Hoje dificilmente alguém não utiliza um Software as a service (“SaaS”) como meio de ferramenta para o seu trabalho ou até mesmo para uso pessoal.
SaaS tecnicamente é um software que fica alojado remotamente na nuvem e pode ser acessado em qualquer lugar via internet. A empresa disponibiliza o sistema mediante pagamento como um serviço, no qual sequer precisa ser instalado em computadores, pois alguns funcionam 100% online.
Certamente você já ouviu falar das ferramentas do Dropbox, Salesforce ou Google Drive, pois bem, todas funcionam através de computação em nuvem.
No entanto, para que essa tecnologia funcione, todos os dados imputados pelos usuários no sistema ficam armazenados nos servidores físicos da empresa, ou seja, uma enorme quantidade de dados circula sob os cuidados da empresa de SaaS, de modo em que essas empresas precisam adotar todas as medidas de segurança da informação e estar adequadas à LGPD.
Por essa razão, listamos abaixo algumas recomendações para esse setor sob a ótica da Lei Geral de Proteção de Dados:
Data Mapping
A empresa SaaS precisa informar qual base legal dentre as dez dispostas na LGPD utiliza para o tratamento de dados pessoais, dessa forma, é necessário a realização de um mapeamento de todos os dados pessoais que a empresa processa para fins de identificar e categorizar esses dados.
Gap Analysis
Em razão da grande quantidade de dados pessoais que são adicionados no sistema, um Gap Analysis precisa ser feito para melhorar o compliance às normas de privacidade e proteção de dados, bem como auxiliar na identificação e correção de falhas e vulnerabilidade do sistema.
Eventual Relatório de Impacto à Proteção de Dados Pessoais
Em casos envolvendo tratamento de dados pessoais sensíveis, ou tratamento de dados em larga escala, a empresa precisa realizar um relatório de impacto à proteção de dados pessoais.
Atendimento aos titulares de dados.
Lembre-se que a LGPD prevê direitos dos titulares que os agentes de tratamento deverão atender para estar em conformidade com a lei (at. 9, 18, 19 a 22), assim, a empresa precisa de ferramentas para atender eventuais requisições dos titulares.
Revise todas as políticas de privacidade e termos de uso
Como controlador, o fornecedor de software precisa ter termos de uso claros, por exemplo, é necessário explicar o motivo do processamento de dados, a sua natureza e duração, os direitos dos titulares, entre outros.
DPO ou encarregado
A LGPD obriga que a empresa tenha um DPO - encarregado pela proteção de dados na empresa -, além disso, é ele quem irá se reportar à agência reguladora e receber reclamações de usuários.
Entenda os personagens da LGPD
Quando o fornecedor do SaaS recebe e armazena os dados que foram imputados pelos seus clientes no software, a empresa é considerada operadora, no entanto, quando nos referimos aos dados de colaboradores, por exemplo, a empresa assume o papel de Controladora.
Revise contratos com clientes
Caso haja transferência internacional de dados será necessário a elaboração de Cláusulas Contratuais Padrão com garantias.
Cultura de proteção de dados
Crie uma cultura de proteção de dados dentro da empresa, aplicando a proteção de dados desde a concepção de seus produtos ou serviços.
Essas são algumas recomendações para empresas SaaS, no entanto, estar em conformidade com a Lei Geral de Proteção de Dados não é uma tarefa simples, razão pela qual se recomenda ser assessorado por um escritório de advocacia especializado no assunto.
Comments