A Lei Geral de Proteção de Dados (LGPD) alterou o Marco Civil da Internet, e entender como a LGPD para SaaS se aplica é fundamental para garantir que sua empresa continue funcionando legalmente.

Um estudo feito para a IBM, em parceria com o Instituto Ponemon antes da aprovação da lei, em 2018, mostrou que o custo médio de violação de dados para empresas é de R$ 1,24 milhão no Brasil.

Da mesma forma, essa pesquisa ainda concluiu que a média mundial para lidar com problemas relacionados a esse tema é de US$ 3,86 milhões. Além disso, o montante total quase dobrou nos últimos cinco anos por conta de mega violações.

Portanto, neste post você entenderá quais os impactos dessa lei para sua empresa e quais os pontos críticos para que SaaS consiga se adaptar neste cenário.

O que é LGPD

A Lei Geral de Proteção de Dados foi sancionada em 14 de agosto de 2018. A partir dela, está previsto que os direitos fundamentais de liberdade e de privacidade de todos os brasileiros na internet sejam respeitados.

Dessa forma, o Brasil se inspirou na GPDR, aprovada também em 2018 na União Europeia, para formalizar a lei aqui, no nosso país. Muitos pontos foram reaproveitados e outros, adaptados para a nossa realidade.

Estava previsto que a LGPD entrasse em vigor em fevereiro de 2020, no entanto, recentemente o prazo foi alterado para agosto de 2020. Por isso, se você tem uma empresa SaaS no Brasil e ainda não entendeu corretamente os pontos da lei 13.709/2018, algumas dicas são indispensáveis para que o seu negócio continue funcionando.

LGPD para SaaS e o poder entregue ao usuário

A LGPD pretende mudar não só os aspectos legais relacionados à privacidade, mas também provocar uma mudança de cultura, pensando em melhorar o relacionamento entre titulares dos dados, que são os usuários, e empresas.

Além disso, também é importante ressaltar que o usuário terá direito, a partir dessa lei, a consultar dados entregues, editar e, até mesmo, suspender o uso daquela empresa. Outros pontos também precisam ser considerados na LGPD:

  • Revogação do consentimento, onde os usuários podem voltar atrás e decidir não liberar o uso das informações pessoais para a empresa;
  • Informação e explicação, já que ele tem o direito de saber exatamente para quais fins os seus dados serão usados;
  • Portabilidade, onde o usuário que queira migrar de um serviço para outro, tem o direito de ter os dados liberados por parte dela.

Na prática, isso significa para uma empresa SaaS que o cuidado deve ser redobrado em todas as fases do processo de aquisição e retenção de clientes. Vamos pensar em como isso vai funcionar, por exemplo, na captação de leads.

Se o seu time de marketing usa landing pages para oferecer materiais ricos focados e aquisição, os dados obtidos nas LP’s são de propriedade do usuário. A sua empresa não é mais a detentora desses dados, e o cliente em potencial pode solicitar, a qualquer momento, que os dados enviados naquele momento sejam apagados da sua base.

Dados obtidos nas empresas SaaS que entram na LGPD

No descritivo da Lei Geral de Proteção de Dados, podemos dividir a classificação dos dados obtidos pelas empresas em quatro grupos principais:

  • Dados pessoais, com informações relacionadas à pessoa natural identificada ou identificável;
  • Dados pessoais sensíveis, de origem racial ou étnica, convicção religiosa, filiação a sindicato ou a organização de caráter religioso, opinião política ou filosófica, referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculado a uma pessoa natural;
  • Dado anonimizado, que são relativos a titulares que não possam ser identificados, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • Dados impressos e físicos, que também entram junto com os dados eletrônicos de qualquer natureza, e precisam ser resguardados.

Além disso, o cuidado com informações bancárias também precisa ser questionado. Se você recolhe dados como número de conta, agência, CVV, endereço e outros dados do tipo (como é o nosso caso aqui na Vindi, por exemplo), sua infraestrutura tecnológica precisa ser robusta e criptografada o suficiente para garantir que vazamentos não aconteçam.

Da mesma forma, é necessário que essas informações possam ser acessadas pelos clientes quando os mesmos solicitarem. Nós falaremos mais sobre isso no tópico de adaptação da sua empresa à LGPD.

Penalidades do descumprimento da LGPD para SaaS

Todas as empresas, incluindo as do segmento SaaS, precisam garantir que a infraestrutura técnica e administrativa consiga fornecer a segurança necessária de todos os dados que falamos até aqui. Além disso, também é necessário que os pedidos de exclusão, revogação de consentimento, portabilidade e informação sejam prontamente atendidos.

