Seu aplicativo está preparado para a LGPD? Adapta-se!

Tags:    

Receba atualizações semanais no e-mail

Só de imaginar que seus dados podem vazar já dá uma preocupação, não é? Afinal, existem informações que são coletadas sem nem mesmo sabermos. Porém, isso tende a acabar com a LGPD — Lei Geral de Proteção de Dados. 

Antes prevista para agosto de 2020, e tentativa de adiá-la para maio de 2021, a lei foi sancionada em setembro de 2020. Ela garante ao usuário o total controle sobre os seus dados. Assim, os impactos são vários, nos fazendo pensar na LGPD nos aplicativos.

Você deve estar se perguntando: mas já não tínhamos uma lei que regulamentava os dados no Brasil? Sim, o Marco Civil da Internet, mas ele não está preparado para lidar com casos como o da Cambridge Analytica e proteger os brasileiros. Assim, a LGPD deverá garantir e proteger os usuários. Quer entender melhor sobre o caso e a lei? Continue lendo! 

Prefere ouvir sobre o tema? Toque no play e veja as explicações e orientações do coordenador de compliance, Paulo Barros!

Vou começar este artigo te contando sobre a lei, sua origem e desdobramentos. Se quiser ir diretamente para as boas práticas da LGPD nos aplicativos, clique aqui.

E para facilitar a compreensão do assunto, aqui vai o glossário das palavras mais usadas na lei:

Glossário da LGPD

Controlador: também chamado de “agentes de tratamento”, são os que coletam e realizam o tratamento dos dados;
Titular: o proprietário dos dados, seja o cliente ou usuário de plataformas;
Dados pessoais: informações que possibilitam identificar o titular, como nome e RG;
Dados pessoais sensíveis: dados étnicos e raciais, religiosos, inclinação política, biometria, saúde, etc;
Eliminação: exclusão permanente das informações dos bancos de dados;
Tratamento: a coleta dos dados, produção deles, seus usos, acessos, formas de transmissão e distribuição, armazenamento, eliminação etc.

O que é a LGPD?

A Lei Geral de Proteção de Dados surgiu em 2018, inspirada na européia GDPR, a fim de resguardar os dados pessoais e sensíveis das pessoas físicas e jurídicas. Ela garante ao titular o total controle de seus dados e o conhecimento de como eles são tratados pelos captadores.

Embora seja comum associar a segurança de dados ao ambiente online, a lei abrange qualquer agente que colete e trate esses dados. Portanto, empresas de tecnologia, varejistas, aplicativos e outros que coletam informações pessoais devem se adequar às 10 bases legais da LGPD, isto é, as hipóteses que autorizam o tratamento dos dados.

Importante ressaltar que este regulamento é válido para toda e qualquer entidade que realiza o tratamento de dados de titulares brasileiros, independente de ser nacional ou internacional. Curiosamente, somente 16% das empresas brasileiras estão adequadas à LGPD.

Até a data de atualização deste conteúdo, a ANPD (Autoridade Nacional de Proteção de Dados) aplicou pela primeira vez multas por violação à LGPD, acontecimento que se deu três anos após a sanção da lei.

O órgão é responsável pela fiscalização e aplicação de penalidades aos que infringirem as regras de proteção de dados..

Como fica a venda de dados?

A LGPD existe para resguardar a privacidade do usuário, correto? Logo, todos os dados informados pertencem aos seus titulares. Ainda assim, a venda ou compartilhamento dessas informações é permitida, a não ser que que o titular da informação consinta.

Logo, os Termos de Uso e de Privacidade devem incluir informações de venda, caso o aplicativo ou empresa use os dados como forma de monetização.

O que acontece em caso de descumprimento?

Mas, e se houver um deslize? A LGPD surge para evitar que ele aconteça. Nestes casos, haverá a aplicação das seguintes sanções, à cargo do ANPD:

  • Advertência: os órgãos de fiscalização irão adverter e indicar quais as medidas devem ser adotadas para corrigir dentro de um prazo;
  • Multa: poderá ser aplicada uma multa de até 2% do faturamento da controladora. O valor máximo desse valor é de 50 milhões de reais;
  • Multa diária: um valor diário pode ser aplicado até que a empresa se adeque à lei, obedecendo o limite de multa. As multas diárias param após atingido o valor máximo;
  • Publicização: controladores que infrigirem a LGPD serão divulgados;
  • Bloqueio de dados pessoais: toda informação ficará bloqueada até que a regularização seja aplicada;
  • Eliminação de dados pessoais: toda informação indevida deverá ser apagada.

A origem da LGPD: o caso Cambridge Analytica

Em 2014, um aplicativo chamado ThisIsYourDigitalLife pagou usuários para realizarem um teste de personalidade em troca de dados para fins acadêmicos. Seu desenvolvedor, Aleksandr Kogan, estava envolvido numa pesquisa de dedução da personalidade e propensões políticas a partir do Facebook.

