Este é um guia rápido e objetivo com pontos que devem ser considerados na definição e desenvolvimento de software levando em conta a LGPD (ou GDPR que é base da LGPD).
A Lei Geral de Proteção de Dados é a lei brasileira baseada na européia GDPR. Esta lei destina-se a proteger e garantir a privacidade das pessoas que utilizam qualquer software.
A LGPD não é clara em alguns pontos. Por isso a GDPR é usada como referência. Ela é a lei europeia com mais de 200 páginas detalhando o que pode e o que não ser feito com informações pessoais e é precursora nesse sentido. Detalhe importante: mesmo fora da europa um sistema está sujeito à GDPR quando contem dados de pessoas europeias.
O Regulamento Geral sobre a Proteção de Dados 2016/679 é um regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Económico Europeu que foi criado em 2018. Regulamenta também a exportação de dados pessoais para fora da UE e EEE.
- https://pt.wikipedia.org/wiki/Lei_Geral_de_Prote%C3%A7%C3%A3o_de_Dados_Pessoais
- https://gdpr-info.eu/art-6-gdpr/
- http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Os pontos chave da mudança são os seguintes:
- Dados de uma pessoa não devem ser solicitados sem um bom motivo pra isso
- Havendo um bom motivo o usuário deve ser avisado deste motivo. Essa justificativa deve estar clara
- Aceitar compartilhar os dados não deve ser a opção padrão do usuário
- Mesmo que uma pessoa aceite compartilhar seus dados ela deve conseguir enxergar quais dados a empresa possui sobre ela
- Sabendo quais dados, a pessoa deve saber também qual a fonte das informações sobre ela
- É necessário saber quando ela aceitou compartilhar seus dados
- Uma vez que a empresa tem dados da pessoa, deve ser possível que a pessoa revogue o acesso a seus dados. Nesse caso a empresa deve apagar as informações da pessoa de seus sistemas
- Informações que possam identificar a pessoa (como IP, geolocalização, ou qualquer forma de identificação por comportamento) podem ser consideradas na lei, mas isto não está claro ainda.
- Metodos de cálculo considerando informações da pessoa podem ser expostos (exemplo: score financeiro)
- Se as informações da pessoa forem compartilhadas com outros sistemas ela deve ser informado sobre isso
- A pessoa é dona de suas informações.
1 - Um cliente quer uma página de cadastro com Nome, CPF, Email e Endereço da pessoa para um sistema de notícias online.
- Entendendo que o email é uma identificação única válida para a pessoa, qual a necessidade do CPF?
- Entendendo que o sistema de notícias não faz diferença de localização, qual a necessidade do Endereço?
Justificativa válida: o sistema faz publicidade baseada no endereço da pessoa e essa é a forma como ele ganha dinheiro (caso The Guardian (https://www.theguardian.com/uk).
Não justificado: CPF - seria válido se houvesse uma validação se a pessoa é uma pessoa real (junto à receita federal por exemplo)
Justificativa inválida: No futuro pode ser que precisemos do endereço para enviar uma correspondencia física à pessoa. Se for o caso pode haver um formulário com preenchimento opcional e com justificativa clara.