O Que É o Direito ao Apagamento (Direito de Ser Esquecido) no SaaS?

Q: O Que É o Direito ao Apagamento (Direito de Ser Esquecido) no SaaS?

O direito ao apagamento refere-se a um requisito nas regulamentações dentro do GDPR (Artigo 17), que estabelece que os controladores de dados devem remover informações pessoais em resposta a uma solicitação autorizada de um indivíduo. Para provedores de Software como Serviço (SaaS), este processo inclui identificar e remover dados pessoais de bancos de dados e aplicativos conectados operando na nuvem. Como as plataformas SaaS frequentemente atuam como "processadores de dados" ou "subprocessadores", é importante que elas permaneçam alinhadas com os padrões de conformidade em nome de seus clientes. A execução adequada das solicitações de apagamento é uma parte esperada da adesão regulatória e pode influenciar como clientes e indivíduos veem as práticas de tratamento de dados, bem como a preservação da confiança do cliente. Principais Características do Direito ao Apagamento Abrangência: Abrange todas as formas de dados pessoais, incluindo nomes, endereços IP e registros de comportamento. Aplicação Condicional: O direito se aplica se os dados não forem mais necessários ou se o usuário retirar o consentimento. Reação em Cadeia: Provedores SaaS devem notificar quaisquer subprocessadores terceirizados (como serviços de hospedagem) para também excluírem os dados. Prazo Definido: As organizações geralmente têm 30 dias para responder e atender a uma solicitação. Aplicações na Vida Real Um ex-assinante de uma ferramenta de CRM solicita a exclusão de seu perfil após mudar para um concorrente. Uma plataforma de automação de marketing remove o e-mail e o histórico de rastreamento de um indivíduo após ele retirar seu consentimento para o processamento de dados.

Q: Como você lida com uma solicitação de direito ao apagamento como uma empresa SaaS?

Gerenciar essas solicitações de forma eficiente exige um fluxo de trabalho padronizado. Primeiro, verifique a identidade do solicitante para evitar manipulação de dados não autorizada. Uma vez verificada, mapeie os dados do usuário em toda a sua pilha de tecnologia, incluindo bancos de dados de produção e integrações de terceiros. Por fim, confirme a exclusão ao usuário por escrito para manter um rastro de auditoria claro. Dicas Profissionais: Configure ferramentas automatizadas para localizar e identificar PII (Informações de Identificação Pessoal) armazenadas em bancos de dados. Um "Log de Exclusão" pode ajudar no acompanhamento das datas e conclusões das solicitações, mas é vital garantir que o PII excluído não seja retido em logs. Crie um canal de comunicação claro para que os usuários enviem consultas de exclusão de dados, como um portal de privacidade ou um endereço de e-mail.

Autor: Ioana Grigorescu, Gerente de Conteúdo

Revisado por: George Ploaie, Diretor de Operações (COO)

O que é o Direito ao Apagamento e o Direito ao Esquecimento

O Que É o Direito ao Apagamento (Direito de Ser Esquecido) no SaaS?

O direito ao apagamento refere-se a uma exigência nas regulamentações do GDPR (Artigo 17), que estabelece que os controladores de dados devem remover informações pessoais em resposta a uma solicitação autorizada de um indivíduo. Para provedores de Software como Serviço (SaaS), este processo inclui identificar e remover dados pessoais de bancos de dados e aplicativos conectados que operam na nuvem.

Como as plataformas SaaS frequentemente atuam como “processadores de dados” ou “subprocessadores,” é importante que elas permaneçam alinhadas com os padrões de conformidade em nome de seus clientes. O atendimento adequado às solicitações de exclusão é uma parte esperada da conformidade regulatória e pode influenciar como clientes e indivíduos veem as práticas de tratamento de dados, bem como como a confiança do cliente é preservada.

Principais Características do Direito ao Esquecimento

Amplo Escopo: Abrange todas as formas de dados pessoais, incluindo nomes, endereços IP e registros de comportamento.
Aplicação Condicional: O direito se aplica se os dados não forem mais necessários ou se o usuário retirar o consentimento.
Reação em Cadeia: Provedores de SaaS devem notificar quaisquer subprocessadores terceirizados (como serviços de hospedagem) para também excluir os dados.
Delimitado por Tempo: As organizações geralmente têm 30 dias para responder e atender a uma solicitação.

Aplicativos da vida real

Um ex-assinante de uma ferramenta de CRM solicita a exclusão de seu perfil após mudar para um concorrente.
Uma plataforma de automação de marketing remove o e-mail e o histórico de rastreamento de um indivíduo depois que ele retira seu consentimento para o processamento de dados.

