Como garantir a conformidade com o GDPR

Para garantir a conformidade do Regulamento Geral de Proteção de Dados (GDPR) da sua plataforma SaaS e mitigar o risco de multas pesadas, siga as diretrizes abaixo. Aderir ao GDPR é essencial para proteger a privacidade do usuário e manter a confiança do cliente.

Este guia fornece uma visão geral das etapas essenciais, incluindo a compreensão dos principais conceitos do GDPR e a implementação de medidas de proteção de dados, que podem contribuir para a construção de uma plataforma SaaS com consciência de privacidade. 

Para ajudá-lo a manter o foco, estamos fornecendo uma lista de verificação abaixo para sua conveniência.

Comece do início e mergulhe no texto oficial do GDPR. Sim, pode parecer um pouco árido, mas observe os termos-chave como “dados pessoais” (informações relevantes para uma pessoa identificável), “processamento” (qualquer ação realizada em dados pessoais) e “sujeito dos dados” (o indivíduo sobre o qual os dados são).

O GDPR é construído sobre sete princípios fundamentais. 

• Legalidade, justiça e transparência: Você deve ter uma razão legal para processar dados, ser claro com os clientes sobre suas práticas e evitar qualquer coisa que seja um pouco enganosa.
• Limitação de propósito: Os dados devem ser usados e coletados por razões legítimas, específicas e explícitas e não devem ser salvos para uso futuro.
• Minimização de dados: Colete apenas as informações necessárias.
• Precisão: Mantenha-se atualizado - informações erradas podem ser prejudiciais. 
• Limitação de armazenamento: Não é necessário manter os dados, portanto, tenha uma política de retenção clara em vigor.
• Integridade e confidencialidade (segurança): Use criptografia e mantenha sempre os dados protegidos contra perda, danos e acesso não autorizado.
• Responsabilidade: Seja responsável pela conformidade, documente seus processos e atenda a todos os requisitos do GDPR.

Considere falar com um profissional com conhecimento em lei de proteção de dados, investigue cursos online ou webinars sobre o assunto ou navegue em nosso guia de conformidade SaaS.

No centro da conformidade com o GPDR está uma auditoria abrangente de dados. Portanto, tenha como objetivo entender seus dados, de onde eles vêm e para onde vão e como estão sendo usados. Use software ou ferramentas de mapeamento para entender e direcionar seus fluxos de dados. Crie uma lista de verificação de auditoria de dados:

• Quais dados pessoais estamos coletando? (Nomes, endereços de e-mail, números de telefone, endereços IP, etc.)
• Como esses dados são coletados? (Diretamente dos usuários, por meio de integrações de terceiros, etc.)
• Onde nossos dados são armazenados? (Servidores locais, armazenamento em nuvem, etc.)
• Quem tem acesso a esses dados? (Funcionários, contratados, fornecedores terceirizados, etc.)
• Como nossos dados são usados? (Marketing, análises, personalização, etc.)
• Por quanto tempo mantemos nossos dados? (Temos uma política de retenção de dados?)
• Temos uma razão legítima para processar cada tipo de dado? (Consentimento, contrato, interesse legítimo, etc.)

Faça da privacidade uma prioridade em sua plataforma. Minimize a coleta de dados, use medidas de segurança fortes e seja transparente com os usuários sobre o uso de seus dados.

Considere o seguinte:

Minimização de Dados:

• Desafie suposições: Considere tudo o que você coleta. Você pode sobreviver com menos informações? Você realmente precisa disso?
• Colete em etapas: Colete o que for necessário à medida que avança. Por exemplo, você pode exigir apenas o endereço de e-mail primeiro e, em seguida, solicitar mais detalhes posteriormente, se necessário.
• Forneça alternativas: Forneça opções aos usuários que limitem sua coleta de dados. Por exemplo, use o checkout de convidado ou permita que os clientes desativem quaisquer recursos de compartilhamento de dados.

Limitação de Propósito:

• Declarações de propósito claras: Seja claro sobre o propósito da coleta de dados em sua comunicação de privacidade e consentimento.Não use linguagem ampla ou vaga, concentre-se em usar uma linguagem clara, concisa e que vá direto ao ponto.
• Restringir acesso interno: O acesso deve ser limitado aos funcionários que absolutamente precisam dele para seu trabalho.
• Exclusão de dados: Crie um protocolo para remover quaisquer dados desnecessários após serem usados para o propósito pretendido.

Transparência:

• Consentimento granular: Possibilite que os usuários optem por participar ou não de determinados recursos e dê a eles algum controle sobre os dados que compartilham.
• Aviso de privacidade em linguagem simples: Mantenha sua política de privacidade amigável e fácil de entender, usando linguagem cotidiana em vez de jargão jurídico.
• Avisos em camadas: Seja conciso em seus resumos de todos os avisos aos usuários sobre informações importantes e forneça links para mais detalhes para aqueles que desejam ler explicações mais aprofundadas.

