precisam, necessariamente, estar em um sistema de armazenamento comprovadamente seguro.

No caso de alguma invasão ou falha de segurança detectada no seu sistema de armazenamento de dados ou serviços terceiros utilizados, o usuário precisa ser notificado imediatamente bem como receber instruções de como proceder para sofrer o mínimo de dano possível.


Privacidade por padrão

A primeira coisa que devemos ter em mente é que o usuário é o dono (titular) dos seus dados e por isso, ele precisa estar ciente e autorizar qualquer tratamento nos mesmos.

Com essa nova lei, precisamos repensar todo o ciclo de informações do aplicativo, colocando como premissa ”Privacidade por padrão” de forma que o usuário possa revogar seu consentimento e até deletar suas informações a qualquer momento impactando o mínimo possível na sua experiência no aplicativo.

Além disso precisamos revisar todos os dados que coletamos e usamos para entender a real necessidade e sensibilidade deles. Assim, a partir de agora, não podemos mais obter dados de forma irresponsável e sem utilidade. Dessa forma conseguimos também deixar nossos projetos mais leves e coerentes.

Disclaimer

Por fim, é importante informar que não tenho formação na área jurídica e portanto não posso comentar e nem detalhar questões relacionados a LGPD. Este artigo traz apenas ações básicas e simples que precisam ser feitas para estar de acordo com a nova lei. Obviamente, alguns casos exigem ações muito mais complexas e custosas do que as mencionadas neste artigo, mas tenho apenas como objetivo trazer um direcionamento para que pessoas desenvolvedoras tenham conhecimento dessa legislação que irá afetar a maioria dos nossos projetos.