A diretora de privacidade de dados e DPO da Claro, Maria Tereza Ali, revelou que a companhia tem 600 kits de desenvolvedores (SDKs) plugados aos seus 23 aplicativos proprietários, o que gerou um desafio de governança para a companhia em relação à privacidade. Durante o Digital Privacy Summit 2025, evento organizado pela Opice Blum Academy nesta segunda-feira, 8, a executiva reforçou que SDK é uma porta de vulnerabilidade para as empresas.
De acordo com Ali, o maior desafio foi fazer o inventário desses SDKs, em especial em quais apps estavam e como estão sendo usados. A operadora notou neste levantamento, denominado pela executiva de “cortar o mato alto” para avaliar o todo, que 55% dos kits de desenvolvedores usados tratavam de dados pessoais e os outros 45% não envolviam esses dados, o que fez a empresa focar nos 55%.
Governança na Claro para SDKs
A partir deste levantamento, a operadora fez aditivos aos contratos com terceiros para definir os limites da responsabilidade do desenvolvedor e da empresa. Internamente, a Claro avançou em sete frentes que envolvem treinamento, criação de políticas, modelagem e definição de privacy by design no uso dos SDKs, assim como criar uma área dedicada para gerir os kits aplicados nos apps.
“Trouxemos governança na Claro para SDKs e apps. Não é simples, pois há uma dificuldade de identificar”, afirmou a executiva. “É natural que as empresas comecem um programa de governança pensando em dados altos. Nós pensamos principalmente em privacy by design. As próprias áreas responsáveis pelos apps não sabiam (dos dados que eram capturados)”, detalhou.
“Os SDKs estavam ali e não tinham como avaliar o risco. Nós vimos uma desgovernança. Não tinha uma área única responsável por SDK. Havia a necessidade de um programa específico por SDK, um privacy by design para SDK”, completou.
SDK como parte do negócio
O especialista da Opice Blum, Lucas Mendes, chama a atenção que SDK deve ser visto dentro das corporações como “uma unidade de negócios”. E que as companhias e os DPOs precisam explicitar com os desenvolvedores que é preciso mais clareza no tratamento de dados, como declarar quais dados pessoais são captados, a política de privacidade precisa de um link e até permitir exclusão de conta.
“Dentro desse desafio de privacy by design é preciso trazer a linguagem de privacidade para requisitos técnicos dos apps”, relatou Mendes, ao lembrar que um mesmo SDK pode ser usado para diferentes finalidades, como captar dados pessoais ou pedir um opt-in.
Gabriela Alcântara, colega de Mendes na banca de advogados, reforçou que preocupação com SDK e privacidade é um questionamento válido que os DPOs devem trazer às equipes de segurança e privacidade das empresas pelos riscos de segurança.
Imagem principal, ao centro: Maria Tereza Ali, Claro (de preto e azul); Gabriela Alcantâra, Opice Blum; Lucas Mendes, Opice Blum (crédito: Henrique Medeiros/Mobile Time)
