Aderir à LGPD é uma forma de garantir uma convivência harmoniosa no ambiente virtual, de modo que todos os desenvolvedores de software devem entender as aplicações da lei, a fim de prezar pela segurança digital e privacidade dos usuários no desenvolvimento de produtos.

Da mesma forma que no trânsito qualquer infração pode resultar em penalidades, no desenvolvimento de software é crucial seguir as boas práticas e as regulamentações estabelecidas pela lei para prevenir riscos e evitar repercussões negativas. 

Este artigo introdutório vai te ajudar a se familiarizar com as normas e desafios da LGPD, bem como a dar os primeiros passos para ajustar suas práticas de desenvolvimento a fim de criar soluções seguras.

LGPD e segurança digital

A Lei Geral de Proteção de Dados (LGPD) representa o mais recente marco legal na proteção da privacidade de dados no Brasil. Ela se insere em um contexto normativo que inclui o Marco Civil da Internet, o Código de Defesa do Consumidor e a Constituição Federal, formando um conjunto de regras e diretrizes para a coleta, processamento e armazenamento de dados pessoais.

A LGPD define diretrizes robustas para garantir a proteção dos dados pessoais em todas as fases, abrangendo desde a coleta até o uso dessas informações, incluindo operações como cópia, armazenamento, publicação e outras atividades relacionadas aos dados pessoais. 

Essa legislação surge em resposta à necessidade de uma regulamentação mais precisa para a segurança digital no Brasil, além de promover a proteção jurídica nas transações comerciais entre empresas brasileiras e europeias.

Quais os principais conceitos da LGPD?

Como em qualquer documento normativo, a LGPD estabelece uma série de conceitos fundamentais, que servem como base para as determinações subsequentes e são essenciais para a sua compreensão:

1- Dados pessoais: são definidos como informações que, ao serem utilizadas, possibilitam a identificação de uma pessoa física, definida como titular dos dados. 

2- Dados sensíveis: são dados pessoais que têm potencial para causar danos ao titular. A LGPD classifica como sensíveis os dados relacionados à origem racial ou étnica, convicções religiosas, políticas e filosóficas, incluindo dados de filiação a partidos políticos e sindicatos. Além disso, são considerados sensíveis os dados referentes à saúde, dados biométricos e vida sexual.

3- Tratamento: define qualquer ação realizada com os dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, armazenamento, entre outras práticas.

4- Anonimização: refere-se à aplicação de métodos para tornar um dado impossível de ser diretamente associado ao seu titular.

5- Controlador: do ponto de vista dos responsáveis pelo tratamento de dados, esta é a pessoa física ou jurídica que toma as decisões referentes ao tratamento dos dados.

6- Operador: é o responsável por realizar o tratamento dos dados em nome do controlador.

Agora que os principais conceitos da LGPD foram definidos, é possível discutir sobre os objetivos e princípios definidos por essa legislação.

Objetivos e princípios da LGPD

O principal objetivo da LGPD é proteger os dados pessoais de indivíduos, garantindo que seus direitos não sejam violados por terceiros. Além disso, a lei busca estabelecer regras para o tratamento desses dados, promover a transparência, definir responsabilidades e reforçar a segurança nas relações jurídicas.

É importante ressaltar que a LGPD abrange os dados pessoais de indivíduos, sejam eles funcionários, clientes, acionistas ou outros, detidos pelas empresas. Porém, não se aplica aos dados das próprias empresas. Além disso, a lei não se estende aos dados pessoais tratados sem fins econômicos, como aqueles utilizados para propósitos artísticos e jornalísticos, bem como aos dados originados fora do Brasil e que não são processados em território nacional, e aos dados utilizados para fins de segurança pública.

Os princípios orientadores estabelecidos pela LGPD abrangem uma série de reflexões e conceitos que devem ser considerados durante o tratamento de dados pessoais. A boa-fé é um princípio fundamental que deve servir como ponto de partida. Além disso, é essencial refletir sobre o propósito e a necessidade da utilização desses dados, bem como obter o consentimento do titular para o seu tratamento.