Como você lida com uma solicitação de direito ao apagamento como uma empresa SaaS?

Gerenciar essas solicitações de forma eficiente requer um fluxo de trabalho padronizado. Primeiro, verifique a identidade do solicitante para evitar manipulação de dados não autorizada. Uma vez verificada, mapeie os dados do usuário em todo o seu conjunto de tecnologias, incluindo bancos de dados de produção e integrações de terceiros. Finalmente, confirme a exclusão ao usuário por escrito para manter um rastro de auditoria claro.

Dicas Profissionais

Configure ferramentas automatizadas para localizar e identificar PII (Informações de Identificação Pessoal) armazenadas em bancos de dados.
Um “Log de Exclusão” pode ajudar a rastrear datas e conclusões de solicitações, mas é vital garantir que os PII excluídos não sejam retidos nos logs.
Crie um canal de comunicação claro para os usuários enviarem solicitações de exclusão de dados, como um portal de privacidade ou endereço de e-mail.

Quando uma solicitação pode ser recusada? (As 5 Exceções)

O direito ao apagamento pode ser afetado por certas condições regulatórias e legais. Provedores de SaaS avaliam cada solicitação consultando as regras de proteção de dados e as necessidades organizacionais. Nos termos do GDPR, cinco categorias descrevem quando uma solicitação de apagamento pode ser legalmente recusada.

Tipo de Exceção	Descrição
Obrigação Legal	Os dados devem ser mantidos para atender a requisitos financeiros ou cumprir leis fiscais.
Exercício da Liberdade	As atividades de processamento são necessárias para o direito à liberdade de expressão e informação.
Interesse Público	Os dados podem ser exigidos se relacionados a objetivos como saúde pública, segurança ou pesquisa científica.
Reivindicações Legais	Os dados podem ser armazenados se forem relevantes para o estabelecimento, exercício ou defesa de interesses legais.
Necessidade Contratual	Certas informações ainda são necessárias para cumprir as obrigações delineadas em um acordo existente com o usuário.

Como você remove dados enquanto preserva os registros de faturamento?

Um desafio comum para empresas SaaS é a exclusão de dados pessoais enquanto se mantém registros financeiros para fins fiscais. A solução é Anonimização. Este método envolve a exclusão de PII (nomes, endereços de e-mail) dos registros de faturamento e a utilização de tokens substitutos não identificadores ou marcadores de posição genéricos em seu lugar. Como resultado, dados de negócios e de transação podem ser retidos no sistema, enquanto o conteúdo que aponta unicamente para identidades individuais é omitido.

Prós e Contras da Anonimização

Pro: Registros agregados sem identificadores individuais são usados para operações padrão.
Pro: Entradas de registro são retidas, mas sem vínculos diretos a pessoas identificáveis.
Contra: O processo pode incluir tarefas de sistema em ambientes multicliente.
Contra: Estratégias de gerenciamento de dados dependem de etapas documentadas para remover vínculos a informações pessoais.

Como funciona o apagamento em backups e arquivos?

A remoção direta de dados de bancos de dados de produção ativos é geralmente descomplicada, mas os backups apresentam algumas complicações técnicas.

Em backups, como aqueles em fitas compactadas ou armazenamento em nuvem imutável, os dados existem como parte do material de backup armazenado e não são tratados em nível de entrada individual. A exclusão de registros relevantes é geralmente realizada nos sistemas de produção.

Devido ao ciclo de vida do backup (comumente a cada 30 ou 90 dias), no qual backups mais antigos são substituídos, esses registros não são reproduzidos em conjuntos de backup subsequentes. Isso está em conformidade com os procedimentos padrão de remoção de dados de sistemas de backup e arquivamento.

Conclusão

O direito ao apagamento para SaaS está incorporado tanto na legislação de proteção de dados quanto nos requisitos de conformidade. É vital encontrar um equilíbrio entre as solicitações de apagamento e as necessidades operacionais para preservar a confiança do usuário em uma plataforma. Empresas que desenvolveram técnicas para o apagamento podem gerenciar com segurança a remoção de dados, utilizando abordagens documentadas e processos de registro.

O Que É o Direito ao Apagamento (Direito de Ser Esquecido) no SaaS?

O Que É o Direito ao Apagamento (Direito de Ser Esquecido) no SaaS?

Como você lida com uma solicitação de direito ao apagamento como uma empresa SaaS?

Quando uma solicitação pode ser recusada? (As 5 Exceções)

Como você remove dados enquanto preserva os registros de faturamento?

Prós e Contras da Anonimização

Como funciona o apagamento em backups e arquivos?

Conclusão

Pronto para começar?