Desafios da LGPD em plataformas SaaS B2B – (Parte 1)

Tempo de leitura: 11 minutos

Está sem tempo? Leia o resumo.

– A Lei Geral de Proteção de Dados Pessoais como reguladora para inovação e desenvolvimento responsável da atividade empresarial, respeitando os direitos dos titulares dos dados pessoais
– É uma lei com implicações e determinações muito claras, ao contrário de outras legislações que dependem muito de doutrinas ou jurisprudências.
– A LGPD se aplica em operações em que os dados sejam tratados, tanto por Pessoa Física ou por Pessoa Jurídica.
– Os princípios mais relevantes da LGPD são: finalidade, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Índice

1. Uma breve introdução
2. LGPD sem medos
a) Definições
b) Controlador ou Operador?
c) Princípios mais relevantes


Uma breve introdução

Este artigo foi escrito em parceria com o advogado especialista em Direito Digital, Guilherme Ribeiro Rossi e é o primeiro de uma série de três artigos sobre LGPD para plataformas SaaS B2B.

Com a entrada em vigor da Lei nº 13.709/2018, a tão falada Lei Geral de Proteção de Dados (LGPD), um novo desafio foi lançado às empresas brasileiras.

Como tudo que é novo, a LGPD vem provocando os mais diversos medos, pautados, na maioria das vezes, na ideia de que a lei seria um entrave a mais para o empreendedorismo no país.

Contudo, não é essa a razão de ser da LGPD, e o objetivo deste artigo é justamente a desmistificação dessa ideia, dando enfoque aos desafios que as empresas de plataforma SaaS B2B podem encontrar na busca pela adequação.

A LGPD, ao contrário do que muitos pensam, não representa uma barreira à atividade empresarial, mas sim uma regulamentação à inovação e ao desenvolvimento responsável, que observa e respeita os direitos dos titulares dos dados pessoais.

LGPD sem medos

Com efeito, logo em seu artigo 2º, incisos V e VII, a lei diz possuir como fundamentos, dentre outros, “o desenvolvimento econômico e tecnológico e a inovação” (inciso V), bem como  “a livre iniciativa, a livre concorrência” (inciso VI).

Ou seja, além de conferir proteção ao titular do dado pessoal, a LGPD também assegura ao empresário o regramento jurídico para desenvolver o tratamento de dados pessoais de forma legal, e, principalmente, impedir uma concorrência desleal pautada no tratamento ilegal dos dados.

Esclarecido o real propósito da LGPD, vejamos agora as hipóteses em que ela incide, bem como os princípios que a norteiam e, em seguida, o que ela entende por dado pessoal, dado pessoal sensível, tratamento de dados, e agentes de tratamento.

Neste sentido, a lei é extremamente clara e detalhista, sendo esse um dos seus pontos mais positivos em relação a outras legislações, cujos conceitos e definições apenas são alcançados em doutrinas ou na jurisprudência.

Logo no seu artigo 3º, a LGPD dispõe que sua aplicação se dará em qualquer operação em que dados sejam tratados, seja por pessoa física ou por pessoa jurídica (no caso as plataformas SaaS B2B), independente do meio ou dispositivo, do país de sua sede (o que é comum hoje com Cloud Services em todo o mundo), ou do país em que estejam localizados os dados, desde que:

  • A operação de tratamento seja realizada no território nacional, ou seja, se a plataforma SaaS B2B estiver usando um Cloud Service fora do país e os dados são tratados também fora do país não se enquadra na LGPD;
  • A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou seja, o mais comum entre plataformas SaaS B2B onde o cadastro do usuário é solicitado para utilizar os serviços da plataforma;
  • Os dados pessoais que serão tratados tenham sido coletados no território nacional.

Em resumo, se a sua plataforma SaaS B2B não coleta nenhum dado de usuários (o que é difícil porque ao menos o e-mail é coletado para criar o acesso) então você como Controlador ou Operador não precisa se preocupar com este artigo.

Agora, se você captura qualquer dado, por mínimo que ele seja, este artigo trará boas informações para você.

Definições

Antes de comentar sobre os princípios mais relevantes da LGPD, é importante destacar algumas definições que ela traz:

  • Dado pessoal identificável (termo em inglês comum PII – Personal Identifiable Information): informação relacionada a pessoa em que é possível identificá-la, ou seja, nome, telefone, e-mail, endereço, CPF, entre outros similares.

Em uma plataforma SaaS B2B é o dado daquele que usa a plataforma, pode ser seu cliente ou colaboradores e parceiros do seu cliente;

  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico;

De preferência não capture este tipo de dado, salvo se for extremamente necessário. Se assim for, deixe claro na sua Política de Privacidade, quais dados sensíveis você está capturando e qual a finalidade de capturá-los.

Por exemplo: Faz diferença para o acesso à sua plataforma saber o gênero do usuário? Não creio.