Na prática, a LGPD atinge seu modelo de vendas, suas estratégias de marketing, sua abordagem comercial e a capacidade da sua área de segurança. Atenção redobrada para quem usa o modelo Freemium e oferece planos limitados de forma gratuita em troca de dados.

Agora é o momento de pensar se esse modelo de vendas continuará sendo viável depois que a LGPD entrar em vigor, e se a infraestrutura tecnológica do seu software conseguirá manter a escalabilidade.

Em caso de vazamentos, incidentes ou qualquer problema, é necessário acionar as autoridades do governo o mais rápido possível e como indicar as medidas tomadas.

Entretanto, se a empresa não se pronunciar ou tentar esconder de alguma forma possíveis incidentes, as penalidades começam com advertências e podem chegar a:

  • Multas simples, correspondentes a 2% do faturamento total do ano anterior e chegando até R$ 50 milhões;
  • Publicização da infração em diário oficial e, possivelmente, em outros veículos oficiais;
  • Bloqueio dos dados pessoais a que se refere a infração, até que sejam regularizados;
    Eliminação total dos dados pessoais a que se refere a infração, que podem, inclusive, inviabilizar a atividade da sua empresa.

Portanto, se sua empresa não quer ser penalizada, é necessário prestar atenção em diversos pontos, além de conhecer a lei em sua totalidade. Você pode acessá-la clicando aqui.

Como empresas SaaS podem se adaptar à LGPD

Comece com um DPO

O DPO (Data Protection Officer) é um profissional que surgiu com essa nova legislação. O nome definitivo deste cargo deverá ser publicado com mais clareza nos próximos meses.

Basicamente, a função do DPO será o de ser uma ponte entre os fiscalizadores e a empresa. Ele também será responsável por receber reclamações de usuários, pela comunicação com as autoridades e conscientização dos colaboradores em relação às práticas de proteção de dados pessoais.

Ter um DPO é fundamental para garantir que a adequação da LGPD para SaaS.

Atualize os termos de usuário e política de privacidade

Agora, mais do que nunca, é fundamental que sua empresa tenha uma política de privacidade e termos de uso claros e objetivos para seus usuários.

Além disso, se a sua contratação é feita totalmente online, significa que sua política precisa ser ainda mais clara e efetiva. Seu cliente não fechará contratos pessoalmente e precisa de todas as informações sobre como os dados dele serão usados.

Esse modelo de contratação, muito usado no segmento SaaS e nos clubes de assinatura, precisa garantir a segurança e a proteção de dados.

Dessa forma, é preciso que as razões para processamento de dados, recolhimento de informações e do cumprimento das responsabilidades fiscais com o usuário sejam prioridade.

Portanto, se você ainda não revisitou a política da sua empresa, a hora é agora. Além disso, as campanhas que tenham como objetivo a captação de leads e possíveis mudanças de posicionamento de marca não podem dar margens para interpretações.

Fortaleça sua infraestrutura de segurança

É muito importante que a sua empresa tenha um alto nível de criptografia, e esse nível só aumenta com a necessidade do negócio no recolhimento de informações.

Por isso, garanta a certificação PCI Compliance e, se possível, aumente a capacidade do seu software para que ele esteja protegido de vazamentos e incidentes. Se você ainda tem dúvidas de que seu software é seguro, provavelmente ele não é, e precisa de ajustes.

Estabeleça uma cultura de proteção de dados

O objetivo principal da LGDP para SaaS, e todos os segmentos que trabalham com dados de usuários, é voltar o foco para a proteção cibernética. É fundamental que todos os colaboradores da sua empresa saibam o que isso significa e entendam quais os padrões de segurança adotados pelo negócio.

Ter uma figura como um DPO certamente facilitará esse processo educacional, mas é necessário que essa cultura seja ampliada e reconhecida pelo time como um todo.

Também é importante que os fornecedores e parceiros da sua empresa também estejam alinhados e passem pela LGPD, para evitar problemas no futuro.

Portanto, cerce seu time de informações diversas, livros, conteúdos digitais, palestras. Além disso, conte com o Blog da Vindi para continuar te informando sobre tudo o que acontece no segmento SaaS.

Se você gostou deste conteúdo sobre LGPD para SaaS, clique no banner e inscreva-se na nossa newsletter para ter acesso a conteúdos do mercado com exclusividade!banner newsletter blog