O que é o Direito ao Esquecimento SaaS (Direito de Ser Esquecido)?

Q: O que é o Direito ao Esquecimento SaaS (Direito de Ser Esquecido)?

O direito ao apagamento refere-se a um requisito nas regulamentações do GDPR (Artigo 17), que estabelece que os controladores de dados devem remover informações pessoais em resposta a uma solicitação autorizada de um indivíduo. Para provedores de Software como Serviço (SaaS), esse processo inclui a identificação e remoção de dados pessoais de bancos de dados e aplicativos conectados operando na nuvem. Como as plataformas SaaS frequentemente atuam como "processadores de dados" ou "subprocessadores", é importante que elas permaneçam alinhadas com os padrões de conformidade em nome de seus clientes. A execução adequada dos pedidos de apagamento é uma parte esperada da adesão regulatória e pode influenciar a forma como clientes e indivíduos veem as práticas de tratamento de dados, bem como como a confiança do cliente é preservada.Principais Características do Direito ao Apagamento Amplo Escopo: Abrange todas as formas de dados pessoais, incluindo nomes, endereços IP e registros de comportamento. Aplicação Condicional: O direito se aplica se os dados não forem mais necessários ou se o usuário retirar o consentimento. Reação em Cadeia: Os provedores SaaS devem notificar quaisquer subprocessadores terceirizados (como serviços de hospedagem) para que também excluam os dados. Prazo Limitado: As organizações geralmente têm 30 dias para responder e atender a uma solicitação. Aplicações na Vida Real Um ex-assinante de uma ferramenta de CRM solicita a exclusão de seu perfil após mudar para um concorrente. Uma plataforma de automação de marketing remove o e-mail e o histórico de rastreamento de um indivíduo depois que ele retira seu consentimento para o processamento de dados.

Q: Como você lida com um pedido de direito ao esquecimento como uma empresa SaaS?

Gerenciar essas solicitações de forma eficiente exige um fluxo de trabalho padronizado. Primeiro, verifique a identidade do solicitante para evitar a manipulação não autorizada de dados. Uma vez verificada, mapeie os dados do usuário em toda a sua pilha de tecnologia, incluindo bancos de dados de produção e integrações de terceiros. Por fim, confirme a exclusão ao usuário por escrito para manter um rastro de auditoria claro. Dicas Profissionais: Configure ferramentas automatizadas para localizar e identificar PII (Informações de Identificação Pessoal) armazenadas em bancos de dados. Um "Log de Exclusão" pode ajudar no rastreamento de datas e conclusões de solicitações, mas é vital garantir que o PII excluído não seja retido em logs. Crie um canal de comunicação claro para os usuários enviarem consultas de exclusão de dados, como um portal de privacidade ou endereço de e-mail.

Q: Como remover dados, preservando os registos de faturação?

Um desafio comum para empresas SaaS é a exclusão de dados pessoais enquanto se mantêm os registos financeiros para fins fiscais. A solução é a Anonimização. Este método envolve a exclusão de PII (nomes, endereços de e-mail) dos registos de faturação e a utilização de tokens substitutos não identificadores ou marcadores de posição genéricos em seu lugar. Como resultado, os dados comerciais e de transação podem ser retidos no sistema, enquanto o conteúdo que aponta unicamente para identidades individuais é omitido. Prós e Contras da Anonimização Pró: Registos agregados sem identificadores individuais são usados para operações padrão. Pró: Entradas de registo são retidas, mas sem ligações diretas a pessoas identificáveis. Contra: O processo pode incluir tarefas de sistema em ambientes multi-cliente. Contra: As estratégias de gestão de dados dependem de passos documentados para remover ligações a informações pessoais.

Q: Como funciona o apagamento em backups e arquivos?

A remoção direta de dados de bancos de dados de produção ativos é geralmente simples, mas os backups apresentam algumas complicações técnicas. Em backups, como os em fitas compactadas ou armazenamento em nuvem imutável, os dados existem como parte do material de backup armazenado e não são tratados em nível de entrada individual. A exclusão de registros relevantes é tipicamente realizada nos sistemas de produção. Devido ao ciclo de vida do backup (comumente a cada 30 ou 90 dias) em que backups mais antigos são substituídos, esses registros não são reproduzidos em conjuntos de backup subsequentes. Isso está em conformidade com os procedimentos padrão de remoção de dados de sistemas de backup e arquivamento.

Autor: Ioana Grigorescu, Gerente de Conteúdo

Revisado por: George Ploaie, Diretor de Operações (COO)

O que é o Direito ao Apagamento e o Direito a ser Esquecido

O que é o Direito ao Esquecimento SaaS (Direito de Ser Esquecido)?

O direito ao apagamento refere-se a uma exigência nas regulamentações do GDPR (Artigo 17), que estabelece que os controladores de dados devem remover informações pessoais em resposta a um pedido autorizado de um indivíduo. Para provedores de Software como Serviço (SaaS), este processo inclui a identificação e remoção de dados pessoais de bancos de dados e aplicativos conectados que operam na nuvem.

Como as plataformas SaaS frequentemente atuam como “operadores de dados” ou “suboperadores”, é importante que se mantenham alinhadas com os padrões de conformidade em nome de seus clientes. O cumprimento adequado dos pedidos de eliminação é uma parte esperada da conformidade regulatória e pode influenciar a forma como clientes e indivíduos veem as práticas de tratamento de dados, bem como a forma como a confiança do cliente é preservada.

