Três Preocupações Iniciais para Desenvolvermos Softwares adequados a LGPD

A privacidade de dados pessoais é um tema que ao longo da história da computação nunca foi tão abordado como vem sendo nos últimos anos.

A Europa já instituiu uma legislação voltada a esse tema, o GDPR. Com base nesta legislação europeia, o Brasil criou e colocou em vigor nos últimos anos a Lei Geral de Proteção de Dados Pessoais (LGPD).

Com a entrada da LGPD em vigor, muitos desenvolvedores de software se viram perdidos em meio a uma chuva de novos termos e novas preocupações que antes eram irrelevantes a nível de legislação  no Brasil.

Agora, nós desenvolvedores precisamos estar por dentro de termos como "Agentes de Tratamento", "Dados Pessoais", "Bases Legais", dentre outros. Tentando reduzir um pouco essa enxurrada de novos conceitos e direcionando o raciocínio de uma forma mais pratica, trago neste artigo três preocupações iniciais que devemos ter de agora em diante sempre que precisarmos estruturar um novo sistema.

Para sistemas legados, precisamos de uma análise mais aprofundada, caso a caso, para verificar a melhor estratégia a ser seguida para o projeto de adequação a LGPD. Da mesma forma, para atender a todos o preceitos trazidos pela nova lei, existem muitos outros pontos a serem abordados. No entanto, aqui estamos trazendo as preocupações iniciais que devemos ter para que seja possível um ponta pé inicial neste tema:

1. Dados pessoais armazenados de forma isolada

Qualquer tratamento de dado pessoal deve estar sustentado por uma das bases legais existentes no artigo 7 da LGPD, desta forma, os dados pessoais, após não possuírem mais justificativa legal para serem tratados, devem ser eliminados.

Desta forma, de agora em diante precisamos modelar nossas bases de dados para que o dado pessoal possa ser excluído do sistema sem trazer prejuízos para a estrutura existente e para outras funcionalidades do sistema.

2. Criar controle de validade do tratamento do dado pessoal

Como os dados pessoais somente podem ser tratados caso a operação de tratamento esteja sustentada em uma finalidade e em uma base legal, os sistemas precisam possuir um controle de finalidade de tratamento, base legal e a validade destas informações vinculadas ao dado pessoal.

Por exemplo, caso o e-mail de um cliente seja coletado para que ele receba as notificações de uma compra que realizou, e a finalidade aprovada por ele para o tratamento deste dado pessoal fornecido seja apenas o envio dos status desta compra. Quando esta finalidade for atendida, não existirá mais uma base legal que sustente o tratamento deste dado, e o mesmo precisa ser eliminado. Deverá então existir um controle de quando a finalidade chegou ao fim, ou teve seu prazo de validade atingido.

3. Registrar de forma online sempre que um dado pessoal for tratado

Uma das obrigações de quem realizar o tratamento de dado pessoal é fornecer a qualquer momento o "Relatório de tratamento de dados pessoais". Esse relatório deverá conter quais são os dados pessoais tratados, a finalidade do tratamento e a base legal que sustenta o tratamento realizado.

Dito isto, precisamos implementar em nossos sistemas um log que seja registrado sempre que um dado pessoal for tratado de alguma forma. Este log deverá conter os dados descritos acima, para que seja possível a extração do "Relatório de tratamento de dados pessoais".