Pseudonimização/Anonimização: Implemente maneiras de desidentificar dados pessoais sempre que possível. Por exemplo, substitua informações de identificação por pseudônimos (por exemplo, Usuário123) para evitar vincular os dados a indivíduos. Considere remover os identificadores completamente para que os dados não possam ser vinculados a indivíduos.

Segurança:

• Controles de Acesso: Seja seletivo em quem tem acesso para visualizar, modificar ou excluir dados pessoais.
• Plano de Resposta a Violação de Dados: Coloque processos em prática para detectar, conter e responder com urgência a violações de dados.
• Auditorias Regulares: Agende auditorias e avaliações de segurança proativamente para encontrar e corrigir quaisquer possíveis problemas de segurança.
• Criptografia: Criptografe dados em repouso e em trânsito usando algoritmos fortes.

Use uma linguagem de consentimento simples e clara que indique como os dados do usuário serão usados. Seja transparente que o consentimento é dado, informado, específico e retirado a qualquer momento. 

• As solicitações de consentimento devem ser claras e concisas para que os usuários entendam com o que estão concordando.
• O consentimento tem um propósito específico e não é um acordo geral.
• O consentimento deve ser um claro “sim.” 
• O consentimento é uma opção e nunca um requisito coercitivo.
• Os usuários podem facilmente retirar o consentimento a qualquer momento.

O Regulamento Geral de Proteção de Dados (GDPR) descreve certos direitos que os titulares dos dados (indivíduos) têm em relação às suas informações pessoais. Sua empresa e plataforma de SaaS devem acomodar esses direitos. 

• O Direito de Acesso: Saiba que você deve confirmar as solicitações dos usuários sobre se você está processando seus dados e fornecer uma cópia deles.
• O Direito à Retificação: Você deve agir quando os indivíduos solicitarem que seus dados pessoais sejam corrigidos.
• O Direito à Restrição de Processamento: Uma solicitação para limitar o processamento de seus dados em certas situações, como quando eles contestam a precisão, deve ser honrada
• O Direito de Objeção: Os indivíduos podem se opor ao uso para marketing direto, como um exemplo do tipo de processamento que podem solicitar para negar.
• O direito ao apagamento (“direito a ser esquecido”): Quando os usuários solicitam que seus dados pessoais sejam excluídos, em algumas situações, como quando os dados não são mais necessários, eles têm o direito de que isso seja concedido. 
• O direito à portabilidade de dados: Os indivíduos podem solicitar uma cópia de seus dados em um formato estruturado e legível por máquina e têm o direito de transmitir esses dados a outro controlador.

DSARs (Solicitações de Acesso do Titular dos Dados) requerem procedimentos claros e documentados, incluindo quem é responsável, como as solicitações são verificadas e quais informações são fornecidas.

A equipe deve ser educada e preparada para lidar com DSARs de acordo com o GDPR e responder dentro de um mês após o recebimento. Para casos complexos, até três meses são aceitáveis. Para agilizar isso, considere usar uma ferramenta de gerenciamento de DSAR.

Cumprir os direitos do titular dos dados também significa criar confiança com os usuários e mostrar um compromisso com a privacidade.

Se sua plataforma SaaS processa grandes quantidades de dados pessoais ou se envolve em atividades consideradas de alto risco, vale a pena considerar a designação de um DPO. Embora não seja necessário, é recomendável ter um encarregado da proteção de dados.

As principais responsabilidades de um DPO:

• Informar a empresa sobre suas obrigações de proteção de dados.
• Ser o contato para a autoridade supervisora e titulares dos dados.
• Cooperar com a autoridade supervisora.
• Ser o SME (Especialista no Assunto) em Avaliações de Impacto na Proteção de Dados (DPIAs).
• Manter a conformidade com o GDPR e outras leis de proteção de dados.

Um plano de notificação de violação de dados deve estar em vigor. No caso de ocorrer uma violação, as autoridades apropriadas devem ser notificadas dentro de 72 horas e os indivíduos afetados sem demora quando houver risco para seus direitos e liberdades. 

Plano de Resposta a Violação de Dados:

• Identificação de Incidentes: Crie critérios para identificar uma violação de dados. Deixe claro quais incidentes acionarão seu plano de resposta.
• Contenção: Procedimentos para evitar mais danos e conter a violação devem ser implementados, como alterar senhas, corrigir vulnerabilidades e isolar sistemas.
• Avaliação: Avalie a gravidade da violação e determine quais dados foram comprometidos. Determine o número de indivíduos envolvidos e avalie quaisquer riscos potenciais que isso representa para seus direitos.
• Notificação: Se ocorrer uma violação de dados e isso puder colocar os direitos das pessoas em risco, informe as autoridades dentro de 72 horas.
• Informe os indivíduos afetados se a violação representar um alto risco para seus direitos e liberdades e forneça a eles informações claras e concisas sobre a violação e as medidas que podem tomar para se proteger. É sempre melhor estar seguro e mantê-los informados.