Principais Características do Direito ao Apagamento

Amplo Escopo: Abrange todas as formas de dados pessoais, incluindo nomes, endereços IP e registos de comportamento.
Aplicação Condicional: O direito aplica-se se os dados não forem mais necessários ou se o utilizador retirar o consentimento.
Reação em Cadeia: Os fornecedores de SaaS devem notificar quaisquer sub-processadores terceirizados (como serviços de hospedagem) para também excluírem os dados.
Com limite de tempo: As organizações normalmente têm 30 dias para responder e atender a uma solicitação.

Aplicações Práticas

Um ex-assinante de uma ferramenta de CRM solicita a eliminação do seu perfil após mudar para um concorrente.
Uma plataforma de automação de marketing remove o e-mail e o histórico de rastreamento de um indivíduo após a retirada do consentimento para o processamento de dados.

Como você lida com um pedido de direito ao esquecimento como uma empresa SaaS?

Gerenciar eficientemente essas solicitações exige um fluxo de trabalho padronizado. Primeiro, verifique a identidade do solicitante para evitar manipulação de dados não autorizada. Uma vez verificada, mapeie os dados do usuário em toda a sua pilha de tecnologia, incluindo bancos de dados de produção e integrações de terceiros. Por fim, confirme a exclusão ao usuário por escrito para manter um rastro de auditoria claro.

Dicas profissionais

Configure ferramentas automatizadas para localizar e identificar PII (Informações de Identificação Pessoal) armazenadas em bancos de dados.
Um “Registro de Exclusão” pode ajudar no rastreamento de datas e conclusões de solicitações, mas é vital garantir que PII excluída não seja retida nos registros.
Crie um canal de comunicação claro para que os usuários enviem solicitações de exclusão de dados, como um portal de privacidade ou endereço de e-mail.

Quando um pedido pode ser recusado? (As 5 Exceções)

O direito ao apagamento pode ser afetado por certas condições regulatórias e legais. Os provedores de SaaS analisam cada solicitação consultando as regras de proteção de dados e as necessidades organizacionais. Sob o GDPR, cinco categorias delineiam quando um pedido de apagamento pode ser legalmente recusado.

Tipo de Exceção	Descrição
Obrigação Legal	Os dados devem ser mantidos para atender a requisitos financeiros ou cumprir leis fiscais.
Exercício da Liberdade	As atividades de processamento são necessárias para o direito à liberdade de expressão e informação.
Interesse Público	Os dados podem ser exigidos se relacionados a objetivos como saúde pública, segurança ou pesquisa científica.
Reivindicações Legais	Os dados podem ser armazenados se forem relevantes para o estabelecimento, exercício ou defesa de interesses legais.
Necessidade Contratual	Certas informações ainda são necessárias para cumprir obrigações descritas em um acordo existente com o utilizador.

Como remover dados, preservando os registos de faturação?

Um desafio comum para empresas de SaaS é apagar dados pessoais enquanto mantêm registros financeiros para fins fiscais. A solução é Anonimização. Este método envolve a exclusão das PII (nomes, endereços de e-mail) dos registros de faturamento e a utilização de tokens substitutos não identificáveis ou de marcadores genéricos em seu lugar. Como resultado, os dados de negócios e dados de transação podem ser retidos no sistema, enquanto o conteúdo que aponta unicamente para identidades individuais é omitido.

Prós e Contras da Anonimização

Pro: Registros agregados sem identificadores individuais são usados para operações padrão.
Pro: Registros são mantidos, mas sem ligações diretas a pessoas identificáveis.
Desvantagem: O processo pode incluir tarefas do sistema em ambientes multi-cliente.
Desvantagem: Estratégias de gestão de dados dependem de etapas documentadas para a remoção de ligações a informações pessoais.

Como funciona o apagamento em backups e arquivos?

A remoção direta de dados de bases de dados de produção ativas é geralmente simples, mas as cópias de segurança apresentam algumas complicações técnicas.

Em backups, como aqueles em fitas compactadas ou armazenamento em nuvem imutável, os dados existem como parte do material de backup armazenado e não são tratados ao nível de entrada individual. A exclusão de registros relevantes é tipicamente realizada nos sistemas de produção.

Devido ao ciclo de vida do backup (comumente a cada 30 ou 90 dias) no qual backups mais antigos são substituídos, esses registros não são reproduzidos em conjuntos de backup subsequentes. Isso está em conformidade com os procedimentos padrão de remoção de dados de sistemas de backup e arquivamento.

Conclusão

O direito ao apagamento para SaaS está incorporado tanto na legislação de proteção de dados quanto nos requisitos de conformidade. Encontrar um equilíbrio entre os pedidos de apagamento e as necessidades operacionais é vital para preservar a confiança do utilizador numa plataforma. Empresas que desenvolveram técnicas para o apagamento podem gerir a remoção de dados com segurança utilizando abordagens documentadas e processos de registo.

O que é o Direito ao Esquecimento SaaS (Direito de Ser Esquecido)?

O que é o Direito ao Esquecimento SaaS (Direito de Ser Esquecido)?

Como você lida com um pedido de direito ao esquecimento como uma empresa SaaS?

Quando um pedido pode ser recusado? (As 5 Exceções)

Como remover dados, preservando os registos de faturação?

Prós e Contras da Anonimização

Como funciona o apagamento em backups e arquivos?

Conclusão

Pronto para começar?