Entendendo na Prática: LGPD na Tecnologia

O que e a LGPD e por que importa

A LGPD e a lei brasileira de proteção de dados que impacta todo sistema que trata dados pessoais.

A Lei Geral de Proteção de Dados, Lei 13.709 de 2018, regula o tratamento de dados pessoais no Brasil. Qualquer organização que coleta, armazena, processa ou compartilha dados de pessoas fisicas brasileiras precisa estar em conformidade, independentemente de onde a organização esta sediada. A lei foi inspirada no GDPR europeu e criou a ANPD, Autoridade Nacional de Proteção de Dados, responsável pela fiscalização e pela aplicação de multas que podem chegar a 2% do faturamento da empresa, limitadas a 50 milhões de reais por infração. Para desenvolvedores, a LGPD tem impacto direto: ela determina como sistemas devem ser arquitetados, quais dados podem ser coletados, como devem ser armazenados e por quanto tempo podem ser mantidos.

Os 10 princípios da LGPD

Finalidade, adequação, necessidade e transparência são os princípios centrais.

A LGPD define 10 princípios que devem nortear todo tratamento de dados: Finalidade, os dados só podem ser usados para o proposito informado ao titular; Adequação, o uso deve ser compatível com a finalidade declarada; Necessidade, coletar apenas o mínimo necessário; Livre acesso, o titular pode consultar seus dados; Qualidade, dados devem ser precisos e atualizados; Transparência, informações claras sobre o tratamento; Segurança, medidas técnicas para proteger os dados; Prevenção, evitar danos antes que ocorram; Não discriminação, dados não podem ser usados para fins discriminatorios ilegais; e Responsabilização, o controlador deve demonstrar cumprimento da lei. Esses princípios influenciam diretamente as decisões de arquitetura de sistemas que tratam dados pessoais.

Direitos dos titulares

O titular tem direito a saber, corrigir, deletar e portar seus dados.

A LGPD garante ao titular, a pessoa a quem os dados pertencem, um conjunto de direitos que os sistemas precisam suportar tecnicamente. O titular pode confirmar se seus dados estão sendo tratados, acessar os dados coletados, corrigir dados incompletos ou incorretos, solicitar anonimização ou eliminação de dados coletados com base em consentimento, revogar o consentimento, solicitar a portabilidade dos dados para outro fornecedor, e obter informações sobre com quem os dados foram compartilhados. Para os desenvolvedores, isso significa que o sistema precisa ter endpoints, interfaces administrativas ou processos para atender a esses pedidos dentro dos prazos legais. Ignorar esses direitos ou não ter como cumpri-los e uma violação direta da LGPD.

Bases legais de tratamento

Todo tratamento de dados precisa de uma base legal, não e apenas consentimento.

Um equivoco comum e pensar que a LGPD exige consentimento para tudo. Na verdade, a lei define 10 bases legais, e o consentimento e apenas uma delas. As principais bases legais são: consentimento do titular, de forma livre, informada e inequivoca; cumprimento de obrigação legal, como enviar nota fiscal que exige CPF; execução de contrato, como usar o endereco para entregar um pedido; interesse legitimo do controlador, desde que não viole os direitos do titular; proteção ao crédito; e tutela da saude. Para cada dado coletado, o sistema deve ter uma base legal documentada. Usar consentimento quando a base legal correta seria execução de contrato e um erro: o usuário poderia revogar o consentimento e o sistema precisária parar de usar o dado, mesmo sendo necessário para entregar o serviço contratado.

Obrigações técnicas para sistemas

Privacy by Design exige que proteção de dados seja incorporada na arquitetura do sistema.

A LGPD adota o princípio de Privacy by Design: a proteção de dados deve ser considerada desde o inicio do desenvolvimento, não adicionada depois. Na prática, isso significa: coletar apenas dados necessários para a finalidade declarada; definir prazos de retenção e implementar exclusão automática após o prazo; criptografar dados sensíveis em repouso e em transito; implementar controle de acesso granular para dados pessoais; manter logs de auditoria de acesso a dados sensíveis; ter mecanismos para atender aos direitos dos titulares; e implementar processo de notificação em caso de incidente de segurança, que deve ser comunicado a ANPD em até 72 horas quando representar risco ou dano relevante aos titulares afetados.