Neste sentido, a LGPD destaca os seguintes princípios no tratamento de dados:

• Finalidade: é preciso definir um objetivo claro do porquê é necessário realizar o tratamento dos dados. 
• Adequação: uma vez definida a finalidade e informada ao titular dos dados, esta deve ser sustentada.
• Necessidade: deve-se analisar e efetuar o tratamento da menor quantidade possível de dados.
• Acesso livre e transparência: o titular deve ter informações sobre como os seus dados pessoais estão sendo utilizados.
• Qualidade dos dados: deve-se adotar mecanismos que visem garantir a qualidade, precisão e correção dos dados.
• Segurança e prevenção: a integridade e confidencialidade dos dados deve ser garantida, prevenindo vazamentos e violações de segurança.
• Não discriminação: o tratamento dos dados não deve, em hipótese alguma, ser utilizado para fins discriminatórios ou abusivos.

Ao estabelecer princípios orientadores claros e responsabilidades para o tratamento de dados pessoais, a LGPD visa assegurar a transparência, segurança e o respeito aos direitos dos titulares de dados. É crucial que as empresas compreendam e adotem os princípios fundamentais da LGPD em suas práticas de tratamento de dados.

Direitos dos titulares

A LGPD garante que todo indivíduo detenha a titularidade de seus dados pessoais. O titular tem o direito de confirmar a existência de seus dados, bem como solicitar acesso, correção, anonimização, bloqueio ou eliminação dos mesmos.

O titular tem o direito de solicitar ao controlador dos dados a portabilidade para outro fornecedor, a exclusão de seus dados pessoais, informações sobre compartilhamento, bem como obter detalhes completos sobre o tratamento realizado com seus dados. Essas informações devem incluir a finalidade, a forma e a identificação dos agentes de tratamento envolvidos.

É importante ressaltar que os titulares têm o direito de se opor ou revogar qualquer consentimento dado para o tratamento de seus dados. Além disso, diante do aumento do uso de sistemas automatizados e inteligência artificial, os titulares têm o direito de não serem sujeitos a decisões baseadas unicamente em processos automatizados. Eles também têm o direito de solicitar revisão de avaliações geradas automaticamente por operadores humanos.

Consentimento dos titulares

Um dos aspectos fundamentais da LGPD é a necessidade de as organizações obterem o consentimento dos titulares antes de procederem com a coleta de seus dados pessoais. Esse consentimento deve ser obtido de forma clara, transparente e sem ambiguidades, delineando claramente o propósito da coleta de dados e garantindo ao titular que a organização não os utilizará de forma diferente do que foi previamente acordado nos termos de consentimento.

O consentimento, por sua vez, é o elemento-chave que estabelece uma relação de confiança entre o titular dos dados e o controlador, proporcionando ao titular um maior controle sobre o uso de suas informações. Os sistemas podem adotar diversas estratégias para obter o consentimento, desde que facilitem a compreensão por parte do usuário. 

Nesse contexto, destaca-se a abordagem do consentimento por finalidade de processamento, que permite uma segmentação mais detalhada. Além disso, é importante permitir que os usuários possam revisar e atualizar suas preferências de privacidade conforme necessário.

LGPD no desenvolvimento de software

É vantajoso integrar ferramentas que fortaleçam a privacidade desde o início do processo de desenvolvimento de software. As discussões sobre privacidade e segurança nesse contexto precedem muito a LGPD. Artigos científicos sobre a consideração da privacidade ainda no início do processo de desenvolvimento no ambiente computacional remontam à década de 90, com destaque para os conceitos de Privacy By Design e Privacy By Default.

Nas décadas de 80 e 90, houve uma ampla discussão sobre a relevância de incorporar considerações cruciais sobre os requisitos do produto desde as fases iniciais do processo de desenvolvimento em engenharia. Esse conjunto de abordagens sistemáticas ficou conhecido como Design for X-ability (Design para Fabricação e Montagem, por exemplo).

