Whatsapp Fechar

Guia completo sobre adequação à LGPD para SaaS!

Escrito em 30 de Outubro de 2020 por Patrick Negri

Atualizado em 01 de Novembro de 2024

O ano de 2020 marca a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) no Brasil. Como a sua empresa está se preparando para esse momento?

Essa é uma importante questão que muda a forma como os negócios lidam com segurança de dados em todos os setores. Mais ainda para aquelas que oferecem soluções de serviços pela internet.

Portanto, queremos preparar você para lidar com tudo o que é preciso na adequação à LGPD para SaaS. Veja o que diz o texto da lei, como ela afeta sua gestão e como transformar o marco em uma oportunidade. Boa leitura!

Qual a importância de estar atento às exigências legais?

Antes de entrarmos de vez no assunto foco dessa discussão, queremos fazer uma reflexão sobre a necessidade de encarar a LGPD com a seriedade que ela precisa. Leis são feitas para serem cumpridas. Esse ponto, por si só, já guia nossa conversa.

Porém, podemos expandir um pouco mais essa visão, relacionando a busca por eficiência no cumprimento de determinações legais e suas vantagens competitivas. Sim, é possível fazer isso, desde que a preocupação legal seja vista como parte do processo de evolução de um negócio, e não apenas uma obrigação.

Manter uma atenção especial às mudanças e atualizações pode trazer uma série de benefícios para quem se prepara. Veja alguns exemplos.

Estruturação na gestão de dados e documentos

Leis e regulamentações ligadas a sistemas digitais têm uma característica comum de sempre se basearem em boas práticas de gestão e segurança. Isso significa que quem leva leis como a LGPD em conta para montar seus sistemas e investir em serviços garante um nível competitivo de estruturação de dados e documentos.

Assim, ao mesmo tempo que a empresa conforma a infraestrutura ao que dizem as determinações legais, ela também aprimora a arquitetura da informação para ter mais eficiência no dia a dia.

Otimização de processos produtivos

Falando em rotinas, o mesmo ponto se expande para facilitar a produtividade do negócio. Empresas com sistemas que consideram segurança e eficiência, como determinado na lei, conseguem mais tranquilidade para trabalhar.

É um trabalho de reformulação de bancos de dados que vem desde seus alicerces. A LGPD é um desses momentos que incentiva que gestores tomem essa atitude. Com o trabalho feito, é muito mais fácil redesenhar processos produtivos e otimizar tarefas.

Confiança do mercado

Saindo da esfera interna do negócio, empresas que investem em segurança também apostam em imagem de mercado. Alguns casos notáveis nos últimos anos apontam como as companhias que sofrem comprometimento ou vazamento de dados podem perder dinheiro e reputação de maneira drástica.

Dependendo da capacidade de recuperação, um evento como esse pode ser fatal.

Antecipação em relação aos concorrentes

A entrada em vigor da LGPD já está batendo à porta, mas, se a sua empresa é uma das que ainda estão se preparando, houve uma prorrogação com tempo suficiente para entrar em vigor. Mesmo assim, imagine se o mesmo trabalho já houvesse sido feito no ano passado.

Muitos negócios sentiram o baque de ter que passar por essa adaptação no meio de uma crise complicada. Mesmo depois do seu adiamento, isso ainda levanta uma questão muito importante.

Buscar o aprimoramento de gestão, segurança e operação dentro de um negócio é sempre uma vantagem competitiva. Fazer isso mirando a adequação às normas é um investimento que sempre traz retornos para quem se movimenta antes do mercado em geral.

Portanto, a LGPD pode servir como um aprendizado crucial. Vamos entrar em mais detalhes sobre a lei, no que ela muda para seu negócio e seus clientes. Aprender a lidar com isso agora é um passo importante que você pode levar para os próximos anos.

Que tal um podcast completo sobre o assunto? Dê o play!

LGPD

O que é a LGPD?

