À medida que os desenvolvedores evoluem, eles não apenas aprimoram suas habilidades de escrever código, mas também ampliam sua compreensão das boas práticas de desenvolvimento: documentação, identação, adoção de novos frameworks, entre outros aspectos. No entanto, é comum se envolver tanto na resolução diária de problemas técnicos que os aspectos legais podem acabar sendo esquecidos, levando a uma questão que surge apenas quando é tarde demais: o que o desenvolvedor de software tem a ver com a Lei Geral de Proteção de Dados (LGPD)?

Estabelecida no Brasil em agosto de 2018, a lei nº 13.709, nomeada de “Lei Geral de Proteção de Dados” – a LGPD -, teve sua aplicação adiada algumas vezes, sendo oficialmente implementada a partir de setembro de 2020, com a entrada em vigor de parte de suas disposições. O objetivo principal da lei é proteger os direitos fundamentais de liberdade e privacidade dos brasileiros, afetando não apenas os usuários dos meios digitais, mas também aqueles que os desenvolvem.

Cada artigo da LGPD apresenta implicações específicas para o desenvolvimento de software. Por exemplo, em seu Artigo 2º, estabelece-se a disciplina que deve guiar a manipulação dos dados, fundamentada em princípios como:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:<<

1. o respeito à privacidade;
2. a autodeterminação informativa;
3. a liberdade de expressão, de informação, de comunicação e de opinião;
4. a inviolabilidade da intimidade, da honra e da imagem;
5. o desenvolvimento econômico e tecnológico e a inovação;
6. a livre iniciativa, a livre concorrência e a defesa do consumidor; e
7. os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Ou seja, é necessário compreender que a concepção de um banco de dados vai além da simples elaboração de um diagrama e da implementação de controles de acesso. Cada um desses princípios estabelece diretrizes sobre como os dados pessoais devem ser manuseados, desde sua coleta até seu descarte, garantindo que o tratamento seja conduzido de maneira ética, legal e respeitosa aos direitos dos titulares das informações.

No seu artigo 18, percebemos que o acrônimo CRUD (Create, Read, Update, Delete) é muito mais do que o primeiro pequeno código um pouco mais complexo da vida de todo desenvolvedor, ele é um direito digital. O titular dos dados pessoais possui direito a obter do controlador – isto é, do desenvolvedor – em relação aos dados do titular por ele tratados, a qualquer momento: acesso aos dados, atualização de dados incompletos, inexatos ou desatualizados e eliminação dos dados.

Durante o percurso de todo bacharel em tecnologia, os esforços para aprender boas práticas de documentação e tratamento de riscos nas matérias de Engenharia e Qualidade de software farão mais sentido além dos slides e das provas. O artigo 37 é dedicado a responsabilizar o desenvolvedor a manter registro das operações de tratamento de dados pessoais que realizarem, podendo ser demandado através de autoridade nacional “que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial”. Além disso, através da Seção I do Capítulo VII, “Da Segurança e do Sigilo de Dados”, os desenvolvedores poderão ser responsabilizados à adotar medidas de segurança –  técnicas e administrativas – aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilegais de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, inclusive até mesmo depois do seu desligamento no processo.

Embora a legislação cubra diversos aspectos da manipulação de dados, é importante reconhecer que toda regra possui suas exceções. O Artigo 4º da LGPD é dedicado a delinear essas exceções: existem diversos cenários nos quais a LGPD não se aplica, porém alguns merecem destaque especial, como quando o tratamento dos dados é realizado por pessoa natural para fins exclusivamente particulares. Nesses casos, não há impedimento em manter uma lista de contatos com os parentes no smartphone ou utilizar dados reais de amigos para testar um banco de dados no WorkBench. Reforçando este último,  é importante ressaltar que essa exceção também se estende ao tratamento realizado exclusivamente para fins acadêmicos.

Apesar de estarem atualizados em todas as tecnologias e suas constantes evoluções, os desenvolvedores devem estar cientes de que a LGPD não se aplica apenas ao desenvolvimento de software, mas também à sua utilização. Eles devem estar preparados para responder a solicitações de acesso, atualização e eliminação de dados, e devem manter registros das operações de tratamento de dados pessoais que realizam.

Autora: Ana Clara Bordin