Em breve, entrará em vigor a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), passando então a surtir efeito regras específicas para captura, tratamento e armazenamento de dados pessoais, que irão impactar não só as Pessoas Jurídicas, quanto também as Pessoas Físicas.
É imperiosa a necessidade de antecipar-se à vigência desta Lei a fim de evitar suas duras penalidades e repercussões. E o melhor caminho, independentemente do ramo ou porte de atuação da empresa, será através de um sistema seguro, aprimorando-se na proteção dos dados pessoais de todos os envolvidos, incluindo colaboradores e clientes.
Assim, a LGPD também impactará diretamente o cotidiano dos desenvolvedores de sistemas e aplicativos, que deverão conscientizar-se, ante a necessidade de uma gestão de dados mais segura e proativa, com o devido foco na privacidade dos usuários, definindo e estabelecendo regras claras desde a coleta, tratamento, até o armazenamento, garantindo a segurança do escopo de desenvolvimento de um novo sistema tecnológico, para oferecer melhor amparo aos seus clientes, no que diz respeito à adoção de condutas claras e preventivas.
Neste sentido, a Lei Geral de Proteção de Dados surge também como forma de harmonizar a aplicabilidade de outros ordenamentos jurídicos como a Constituição Federal, o Código de Defesa do Consumidor, além do próprio Código Civil, no que diz respeito à privacidade dos dados pessoais de todos que estão direta ou indiretamente envolvidos na estrutura da empresa.
A LGPD prescreve um conceito aberto a respeito de dados pessoais, considerando toda e qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, informações como nome, endereço, telefone, profissão, dentre outros, que são capazes de identificar a pessoa natural ou torná-la identificável, automaticamente.
Seguindo a linha de raciocínio, a LGPD ainda trouxe catalogado os dados considerados pessoais sensíveis, quais sejam aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Ato sequente, a LGPD entendeu como tratamento de dados pessoais toda operação realizada com dados pessoais, quais sejam, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Destaca-se, ainda sobre este aspecto, que não se trata de rol taxativo podendo, por conseguinte, ser ampliado, de acordo com a necessidade.
Ademais, a LGPD também aponta diversos princípios que devem ser utilizados como orientação, onde se destacam os seguintes, que devem ser aplicados ao desenvolvedor de sistemas e aplicativos:
NECESSIDADE: Estabelecendo a limitação do tratamento ao mínimo necessário do dado pessoal para a realização de suas finalidades, com as devida amplitude dos dados pessoais pertinentes.
TRANSPARÊNCIA: Garantindo aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
QUALIDADE: garantindo aos titulares, exatidão, clareza, relevância e atualização dos dados.
ADEQUAÇÃO: Sintonia do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento adotado.
SEGURANÇA: Garantindo a segurança por meio de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, além de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
PREVENÇÃO: Estabelecendo a adoção de medidas preventivas no que tange a ocorrência de danos decorrentes do tratamento de dados pessoais.
O descumprimento das medidas determinadas na LGPD torna a empresa sujeita a sanções administrativas e judiciais, incluindo a aplicação de multa simples de 2% do faturamento da empresa, sendo limitada até R$ 50.000.000,00 (cinquenta milhões de reais) por infração cometida, além da publicização da infração cometida até sua regularização, bloqueio ou eliminação dos dados pessoais.
Assim, conclui-se que a atenção da LGPD não se limita em proteger qualquer informação ligada diretamente ao usuário, mas também preservar sua individualidade, expressa através das suas informações pessoais, independentemente das razões pelas quais estejam em poder da empresa.
Neste sentido, compreender a responsabilidade do Desenvolvedor no processo de criação e/ou adequação do sistema ou aplicativo é fundamental para que seu trabalho seja realizado de forma eficaz, de forma a captar com segurança e clareza as necessidades de seus clientes e respectivos usuários.
Neste aspecto, torna-se prudente frisar a importância da adoção de metodologias para acompanhar a dinâmica de coleta e tratamento dos dados pessoais e sensíveis, especialmente em razão dos profissionais de tecnologia invariavelmente buscarem otimizar o tempo de desenvolvimento, em menor tempo e com menor custo. O “Privacy by Design”, conceituação adotada na LGPD, determina que a segurança do tratamento de dados deve ser respeitada e colocada em prática desde a concepção de um produto ou serviço, até o seu efetivo lançamento. Logo, os sistemas e aplicativos deverão respeitar a regulação em apreço desde a criação da sua tecnologia.
Caso as regras não sejam cumpridas, uma vez identificado eventual vazamento de dados, o Desenvolvedor também poderá ser responsabilizado total ou parcialmente pelo dano causado. Daí a necessidade de constante alinhamento aos requisitos e princípios da LGPD, em especial os princípios da transparência, da segurança e prevenção.
Nesta mesma linha de raciocínio, é necessário também estabelecer um plano de estratégia relacionado à captura, tratamento e armazenamento de dados dos sistemas antigos, ou seja, aqueles desenvolvidos antes da vigência da LGPD, visando identificar a adequação destes sistemas às regras de privacidade e se é possível convertê-los à nova regulação. Caso não seja possível a adequação, estes sistemas deverão ser descartados, a fim de evitar qualquer tipo de vazamento ou penalidade que possa comprometer a segurança dos dados pessoais.
Desta forma, sugere-se que o desenvolvedor realize um bom planejamento e execute todos os testes necessários como forma de garantir a aplicabilidade dos requisitos implantados e minimizar a ocorrência de falhas.
Em tempo de pandemia, vários sistemas foram colocados à disposição da população que, ao final, se mostraram vulneráveis. Estas falhas de segurança certamente comprometeram a reputação destes sistemas, talvez até mesmo de forma definitiva. Assim, o desenvolvedor deve ficar atento a qualquer tipo de vulnerabilidade, pois qualquer erro pode colocar em risco os projetos mais audaciosos, destruindo a credibilidade da empresa. Muitas vezes, reparar a vulnerabilidade não é suficiente para recompor a reputação.
Assim, para acompanhar as mudanças trazidas pela Lei 13.709/2018, é recomendável que todos os instrumentos aplicáveis ao desenvolvimento de sistemas e aplicativos sejam utilizados de forma a otimizar a segurança e a continuidade das operações, a fim de minimizar os possíveis riscos que podem ser gerados, especialmente diante das adequações que precisam ser adotadas antes que a Lei entre em vigor, como forma de prevenir a incidência das severas penalidades, além da perda da reputação, cujo valor é inestimável e, muitas vezes, irrecuperável.