A LGPD, ou Lei Geral de Proteção de Dados, é uma determinação voltada para a regulamentação da coleta, do armazenamento e do uso de dados de clientes e terceiros por pessoas jurídicas. Ela foi sancionada em agosto de 2018, com um prazo para entrada em vigor, de fato, dois anos depois, em 2020.

Recentemente, no entanto, a pandemia de Covid-19 fez com que Câmara e Senado aprovassem o adiamento dessa data para maio de 2021. São dez meses a mais para que negócios se adequem, mas não há razão para esperar. Como discutimos no último tópico, quanto antes você se mover, melhor para sua imagem e seus negócios.

Então, vamos dar um panorama completo sobre a lei. Veja seus fundamentos, seus pilares e o que pode acontecer com as empresas que não cumprirem todas as determinações.

Fundamentos da lei

O projeto, inicialmente, foi desenvolvido pela sucessão de casos de vazamentos e roubos de dados que assolaram o mercado nos últimos anos. O problema vem crescendo gradualmente, à medida que a informação começou a se tornar cada vez mais valiosa para negócios — principalmente, aqueles que precisam dela para viabilizar seus produtos ou serviços.

Quanto mais você depende de dados, mais atenção eles chamam de criminosos. Os ciberataques ransomware são o exemplo mais comum: invasões ao seu banco que realizam a criptografia de dados e pedem um resgate para que você recupere o acesso a eles.

É uma ação que prejudica empresa e clientes, expondo informações confidenciais e dificultando o uso de seu sistema. Por isso, a Europa foi a primeira a agir, impondo a GDPR (General Data Protection Regulation) para companhias que coletassem e armazenassem qualquer tipo de informação de seus cidadãos.

A LGPD é muito inspirada na GDPR. É uma versão voltada a negócios daqui e de fora que usem informações dos brasileiros para qualquer fim.

Portanto, aqui também a Lei Geral de Proteção de Dados age como regulamentadora. Seu propósito é criar uma série de determinações que garantam o mínimo de segurança da informação de todos os setores que precisarão se adequar.

Essa é a ideia: forçando o investimento em proteção de dados, o país como um todo consegue atingir um nível inicial de confiabilidade no ambiente digital. A partir daí, é um esforço de educação e conscientização para que gestores entendam como segurança é um meio para competitividade.

Entendendo os conceitos básicos da lei, existe um mapa bem claro dos passos a serem seguidos. Confira!

Pilares da segurança de dados na LGPD

Vamos falar sobre como a Lei Geral de Proteção de Dados enxerga o que são boas práticas de segurança da informação. São várias minúcias e determinações, mas para facilitar, podemos resumir a LGPD em cinco pilares fundamentais. Veja quais são.

Consentimento

Uma das questões mais importantes dentro da lei é que, a partir de sua entrada em vigor, em 2021, empresas não poderão mais coletar qualquer dado de um cidadão brasileiro sem seu consentimento. Não importa se é uma informação de cartão de crédito ou apenas o primeiro nome.

Gestores terão que trabalhar de perto com suas equipes de TI para desenhar sistemas que automatizem e facilitem esse trabalho. Nesse caso, que o próprio site ou serviço pergunte se o usuário está de acordo com a coleta e o armazenamento daquela informação em específico.

Transparência

Não basta pedir: a LGPD exige também que negócios apresentem motivações, razões e protocolos para seus usuários.

O que isso significa? Que, ao dar consentimento, eles precisam ser informados de:

  • finalidade com que aquelas informações serão utilizadas;
  • prazo pelo qual ficarão armazenadas (se houver);
  • passos a serem seguidos para revisar os dados coletados a qualquer momento e quantas vezes forem necessárias.

Agência

A transparência faz parte de outro poder que empresas terão que dar a seus clientes: a de agência sobre seus próprios dados. Isso quer dizer criar uma funcionalidade em seu site ou sistema que permita a eles, de forma rápida, objetiva e unilateral, modificar ou apagar qualquer informação que queiram.

