A Lei Geral de Proteção de Dados (LGPD) está valendo desde 18/09/2020 com as sanções previstas para 01/08/2021. Muitas empresas estão no meio do desenvolvimento de seus projetos de adaptação à lei.
Em geral a avaliação passa pelo estudo dos fluxos de dados pessoais da empresa, entender os riscos, verificar se há base legal para o uso dos dados e verificar em quais casos será necessário obter o consentimento do dono dos dados, chamado de Titular na LGPD.
A experiência mostra que há um aspecto muito importante que as próprias áreas de Tecnologia das empresas não têm noção do que acontece: quais aplicativos a sua empresa usa?
A reposta imediata é o nome do ERP que contém a maioria dos dados transacionais da empresa, inclusive os dados de pessoas físicas, como os funcionários para processar a folha de pagamento ou dados dos motoristas de caminhão que eventualmente é necessário para notificar em algum site oficial.
Com a enorme inovação tecnológica dos últimos anos apareceram na Internet milhares de aplicativos usados como serviço (Software as a Service) que facilitam e muito a vida de vários setores das empresas. Normalmente há um período de teste ou então uma licença gratuita com funções limitadas, que ainda assim ajuda no trabalho do dia a dia.
São programas para envio de e-mail de forma massiva, aplicativo de acompanhamento de prospecção de clientes e funil de venda, CRM (Customer Relationship Management), automação de atividades operacionais (Workflow), aplicativos para realizar pesquisas diversas, aplicativos para controle de projetos e/ou tarefas, e assim por diante.
Raramente um usuário vai analisar os Termos & Condições ou a Política de Privacidade destes sites, inclusive por que alguns deles são do exterior e estes documentos nem estão traduzidos para o Português. Normalmente aparece uma caixinha com o aviso clique aqui para concordar com os Termos & Condições e a Política de Privacidade ou então não é possível acessar o aplicativo.
Acontece que estes aplicativos acabam tratando dados de pessoas físicas, de uma forma direta no caso de um CRM ou de forma indireta como um aplicativo para controle de tarefas onde o usuário cria tarefas e já anexa planilhas com dados pessoais para “facilitar” a vida da pessoa que terá que executar a tarefa. Pronto, um aplicativo simples de controle de tarefas acaba virando um repositório de dados pessoais.
Alguns cuidados precisam ser tomados para entender e controlar este ambiente de aplicativos nas empresas:
- Fazer um inventário de todos os aplicativos em uso na empresa, qual o seu objetivo, se é uma licença paga ou gratuita, etc.
- Estudar os Termos & Condições e a Política de Privacidade, se houver. O primeiro ponto é saber se estes aplicativos cumprem com a LGPD e verificar que tipo de compartilhamento de dados é feito. Há casos de aplicativos que deixam bem claro que todos os dados podem ser compartilhados com terceiros, e isso a empresa tem que saber. Outros aplicativos, como aqueles que envelhecem as fotos das pessoas, deixam bem claro que a empresa dona do aplicativo vai deter o direito da imagem que foi modificada, ou seja, esta empresa poderá fazer uma propaganda usando aquela foto que você subiu para ser modificada.
- Avaliar o histórico de vazamento de informação ou de mau uso da informação do aplicativo.
- Decidir quais aplicativos manter em função dos riscos que podem apresentar para os dados que forem tratados.
- Criar um processo de avaliação e homologação de aplicativos, somente aplicativos aprovados pela empresa poderão ser usados pelos funcionários.
- Definir quem pode ter acesso a qual aplicativo. Do mesmo modo que são definidos os módulos do ERP que cada funcionário pode ter acesso, devem ser definidos quais aplicativos cada funcionário poderá ter acesso daqueles que foram homologados pela empresa.
Medidas simples como estas permitirão o controle de acesso e uso destes aplicativos de Internet que em muitas ocasiões acabam virando verdadeiras bases de dados pessoais.