Privacy by Design é uma abordagem de projeto que se encaixa perfeitamente nesse contexto, onde se reconhece que a privacidade é um requisito crucial no processo de desenvolvimento e deve ser considerado desde a concepção do produto. 

Esta abordagem institui uma série de princípios que promovem a melhoria da segurança e privacidade dos dados:

1- Proativo não reativo; preventivo não corretivo: adotar uma abordagem proativa e preventiva em relação à privacidade. Isso implica antecipar e evitar violações à privacidade, em vez de apenas reagir a problemas já ocorridos. É necessário comprometimento para estabelecer altos padrões de privacidade, criar uma cultura organizacional de melhoria contínua e aplicar métodos sistemáticos para identificar e corrigir deficiências em termos de privacidade.

2- Privacy by default: oferecer o máximo de privacidade  garantindo que os dados pessoais sejam automaticamente protegidos. Se o usuário não fizer nada, sua privacidade permanece intacta. Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade, uma vez que ela deve estar incorporada ao sistema.

3- Privacidade incorporada ao design: a privacidade deve ser uma parte essencial da funcionalidade central do sistema, e não uma adição posterior. A privacidade deve ser abordada de maneira integrativa e criativa, considerando contextos amplos, consultando todas as partes interessadas e realizando avaliações detalhadas de impacto e risco de privacidade.

4- Funcionalidade total: embora seja crucial proteger a privacidade dos usuários, isso não deve comprometer a funcionalidade do sistema. Os sistemas devem ser projetados para garantir que as medidas de privacidade implementadas não afetem negativamente a capacidade do sistema de fornecer todos os serviços e funcionalidades esperados pelos usuários.

5- Segurança de ponta a ponta: deve-se garantir a segurança dos dados em todas as etapas do ciclo de vida dos dados, desde o momento da coleta até a eliminação. Isso inclui implementar medidas de segurança robustas para proteger os dados durante o armazenamento, transmissão e processamento, bem como garantir a devida proteção dos dados durante sua retenção e posterior exclusão.

6- Visibilidade e transparência: assegurar que as práticas comerciais ou tecnologias operem de acordo com objetivos declarados, sujeitos a verificações independentes. O princípio também destaca a necessidade de estabelecer mecanismos de reclamação e reparação, comunicando-os aos usuários e implementando medidas para monitorar e verificar a conformidade com políticas de privacidade.

7- Respeito pela privacidade do usuário: os melhores resultados do Privacy By Design geralmente são conscientemente projetados em torno dos interesses dos usuários, capacitando-os a desempenhar um papel ativo na gestão de seus dados pessoais. O respeito à privacidade do usuário inclui o consentimento, precisão, acesso e conformidade, além de se estender à necessidade de interfaces humano-máquina serem centradas no usuário e amigáveis.

Por onde começar a implementar a LGPD na criação de um software?

Diante da vasta quantidade de informações e conceitos relacionados à segurança no desenvolvimento de software, é comum sentir-se perdido em meio a tantas opções. No entanto, já foram produzidos recursos valiosos para auxiliar organizações e desenvolvedores a escolherem os melhores caminhos para implementar a segurança no processo de desenvolvimento. Dependendo dos objetivos específicos, diversas estratégias podem ser adotadas para garantir a segurança dos sistemas.

Quando o objetivo é implementar os conceitos da LGPD na organização, Garcia (2020) propõe uma metodologia para desenvolver diversas Políticas de Segurança da Informação (PSIs) que estejam em conformidade com os requisitos da LGPD. Além disso, a norma ISO/IEC 27001 fornece um roteiro detalhado para a implementação de um Sistema de Gerenciamento de Segurança da Informação (SGSI).