Esse processo não deve ser apenas simples, mas também, visível e bem sinalizado para guiar o consumidor. A partir do momento em que a solicitação é feita, é obrigação do negócio apagar aqueles dados imediatamente e de forma irreversível em seus servidores.

Portabilidade

Muitas vezes, o usuário decide mudar de fornecedor de um serviço ou produto digital. Nesses casos, ele não precisará mais pedir a exclusão de informações em um para fornecê-los novamente em outro.

A portabilidade é uma determinação para que seu banco de dados tenha mecanismos simples e diretos que permitam aos clientes baixar ou transferir suas informações para outro ambiente ou dispositivo.

Da mesma forma, quando isso é feito de forma definitiva, a empresa não pode mais manter aqueles dados que foram portados para outra.

Contingência

As regulamentações da LGPD são muito mais voltadas para a prevenção, mas ainda há a discussão que envolve a ação rápida diante de eventos de comprometimento de dados. Uma das determinações da LGPD envolve a criação de planos de contingência, com responsabilidades, protocolos e processos bem definidos.

Inclusive, uma dessas atitudes que deve ser adotada sempre, independente de lei, é informar às autoridades assim que houver qualquer tipo de invasão com comprometimento.

Muitas empresas acham que esconder o problema pode impedir que sua imagem seja prejudicada, mas demonstrar responsabilidade e agilidade é sempre a melhor forma de manter a confiança do mercado nessas situações.

Tipos de dados contemplados na LGPD

Toda a discussão sobre os pilares da LGPD passa pela coleta, pelo armazenamento e pelo uso de informações. Mas de que tipo estamos falando?

A melhor forma de abordar a questão é tratar todos os dados como importantes. Ter essa mentalidade facilita a adequação à lei em todos os seus aspectos.

Mas, para exemplificar melhor sobre o que estamos falando, vamos listar o que são as informações que a lei busca proteger:

  • dados pessoais que identifiquem uma pessoa;
  • dados sensíveis que não só identifiquem uma pessoa como a contextualizem (etnia, convicção religiosa, filiações, estado de saúde);
  • dados bancários, econômicos ou sociais;
  • dados anonimizados, mesmo que não levem a uma identificação direta da pessoa;
  • dados impressos e físicos, mesmo que não estejam armazenados em um ambiente digital.

Ou seja, não importa se os donos dessas informações são identificáveis ou rastreáveis: você, a partir de agora, tem a responsabilidade de zelar por tudo o que armazena. Essa é a grande lição que a LGPD pretende inserir na cultura de empresas.

Punições passíveis

Ainda não existe uma definição direta sobre fiscalização e punição para quem não cumpre a LGPD. A lei, inicialmente, fundava um órgão de controle regulatório, mas essa parte do projeto inicial foi abandonada durante o processo de aprovação.

O que se tem de concreto, atualmente, são as sanções determinadas para qualquer negócio que tente omitir e esconder incidentes envolvendo comprometimento de dados. Nesses casos, dependendo da gravidade, a punição pode passar por:

  • registro de advertência;
  • multas que podem chegar até 2% do faturamento total da empresa (com teto de R$50 milhões);
  • comunicação oficial do incidente em diário e outros veículos;
  • bloqueio de acesso da empresa às informações comprometidas até a resolução e regularização;
  • exclusão sumária dos dados armazenados pela companhia.

Além dos claros prejuízos operacionais e financeiros, tentar esconder o problema pode manchar para sempre a sua imagem no mercado. Por isso, podemos dizer que investir na prevenção é a melhor forma de assegurar sua confiabilidade no futuro.

Como funcionará a LGPD para SaaS?

Atualmente, qualquer empresa em todos os setores armazena dados de alguma forma. Seja um cadastro para o contato, seja em pesquisas de opinião.

Mas focamos este guia naqueles negócios em que eles são parte crucial de sua operação. Oferecer soluções digitais como serviço exige a troca constante de informações e o armazenamento delas para que o modelo seja viável.