Exemplo em e-commerce

Um e-commerce trata dados em múltiplos contextos com bases legais diferentes.

Em um e-commerce, a LGPD impacta cada etapa da jornada do usuário. No cadastro, o CPF e coletado com base legal em execução de contrato e obrigação fiscal. O email e coletado para entrega de serviço. O telefone pode ser coletado para contato sobre o pedido, base em execução de contrato. Mas enviar newsletter de promoções exige consentimento explícito e separado. Os dados do cartao não devem ser armazenados pelo e-commerce, apenas tokenizados pelo gateway de pagamento. Os dados de endereco de entrega ficam vinculados ao pedido e podem ser eliminados após o prazo de guarda fiscal. Perfil de comportamento de navegação para recomendações pode exigir base de consentimento ou interesse legitimo, com análise de balanceamento documentada.

Exemplo em SaaS

Um SaaS e controlador dos dados de seus clientes e operador dos dados dos usuários finais.

A situação de um SaaS e complexa sob a otica da LGPD. A empresa que desenvolve o SaaS e controladora dos dados que coleta de seus clientes corporativos para prestação do serviço: dados de faturamento, contato, uso da plataforma. Mas quando os clientes corporativos usam o SaaS para tratar dados de seus próprios usuários finais, o SaaS passa a ser operador: processa dados em nome do controlador cliente. Isso exige contratos específicos de processamento de dados, as chamadas DPAs, Data Processing Agreements. O SaaS precisa oferecer funcionalidades que permitam ao cliente controlador atender aos direitos dos titulares finais: exportar dados de um usuário específico, deletar todos os dados de um usuário mediante solicitação, e informar onde os dados estão armazenados.

Como implementar na prática

DPO, RIPD, logs de consentimento e processos de atendimento a titulares são o mínimo necessário.

A implementação prática da LGPD exige quatro elementos principais. O DPO, Data Protection Officer, e o encarregado de proteção de dados responsável por ser o canal entre a empresa, os titulares e a ANPD. Para empresas menores, pode ser o próprio CTO ou um advogado especializado. O RIPD, Relatorio de Impacto a Proteção de Dados, e obrigatório para tratamentos de alto risco e documenta finalidade, base legal e riscos de cada tipo de dado coletado. Os logs de consentimento registram quando, como e para que o usuário consentiu, com timestamp e versão do termo. Por fim, um processo documentado para atender pedidos de titulares em até 15 dias, com responsável definido, formulário de solicitação e trilha de auditoria.

Vantagens da conformidade

Conformidade com LGPD reduz risco juridico, aumenta confianca e melhora a segurança geral.

A conformidade com a LGPD não e apenas obrigação legal: traz vantagens concretas para o negócio. Reduz o risco de multas e ações juridicas que podem ser devastadoras para empresas menores. Aumenta a confianca dos usuários e clientes corporativos, especialmente em segmentos como saude, financeiro e juridico onde a privacidade e crítica. Melhora a postura de segurança geral do sistema, pois as medidas técnicas exigidas pela LGPD, criptografia, controle de acesso, logs de auditoria, também protegem contra ataques. Facilita a expansão para mercados internacionais, pois conformidade com LGPD e GDPR demonstra maturidade em privacidade. E diferência o produto em licitações públicas e contratos com empresas que exigem compliance de seus fornecedores.

Resumo

LGPD e uma lei que exige mudancas técnicas e culturais em como os sistemas tratam dados pessoais.

A LGPD regula o tratamento de dados pessoais no Brasil e impacta diretamente a arquitetura dos sistemas. Todo dado coletado precisa de finalidade clara e base legal documentada. Os dez princípios guiam as decisões de design. Os titulares tem direitos que o sistema precisa suportar tecnicamente. Privacy by Design e obrigatório, não opcional. Em e-commerce, SaaS e qualquer sistema que trate dados pessoais, conformidade não e um projeto pontual mas uma prática continua. DPO, RIPD, logs de consentimento e processos de atendimento a titulares são o mínimo necessário. Empresas que tratam dados pessoais sem conformidade estão expostas a multas, ações judiciais e perda de confianca, todos evitáveis com as práticas e arquiteturas corretas.