Essa vasta coletânea de dados — 270 mil realizadores do teste — viabilizou a campanha presidencial de Donald Trump. Como o app estava conectado à rede social de Mark Zuckerberg, os dados dos usuários e de seus amigos foram coletados e vendidos à Cambridge Analytica — empresa contratada pelo presidente americano eleito em 2016. Essa transferência de dados foi possível em função de uma brecha nos termos de uso do Facebook.

A coleta dos dados não foi ilegal, uma vez que houve o consentimento do uso de dados (“concordo com os termos de uso”). No entanto, a forma pela qual eles foram utilizados desrespeitou as normas do Facebook, beneficiando a candidatura de Donald Trump e causando escândalo mundial. A polêmica enxugou 35 milhões de dólares da rede social. 

Dentro deste cenário, os órgãos públicos criaram as leis de proteção de dados para impedir que casos semelhantes tornem acontecer. Assim surge, na União Europeia, a GDPR (General Data Protection Regulation), já em vigor desde 2018; enquanto que no Brasil temos a LGPD, regulamentação baseada no exemplo europeu.

Outro caso

O aplicativo FaceApp usa Inteligência Artificial para aplicar filtros nas fotografias. O app ficou popular com o filtro de envelhecimento. Porém, sua popularidade custou caro, visto que ele resultou numa multa à Apple e ao Google. Em função da Política de Privacidade e Termos de Uso não adaptados para o português, o Programa de Proteção e Defesa do Consumidor (Procon) de SP aplicou punição para ambas as empresas.

Isto porque o FaceApp entrega dados dos usuários para anunciantes, conforme sua política de privacidade, e, uma vez que há uma barreira linguística, essa informação não é acessível a todos os usuários brasileiros.

O impacto da LGPD nos algoritmos

Existem algoritmos que funcionam com machine learning, advento da transformação digital. Isso significa que eles aprendem sobre os usuários através de seus dados para oferecer experiências personalizadas, bem como o feed do Facebook ou as recomendações da Netflix.

Como há a coleta de dados, a confecção dos algoritmos deve ser repensada de forma que garanta a privacidade do usuário. Segundo análise da GDPR pela O’Reilly, a lei europeia exige que a proteção desses dados deve ser levada em conta desde o momento do desenvolvimento dos algoritmos.

Portanto, essa exigência fomenta o desenvolvimento de métodos analíticos que respeitem a privacidade, sendo a criptografia homomórfica uma opção para o resguardo dos usuários. Para os algoritmos já usados, eles devem ser auditados.

Ainda que se trate de orientações pautadas numa lei exterior, vale a pena relembrar que ela serviu de base para a política brasileira.

A Apple e a proteção de dados

A Apple assumiu para si o papel de guardiã da privacidade, tanto que em suas conferências Worldwide Developers Conference, a qual ela apresenta seus novos OS e funcionalidades, o tema privacidade possui um quadro dedicado.

Com os lançamentos do iOS 14.5 e iPadOS 14.5, a Apple findou seu compromisso com a transparência no rastreamento. Assim, de 2021 em diante, todos os aplicativos precisaram solicitar aos usuários as permissões de rastreamento de seus comportamentos em outras plataformas.

Com o controle do uso dos dados nas mãos dos usuários, o cenário dos anúncios ficou comprometido com menos informações sobre as pessoas.

Esse foi o motivo pelo qual Mark Zuckerberg entrou em conflito com Tim Cook, pois a principal fonte de receita da Meta são os anúncios. O Facebook se opôs à medida da Apple alegando que “limitar o uso de propagandas personalizadas remove um motor de crescimento vital para as empresas”.

lista de aplicativos e status de permissão de uso da localização do celular

Boas práticas da LGPD nos aplicativos

As boas práticas da LGPD nos aplicativos devem ser contempladas no roadmap do produto. O compliance é essencial para todos, tanto para resguardo da equipe por trás do produto quanto dos usuários.

As boas práticas vão desde a fase de planejamento da mensuração até o desenvolvimento. Tanto o Google quanto a Apple possuem suas documentações com suas próprias boas práticas. As orientações dadas abaixo resumem e contemplam o que ambas as empresas apontam, além de dicas de profissionais.

Me acompanhe nas orientações de boas práticas da LGPD nos aplicativos:

1- Confira a segurança

Como se trata de proteção, a segurança dos dados deve ser garantida, evitando casos como o suposto vazamento do Serasa.

Para a proteção, o diretor de tecnologia da Usemobile, Patrick Brunoro, orienta que as empresas devem contratar somente serviços confiáveis e fazer o uso de protocolos de seguranças ativos e atualizados. 

Quanto à conectividade com servidores e hardwares, Brunoro recomenda manter abertas somente as portas de conexão necessárias e abrir as demais somente quando convier.

Por fim, adicionar a criptografia nos canais de comunicação e nos dados sensíveis, medida que, inclusive, “poderia ter evitado o vazamento desses dados”, afirma.