Pensando nisso, podemos dizer que a LGPD é um ponto ainda maior de atenção para quem trabalha com SaaS. Essa relação é muito mais próxima, dinâmica e constante. Veja duas questões que servem de exemplo sobre como ela vai afetar o seu trabalho.

Maior controle operacional

A partir da entrada em vigor da LGPD, empresas no setor de SaaS precisarão investir ainda mais em operação do que investem hoje. Esse custo será dividido entre investimentos em tecnologia, treinamento de pessoal e desenho de novos processos que simplifiquem o uso das informações, sem expô-las a maiores riscos.

A vantagem é que esse investimento se torna retorno positivo lá na frente. A preocupação com a segurança da operação traz agilidade e eficiência para a produtividade.

Mais responsabilidade no uso de dados

Outra mudança que a LGPD fará em negócios SaaS é exigir mais responsabilidade na forma como os dados de usuários são tratados em sua rotina. Hoje, é muito comum ver esse tipo de empresa coletar dados desnecessários e utilizá-los de formas redundantes, abrindo ainda mais brechas para criminosos.

Modelos como SaaS marketing são notórios por isso. Essa abordagem menos precisa de gestão não tem mais espaço no mercado e vai ficar ainda mais obsoleta com a chegada da lei. Responsabilidade inclui visão de negócio, investimento em segurança e automação de processos.

Quais os impactos aos usuários?

Podemos continuar os dois tópicos acima analisando não só o seu lado, mas o dos seus clientes e como eles interagem com sua marca, sua oferta e suas ferramentas. Outro reflexo interessante da LGPD no seu negócio é a oportunidade para tornar as relações entre seu serviço e seus clientes muito mais próxima.

Pensando em consentimento, agência e transparência, o que você está criando no seu sistema é uma série de mecanismos que dão mais poder ao usuário sobre a sua plataforma. Isso pode, inclusive, abrir as portas para inovações. Mais flexibilidade e customização podem ser uma vantagem competitiva.

Afinal, o maior impacto da Lei Geral de Proteção de Dados para nós, como usuários, é exatamente ter a confiança e a tranquilidade de acessar serviços online sem um risco considerável de sermos expostos.

Assim, a experiência do cliente é mais participativa. É um momento de conexões mais equilibradas entre partes, uma nova era para a oferta de produtos digitais.

Como se adequar à LGPD?

Agora que já conversamos bastante sobre todos os aspectos que envolvem a Lei Geral de Proteção de Dados, podemos partir para a prática. Queremos terminar este guia apontando você e sua empresa para o caminho certo.

É claro que cada negócio terá suas particularidades e demandas durante esse processo, mas todos partem do mesmo ponto. É nesse início que queremos focar. Veja as dicas do que você deve ter em mente quando iniciar a adequação da infraestrutura para a LGPD.

Estude a lei

O primeiro passo não poderia ser outro. Aqui neste texto, demos os conceitos e consequências principais sob um olhar de gerenciamento e funcionamento de um SaaS.

Mas para que você não tenha surpresas no futuro, é preciso ir mais a fundo e dominar o assunto. Afinal, essa é uma mudança a ser feita neste ano, que vai ecoar por muitos próximos na vida do negócio.

A melhor maneira de começar é pelo próprio texto da lei, que você pode conferir na página da Lei Geral de Proteção de Dados. Lá, você encontra o documento na íntegra, como foi aprovado pelo Governo em 2018.

Mas não termine aí. Aproveite o momento para buscar outras informações que não só exponham como analisem o impacto da LGPD — exatamente como estamos fazendo aqui.

Além de possíveis alterações no futuro, é importante se atualizar sobre o que outras empresas estão fazendo e como você pode usar casos positivos e negativos para planejar o seu curso.

