LGPD para SaaS: tratamento de dados em produtos em nuvem

LGPD para SaaS é um dos temas que mais gera dúvida entre founders e times de produto: a lei se aplica ao software em si, ao cliente que usa o software, ou aos dois? A resposta é os dois, mas de formas distintas, e entender essa distinção é o ponto de partida para qualquer decisão sobre proteção de dados em uma plataforma em nuvem.

Uma empresa que desenvolve e comercializa um produto SaaS ocupa uma posição singular na cadeia de tratamento de dados. Dependendo de como o produto foi construído e para quem ele serve, ela pode ser controladora dos dados que coleta diretamente dos usuários, operadora dos dados que seus clientes inserem na plataforma, ou as duas coisas ao mesmo tempo em partes diferentes do sistema. Cada uma dessas posições gera obrigações diferentes, e confundir os papéis é um dos erros mais comuns que levam empresas de tecnologia a operar fora da conformidade sem perceber.

Controlador, operador ou os dois?

Para entender como a LGPD para SaaS funciona na prática, é útil partir de um exemplo concreto. Uma plataforma de gestão de clientes para pequenas empresas coleta o e-mail e o nome do usuário no momento do cadastro: aqui, a empresa SaaS é a controladora, pois foi ela quem decidiu coletar esses dados e definiu a finalidade. Quando o cliente dessa plataforma começa a cadastrar os próprios contatos, fornecedores e histórico de negociações, a empresa SaaS passa a ser operadora desses dados, pois está tratando informações cuja finalidade foi definida pelo cliente, não por ela.

Essa distinção importa porque as obrigações legais de cada papel são diferentes. O controlador responde pela base legal da coleta, pela política de privacidade, pelo atendimento aos direitos dos titulares e pela notificação de incidentes. O operador, por sua vez, precisa seguir as instruções do controlador e adotar medidas de segurança adequadas para os dados que processa em nome dele, como o artigo sobre adequação à LGPD e os papéis de controlador e operador detalha.

O problema é que muitos produtos SaaS nunca mapearam formalmente em quais partes do sistema exercem cada papel, e por isso não sabem exatamente quais obrigações precisam cumprir em cada camada.

O que muda quando o produto cresce

Plataformas em nuvem têm uma característica que agrava a questão regulatória ao longo do tempo: elas crescem. Novas funcionalidades são adicionadas, integrações com terceiros são habilitadas, o volume de dados armazenados aumenta, e cada uma dessas mudanças pode alterar o perfil de tratamento de dados da plataforma sem que ninguém tenha revisado as implicações legais.

Uma integração com uma ferramenta de analytics, por exemplo, pode começar a transferir dados de usuários para um terceiro sem que isso esteja declarado na política de privacidade. Uma funcionalidade de relatórios pode passar a consolidar informações de diferentes clientes de formas que não foram previstas no momento do cadastro. Um sistema de notificações pode começar a usar dados comportamentais para personalizar mensagens, configurando uma nova finalidade que não tinha base legal definida.

Cada uma dessas situações representa uma exposição regulatória que se acumula silenciosamente, e que fica visível somente quando alguém faz a pergunta certa. Saber quais perguntas fazer sobre o ambiente de dados da empresa antes de aprovar novas funcionalidades ou integrações é parte do que separa uma empresa de tecnologia com governança madura de uma que descobre os problemas no momento errado.

O que a plataforma precisa ter estruturado

Independentemente do estágio em que o produto está, alguns elementos precisam existir para que a conformidade com a LGPD para SaaS seja sustentável ao longo do tempo.

Mapeamento de dados por funcionalidade. Cada parte do produto que coleta, processa ou armazena dados pessoais precisa estar documentada: qual dado é tratado, com qual finalidade, com qual base legal e por quanto tempo fica retido. Esse mapeamento é o que permite responder a qualquer pergunta de um cliente, de um titular ou de um regulador sem depender da memória de quem construiu o sistema.

Contratos de processamento de dados com os clientes. Quando a empresa SaaS opera como processadora dos dados dos seus clientes, precisa ter um contrato que formalize essa relação, estabelecendo as obrigações de segurança, os limites do tratamento e os procedimentos em caso de incidente. Esse documento, chamado de DPA (Data Processing Agreement), é exigido por clientes corporativos e por legislações como a LGPD e a GDPR europeia.

Política de privacidade que reflita o produto real. Um dos pontos mais frequentemente negligenciados em empresas de tecnologia é a política de privacidade desatualizada em relação ao produto atual. Se a plataforma evoluiu mas o documento não acompanhou, a empresa está declarando para os usuários uma forma de tratar dados que não corresponde mais ao que acontece de fato, o que configura violação independentemente de qualquer outro critério.

Controles de acesso aos dados dos clientes. Quem dentro da empresa pode acessar os dados que os clientes inserem na plataforma? Com qual justificativa e com qual registro? Ambientes SaaS costumam dar aos times de suporte e engenharia acesso amplo às bases de dados para resolver problemas, mas esse acesso precisa ser controlado, auditável e limitado ao necessário. Uma política de segurança da informação que contemple especificamente o acesso a dados de produção é o que formaliza essas regras internamente.

Procedimento para atender direitos dos titulares. Os usuários finais da plataforma têm o direito de solicitar acesso aos próprios dados, correção, portabilidade e exclusão. A empresa SaaS, seja como controladora ou operadora, precisa ter um fluxo definido para receber e responder a essas solicitações dentro dos prazos legais. Isso inclui saber tecnicamente como exportar os dados de um usuário específico, como anonimizá-los e como excluí-los de forma completa em todos os ambientes, incluindo backups.

O que os clientes corporativos estão passando a exigir

À medida que empresas de médio e grande porte amadurecem suas práticas de privacidade, elas passam a incluir requisitos de conformidade nos processos de contratação de fornecedores de tecnologia. Uma plataforma SaaS que não consegue responder perguntas básicas sobre como trata os dados dos usuários, que não tem um DPA disponível ou que não passou por nenhuma auditoria de segurança começa a perder negócios para concorrentes que têm essas questões resolvidas.

A conformidade com a LGPD para SaaS, nesse sentido, deixa de ser apenas uma obrigação legal e passa a funcionar como um critério de qualificação comercial. As sanções previstas na legislação representam o risco regulatório, mas a perda de contratos com clientes que exigem maturidade em privacidade é o custo imediato que a maioria das empresas de tecnologia sente antes mesmo de qualquer autuação.

Por onde começar

Para produtos que ainda não têm esse processo estruturado, o ponto de partida mais produtivo é o mapeamento de dados: percorrer cada funcionalidade do produto e registrar o que é coletado, onde fica, quem acessa e com qual justificativa. Esse exercício costuma revelar coletas desnecessárias, integrações não documentadas e acessos mais amplos do que o necessário, e cada um desses pontos tem solução técnica conhecida quando identificado com antecedência.

O que não tem solução simples é descobrir esses problemas depois que um cliente corporativo fez as perguntas, depois que um usuário abriu uma reclamação na ANPD ou depois que um incidente expôs o que estava mal configurado.

A STWBrasil apoia empresas de tecnologia na adequação à LGPD, desde o mapeamento de dados até a estruturação de contratos, políticas e controles técnicos que sustentam a conformidade enquanto o produto cresce.

Empresa líder em segurança da informação. A proteção digital da sua empresa é a nossa prioridade. Contamos com o uso de tecnologia de última geração por profissionais altamente especializados.

Copyright © Todos os direitos reservados Conheça nossas Políticas de Privacidade