Para aplicar as melhores práticas de segurança no processo de engenharia, é recomendado utilizar os princípios do Privacy By Design and Default durante o desenvolvimento. Santos (2022) oferece uma série de orientações para a implementação do PbD ao longo do ciclo de vida do software. Um guia prático detalhando sete etapas contínuas (treinamento, requisitos, design, desenvolvimento, testes, implantação e manutenção) está disponível no site da DataSysNet (2017).

Importante ressaltar que os desenvolvedores devem estar em constante evolução e colaboração. Diariamente, novos recursos e recomendações são divulgados em revistas científicas, livros, normas regulatórias e através do desenvolvimento de novas ferramentas de apoio. 

É responsabilidade do desenvolvedor manter-se atualizado na medida do possível e aplicar essas práticas no seu dia a dia, para garantir a segurança e a conformidade de soluções digitais com as regulamentações vigentes. 

Como a Ateliware aplica a LGPD?

Enquanto software house, a Ateliware tem a grande responsabilidade de desenvolver soluções que atendam plenamente às expectativas dos clientes, com foco em contemplar as dores e necessidades específicas de cada negócio. E para construir softwares ágeis, robustos e escaláveis, é imprescindível garantir a segurança das informações que serão recebidas por esse sistema, e isso começa na qualidade do código escrito.

Nos casos de empresas que não possuem equipe interna de TI ou possuem, mas ainda assim, precisam terceirizar a criação de alguma solução digital específica, é importante conferir as boas práticas de segurança digital do fornecedor na hora de desenvolver um software. Felizmente, este é o caso da Ateliware!

Nossa equipe de desenvolvedores fullstack recebem, com frequência, treinamentos sobre LGPD e boas práticas de codificação, com foco em replicar na escrita dos códigos os conhecimentos sobre o que há de mais atualizado acerca das legislações que preceituam a segurança digital. 

O objetivo é proporcionar ao cliente uma solução que esteja 100% em conformidade, evitando problemas jurídicos futuros, e aos usuários da solução, a segurança de que não terão suas informações ou dados da companhia vazados. E com mais de 12 anos de prática, não temos dúvida de que somos a escolha certa para a criação da sua solução digital!

Fale com nossos especialistas e descubra como podemos criar o seu software sob medida, com o pleno cumprimento dos prazos de entrega e garantindo toda a estrutura de segurança necessária nos padrões definidos pela LGPD e normas internacionais. 

Referências

ABNT. Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. 2006.

CASTIGLIONI, M. Criptografando e Descriptografando Dados com NodeJS.

GARCIA, L. R. et al. Lei Geral de Proteção de Dados (LGPD): Guia de implantação. Editora Blucher, 2020.

MARINHO, F. Os 10 mandamentos da LGPD. São Paulo: Atlas, 2020.

MEDEIROS, R. Garantindo Conformidade com LGPD e Elastic.

NARDELLI, C. Segurança da Informação e LGPD Aplicado no Desenvolvimento de Software. Anais da V Escola Regional de Engenharia de Software (ERES 2021). Sociedade Brasileira de Computação, 2021.

PASSOS, B.; MATOS, H. OS IMPACTOS DA LGPD NO DESENVOLVIMENTO DE SOFTWARE NO BRASIL. Anais da Semana de Iniciação Científica do Curso de Sistemas de Informação (13a edição), p. 48–64, 2021.

SANTOS, G. C. Recomendações de Boas Práticas para Implementação da LGPD em Processos de Desenvolvimento de Software. PUC GOIÁS, 2022.

SERPRO-SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS. LGPD - Lei Geral de Proteção de Dados Pessoais.

SOLER, F. G. Proteção de Dados: reflexões práticas e rápidas sobre a LGPD. Saraiva Educação S.A, 2022.

Software development with Data Protection by Design and by Default.

VIDA DE PROGRAMADOR / THE DEVELOPER’S LIFE. LGPD: Como essa Lei se aplica aos desenvolvedores | The Developer’s Life Weekend 2022.