Crie um escritório de proteção

Um DPO, ou Data Protection Office, é uma estrutura dentro da empresa dedicada ao monitoramento e controle da segurança da informação. Pode ser uma pessoa encarregada, um time exclusivo ou apenas um esforço organizado de outros profissionais.

Depende muito do tamanho da empresa. Mas o importante é ter sempre pessoas capacitadas de olho em como dados estão sendo utilizados e os possíveis riscos atrelados a eles.

Implemente cultura de segurança na sua empresa

Não são apenas as pessoas responsáveis pela segurança que devem ter essa preocupação dentro de um negócio. A LGPD existe, exatamente, por que há muito desleixo e despreparo na utilização de sistemas que podem comprometer dados.

Em um SaaS, eles são rotina, o que aumenta ainda mais os riscos. Por isso, você precisa investir em educação e comunicação que internalizem a proteção como uma prioridade de trabalho. Isso vai facilitar muito a implementação de qualquer nova solução de segurança.

Faça benchmarks constantes

A ideia de monitorar seu sistema com frequência é garantir que tudo o que foi feito para se adequar à LGPD não se perca com o tempo. Esse processo deve se tornar uma metodologia, com frequência, processos definidos e ações que devem ser tomadas de acordo com a análise de relatórios de segurança.

Armazene apenas o que é necessário

Existe uma expressão se tornando bastante comum no ambiente corporativo: os digital hoarders ou acumuladores digitais. São empresas que investem muito em coleta de dados sem pensar em uma finalidade específica para cada um deles. É um tipo de atitude que se deve evitar daqui para a frente por dois motivos.

Por um lado, porque o acúmulo excessivo de informações incha o banco de dados. A consequência é um sistema menos eficiente, com arquitetura pouco otimizada e muita dificuldade de navegar por um volume tão grande de documentos e valores.

Por outro, esse excesso diminui a visão sobre o banco. São tantas informações, que pode haver pontos cegos de arquivos potencialmente perigosos no seu servidor, ou uma demora para notar que eles foram comprometidos.

O foco deve ser sempre na otimização. O mínimo possível para fazer o máximo do seu trabalho. Assim, você economiza com infraestrutura, ganha processos agilizados e simplifica a interação com usuários.

Invista em ferramentas automatizadas

Falando em otimização e economia, uma das principais atitudes de gestores para lidar com a LGPD e ainda aumentar a sua competitividade é apostar em automação. Processos e ferramentas automatizadas diminuem consideravelmente a incidência de falhas que levem ao comprometimento de dados.

Sem contar que podem apoiar o negócio a criar e gerenciar os mecanismos determinados pela lei, como pedir consentimento e permitir a exclusão de dados perante a requisição do usuário.

A parte boa, aqui, é que negócios voltados para o SaaS já estão acostumados a lidar com automação em software. É uma questão apenas de adaptar a tecnologia para novas necessidades.

Conte com parcerias que levam a LGPD a sério

Outra questão importante para os relacionamentos comerciais do futuro é que a preocupação com a proteção não deve começar e terminar na sua empresa. Todo o mercado vai ter que se adaptar.

No caso de produtos digitais, você provavelmente lida com outros fornecedores — de infraestrutura, de software, de serviços como intermediação de pagamentos e gestão de sistemas.

Se esses parceiros não levam a lei tão a sério como você, eles podem se tornar brechas fora do seu controle. Um risco para a imagem do negócio e até na implicação das sanções previstas.

Afinal, a Lei Geral de Proteção de Dados é um marco para todos os brasileiros: negócios, clientes, parceiros e fornecedores. Todos nós teremos que nos adaptar em diferentes níveis.

Falando especificamente da LGPD para SaaS, essa é ainda uma oportunidade. Entender e ir mais a fundo no assunto pode dar insights que aprimorem ainda mais o seu serviço, com ferramentas otimizadas, automação e proximidade com o público. É hora de começar!

Quer receber mais conteúdo como este guia completo para gerir cada vez melhor a empresa? Então, assine agora a nossa newsletter!

Posts relacionados