A Lei Geral de Proteção de Dados (LGPD) está valendo desde 18 de setembro de 2020, com as sanções previstas para 1º de agosto de 2021. Muitas empresas estão no meio do desenvolvimento de seus projetos de adaptação à lei.
Em geral, a avaliação passa pelo estudo dos fluxos de dados pessoais da empresa, entender os riscos, verificar se há base legal para o uso dos dados e verificar em quais casos será necessário obter o consentimento do dono dos dados, chamado de Titular na LGPD.
A experiência mostra que há um aspecto muito importante que as próprias áreas de tecnologia das empresas não têm noção do que acontece: quais aplicativos a sua empresa usa?
A reposta imediata é o nome do ERP que contém a maioria dos dados transacionais da empresa, inclusive os dados de pessoas físicas, como os funcionários, para processar a folha de pagamento ou dados dos motoristas de caminhão que, eventualmente, são necessários para notificar algum site oficial.
Com a enorme inovação tecnológica dos últimos anos, apareceram na internet milhares de aplicativos usados como serviço (Software as a Service) que facilitam e muito a vida de vários setores das empresas. Normalmente, há um período de teste ou então uma licença gratuita com funções limitadas, que ainda assim ajuda no trabalho do dia a dia.
São programas para envio de e-mail de forma massiva, aplicativo de acompanhamento de prospecção de clientes e funil de venda, CRM (Customer Relationship Management), automação de atividades operacionais (Workflow), aplicativos para realizar pesquisas diversas, aplicativos para controle de projetos e/ou tarefas, e assim por diante.
Raramente um usuário vai analisar os Termos & Condições ou a Política de Privacidade destes sites, inclusive por que alguns deles são do exterior e estes documentos nem estão traduzidos para o português. Normalmente, aparece uma caixinha com o aviso “clique aqui” para concordar com os Termos & Condições e a Política de Privacidade ou então não é possível acessar o aplicativo.
Acontece que esses aplicativos acabam tratando dados de pessoas físicas de uma forma direta, no caso de um CRM, ou de forma indireta, como um aplicativo para controle de tarefas onde o usuário cria tarefas e já anexa planilhas com dados pessoais para “facilitar” a vida da pessoa que terá que executar a tarefa. Pronto, um aplicativo simples de controle de tarefas acaba virando um repositório de dados pessoais.
Alguns cuidados precisam ser tomados para entender e controlar esse ambiente de aplicativos nas empresas:
- Fazer um inventário de todos os aplicativos em uso na empresa, qual o seu objetivo, se é uma licença paga ou gratuita, etc.
- Estudar os Termos & Condições e a Política de Privacidade, se houver. O primeiro ponto é saber se esses aplicativos cumprem com a LGPD e verificar que tipo de compartilhamento de dados é feito. Há casos de aplicativos que deixam bem claro que todos os dados podem ser compartilhados com terceiros, e isso a empresa tem que saber. Outros aplicativos, como aqueles que envelhecem as fotos das pessoas, deixam bem claro que a empresa dona do aplicativo vai deter o direito da imagem que foi modificada, ou seja, esta empresa poderá fazer uma propaganda usando aquela foto que você subiu para ser modificada.
- Avaliar o histórico de vazamento de informação ou de mau uso da informação do aplicativo.
- Decidir quais aplicativos manter em função dos riscos que podem apresentar para os dados que forem tratados.
- Criar um processo de avaliação e homologação de aplicativos. Somente aplicativos aprovados pela empresa poderão ser usados pelos funcionários.
- Definir quem pode ter acesso a qual aplicativo. Do mesmo modo que são definidos os módulos do ERP que cada funcionário pode ter acesso, devem ser definidos quais aplicativos cada funcionário poderá ter acesso daqueles que foram homologados pela empresa.
Medidas simples como estas permitirão o controle de acesso e uso destes aplicativos de internet que, em muitas ocasiões, acabam virando verdadeiras bases de dados pessoais.
Sergio Woisky, consultor e diretor da Comp9