2- Mapeamento

 Mapeie todas informações que serão realmente necessárias para o seu negócio, definindo como elas serão adquiridas e o porquê. Portanto, não peça informações desnecessárias. Neste caso, adote um plano de mensuração que seja eficaz e amigável aos usuários.

3- Transparência

Todo o levantamento do passo anterior servirá para a construção de um Termo de Uso e de Privacidade transparentes para o usuário. Como vimos no caso do FaceApp, é imprescindível que a língua esteja em português para que os usuários brasileiros tenham acesso.

Além disso, seu aplicativo deve informar se e quando alguma informação será utilizada, deixando claro se haverá venda de dados, uso para anúncios personalizados, experiências personalidades e outros. 

Por exemplo, um app de delivery necessita da geolocalização e dados de endereço dos usuários para que o serviço seja prestado devidamente. Assim, ao requisitar o acesso a esses dados, o app deverá deixar claro o motivo, sendo um deles o envio de cupons de descontos personalizados para a região.

Neste caso, o motivo é óbvio ao usuário, porém vão existir casos os quais não serão tão óbvios, o que se faz ainda mais necessária essa transparência.

4- Peça autorização para os usuários

Mais um ato de transparência para os usuários é a solicitação para que os titulares permitam o uso de seus dados. Por isso, sempre peça autorização antes de colher e tratar algum dado dos usuários.

Não à toa, os aplicativos costumam solicitar logo nos primeiros instantes do primeiro uso da aplicação, normalmente na etapa do onboarding.

Em caso de solicitação negada, apague os dados dos usuários. Ou então, não permita o acesso do usuário à aplicação, pois pode haver o caso de ser imprescindível o fornecimento de dados para adentrar na plataforma.

Redes sociais tendem a avançar por este caminho, uma vez que elas podem ser utilizadas para propagação de desinformação. Logo, há estudos para associar os perfis aos usuários de forma que evite perfis falsos. No Brasil, há projeto de lei para uso do CPF para publicar nas redes.

5- Criptografe dados dos usuários

Os usuários devem ser autônomos quanto às suas informações. Uma forma de resguardá-los e agregar nisso é com o uso da criptografia. 

O Whatsapp e o Telegram movimentaram a discussão sobre a criptografia quando implementaram em 2016 a criptografia ponta a ponta. Isso significa que nem mesmo as plataformas têm acesso às mensagens, somente os aparelhos dos usuários são capazes de descriptografar.

Embora seja um bom exemplo, nem todo aplicativo faz sentido ter esse tipo de criptografia, pois cada um terá sua particularidade. No entanto, é importante que essa proteção seja planejada na fase de levantamento de requisitos do aplicativo.

6- Torne fácil a exclusão de dados

Caso os usuários optem por eliminar suas informações, independente do motivo, facilite a solicitação. Faça com que o caminho para encontrar a opção seja intuitiva e fácil, obedecendo as regras para se criar uma boa experiência do usuário.

7- Capacitação de colaboradores

Os colaboradores responsáveis pelo tratamento dos dados dos usuários devem estar treinados e inseridos na cultura de proteção de dados. Uma vez que eles são uma ponta de vulnerabilidade, eles devem estar amparados por conhecimentos e boas práticas para evitar que vazamentos ocorram.

8- Educação dos usuários

Ainda que o aplicativo deva se preocupar com a proteção e privacidade dos usuários, a segurança de suas informações também é responsabilidade deles.

A integração do aplicativo com serviços terceiros, bem como o uso de senhas fracas ou o compartilhamento de dados sensíveis com outrem são fatores que comprometem a segurança. Por isso, a conscientização dos usuários é fundamental para garantir que todas as pontas da cibersegurança sejam garantidas.

Um exemplo de conscientização é o papel que o Itaú se prestou com suas propagandas televisivas:

9- Contrate profissionais especializados 

É interessante que você invista em um chefe de privacidade de dados, profissional interdisciplinar que deverá entender tecnologia, leis e negócios. Assim, ele será responsável por avaliar se o aplicativo e suas alterações resguardam a integridade e privacidade dos seus clientes.

Esse profissional também servirá para resguardar a sua empresa e aos clientes, evitando que existam brechas para mau uso do aplicativo e de vazamento de informações.

O que mais posso fazer para adaptar a LGPD nos aplicativos?

Para ter certeza que seu negócio está adequado à LGPD, você pode realizar um diagnóstico de conformidade legal e fazer parte das poucas empresas que estão preparadas. Isso será um diferencial para o seu aplicativo!

E, aí? Você acha a LGPD importante? Conte para a gente nos comentários!

Tópicos

2 respostas

    1. Pois é, Julia. Como ressaltado no artigo, são poucas as empresas que estão adaptadas para a lei. Por isso da proposta de adiamento, ainda sem confirmação. Você pode acompanhar a tramitação da prorrogação aqui.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Posts relacionados

Estamos contratando, venha conferir nossas vagas