  • Agentes de tratamento: o controlador e o operador;

(não se preocupe, vamos explicar isso com detalhes a seguir)

  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Controlador ou Operador?

Então você pode perguntar: em uma plataforma SaaS B2B, quem é o operador e quem é o controlador?

Saber disso faz toda a diferença no que tange à responsabilidade dos dados. Isso porque, uma plataforma SaaS B2B é de propriedade de uma empresa, mas é utilizada por terceiros, PF ou PJ e seus colaboradores internos também PF e isso afeta a responsabilidade do agente que trata os dados.

Previstos pelo artigo 5º, é considerada CONTROLADOR toda pessoa física ou jurídica, a quem compete as decisões referentes ao tratamento de dados pessoais; ao passo que é chamado de OPERADOR toda pessoa física ou jurídica que realiza o tratamento de dados pessoais, em nome do controlador.

Em resumo: controlador(a) é aquele(a) que decide a forma como ocorrerá o tratamento dos dados; operador(a) é aquele(a) que realiza o tratamento, nos moldes traçados pelo(a) controlador(a).

Se a sua plataforma SaaS B2B não dá flexibilidade para o cliente definir que dados ele quer coletar dos colaboradores que utilizam a ferramenta, não dá possibilidade do cliente criar dicionários de dados (metadados) e outras formas similares, então você, como proprietário da plataforma, é o CONTROLADOR porque você definiu, em seu design, quais dados ela requer de seus usuários sem possibilitar a eles criação de novos dados, mas é também o OPERADOR porque trata esses dados pré-definidos e coletados.

Se a sua plataforma SaaS B2B dá opção ao cliente para definir que dados ele quer coletar dos colaboradores que utilizam a ferramenta, possibilita a criação dicionários de dados (metadados) e outras formas similares, então você, como proprietário da plataforma, é o OPERADOR porque somente trata dos dados definidos pelo seu cliente que, na prática, gerencia a plataforma, e o seu cliente é o CONTROLADOR pois ele define os dados a serem coletados de seus usuários, cria metadados e outras formas similares.

E por que essa distinção é tão importante?

Porque define a responsabilidade de cada um quando da violação de dados e a necessidade de indenização ao titular. Simples assim.

No primeiro exemplo dado acima, onde o proprietário da plataforma SaaS B2B é o CONTROLADOR e o OPERADOR, ele arca com todos os requisitos da LGPD em relação à elaboração de relatórios de controle e evidências, manutenção de registro das operações de tratamento dos dados, relatórios de impacto em possíveis violações, comunicação das violações à Autoridade Nacional etc.

No caso do seu cliente ser o CONTROLADOR e você ser o OPERADOR, você ainda assim precisa manter a segurança dos dados, manter os registros, ter relatórios de impacto, de controle e evidências, mas não é responsável pela criação de dados, por exemplo, excessivos, desnecessários, sensíveis, uma vez que seu cliente controla e gerencia a plataforma.

A fim de assegurar a efetiva indenização ao titular dos dados:

I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 da Lei;

II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 da Lei.

Conforme se verifica, a grosso modo, é atribuída ao controlador uma responsabilidade maior de deveres, por ser aquele quem diz ao operador a maneira como deseja que o tratamento seja realizado.

Princípios mais relevantes da LGPD

O Artigo 6° da lei deixa claro que as atividades de tratamento de dados pessoais deverão observar, entre outras coisas, os seguintes princípios: 

Finalidade: para se coletar os dados de um usuário da plataforma SaaS B2B deve-se deixar claro porque esses dados estão sendo coletados. Coletar por coletar não segue o princípio da LGPD, ou seja, se não há necessidade de coletar dados para a utilização dos serviços, então a boa regra é não coletar;

Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades. Se para a utilização dos serviços há a necessidade somente do Nome e do E-mail (por exemplo) outros dados como telefone, endereço, CPF, são completamente desnecessários e excessivos. Em muitos casos, essa adequação na plataforma é extremamente necessária pois afeta o design dos formulários e as bases de dados onde esses dados excessivos estariam armazenados;

Dê acesso livre para que os seus usuários consultem os dados deles.

Livre acesso: garantia, aos titulares dos dados coletados, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados coletados;

Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre como e com que finalidade o tratamento é feito, por quem ele é feito, sempre observados os segredos comercial e industrial;

Pode ser muito óbvio mas a segurança e prevenção desses dados é um princípio claro na LGPD.

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Ufa!! Feitos tais esclarecimentos, você deve estar se perguntando:

“Certo, mas quais seriam os impactos da LGPD em plataformas SaaS B2B?

É justamente sobre isso que falaremos na parte 2. Até lá!


A Yapoli é uma plataforma DAM (Digital Asset Management) inteligente que otimiza a gestão e distribuição de arquivos digitais para a indústria de forma simples, segura, prática, rápida e, principalmente, mensurável.