Quem é o encarregado da proteção de dados na LGPD?

O encarregado é uma pessoa de confiança que foi indicada pelo controlador ou operador de dados, para atuar como meio de comunicação entre o controlador e as partes envolvidas no tratamento de dados, que são: os agentes de tratamento, o titular dos dados e a ANPD. 

Se surgir o termo DPO, não se espante! A sigla significa “data protection officer” e é o nome utilizado na Europa, que também possui uma lei que protege os dados pessoais, tornando a nomenclatura popular no Brasil. 

O papel do DPO é monitorar as atividades de tratamento de dados da empresa, escritório ou estabelecimento, de forma a assegurar que estejam em conformidade com a LGPD e seus princípios. 

Mas quais as funções do encarregado? O art. 41, § 2º da  LGPD esclarece algumas das atividades do DPO, sendo elas: a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; b) receber comunicações da autoridade nacional e adotar providências; c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares, dentre diversas outras. 

Ou seja, as atividades elencadas afirmam que o encarregado deve fiscalizar o tratamento de dados e reportar à autoridade e controlador eventuais desconformidades. É imprescindível que o DPO tenha independência no desempenho de suas obrigações para não prejudicar a proteção dos dados. Lembrando também que o encarregado não pode, em hipótese alguma, ocupar outras posições que o comprometam na fiscalização do tratamento de dados. 

E se ocorrer um erro no tratamento de dados? O DPO (encarregado) será responsabilizado? 

O cumprimento das obrigações impostas pela lei cabem apenas aos agentes de tratamento e não ao encarregado. O DPO não possui atividades decisórias em relação aos agentes de tratamento, pois cabe a ele orientar, emitir pareceres e aconselhar, mas não decidir. Desta forma, a responsabilidade deve ser do agente de tratamento (controlador ou operador), salvo se o encarregado deixou de agir conforme as boas práticas de suas funções, o que deverá ser comprovado. 

O DPO é muito importante para auxiliar as empresas a manterem políticas e práticas de proteção de dados. Mais do que isso, ele deve garantir que a lei saia do papel para ser vivenciada na prática, gerando a cultura da proteção de dados dentro das empresas e instituições públicas! 

 

REFERÊNCIAS:

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

https://www.migalhas.com.br/depeso/280808/o-data-protection-officer—dpo



Por que os sites pedem para você aceitar a Política de Cookies?

Você sabe o que são cookies? Para quê eles servem? Os cookies são pequenos arquivos de texto, utilizados para armazenar, por um certo período, o que o usuário está fazendo na web. Eles armazenam o histórico de navegação, login e senhas em sites de compras ou redes sociais, podendo até personalizar anúncios e destaques a serem exibidos, conforme suas pesquisas recentes. 

É por causa deles que você pode acessar seu site de compras favorito ou rede social mais usada sem precisar digitar sempre o login, pois o navegador utiliza-se do mecanismo dos cookies. ¹

Você acha que as informações coletadas pelos cookies podem ser consideradas como dados pessoais? 

A LGPD, em seu artigo 5º, inciso I, apresenta como sendo dado pessoal toda “informação relacionada a pessoa natural identificada ou identificável”. Assim, a resposta para essa pergunta é: nem todos os dados que os cookies armazenam são pessoais.

Por exemplo: você acessou um site X pela primeira vez e logo em seguida aparece uma propaganda do mesmo em seu navegador. Isso significa apenas que existiu um registro de cookies na sua web, porém, em seu próximo acesso já não aparecerão mais, não sendo possível identificar seus dados. Mas, diferente seria se você se cadastrasse em um site como Twitter ou Facebook, que precisa de suas informações pessoais para a criação de um perfil, tornando assim você uma pessoa identificada ou identificável. ¹

Assim, entra em cena a LGPD, pois ela regula a forma como seus dados serão usados pelos sites ou como seu site trata os dados dos usuários. Por isso, se sua empresa possui um site, tome muito cuidado: o uso dos cookies precisa ficar muito claro ao usuário, em obediência ao princípio da transparência, expresso na LGPD.

Além disso, é necessário conceder ao usuário a possibilidade de administrar os cookies, isto é, fornecer apenas as informações que desejar. Assim, todas as partes sairão ganhando, pois a empresa evitará multas e ações judiciais, enquanto o usuário manterá seus dados seguros. 

Não quer que ninguém saiba nada de você? Você pode ter uma alternativa: excluir os cookies do navegador. Essa pode ser uma medida útil para quem prefere preservar 100% sua privacidade ao entrar em diferentes sites. A remoção desses cookies pode ser feita ao limpar o histórico de pesquisa e navegação. ²

O Privacidade & Você mostra, mais uma vez, a aplicação da lei na prática e como garantir o direito dos titulares. Como vimos, os cookies poderão ser considerados dados pessoais e, por isso, você deve rever os Termos de Uso do seu site, pois você precisa garantir ao titular de dados o conhecimento das finalidades de uso, para que ele possa concordar ou não em conceder suas informações pessoais. ³

 

REFERÊNCIAS:

  1. https://goadopt.io/blog/cookies-e-lgpd/
  2. https://www.techtudo.com.br/noticias/2018/10/o-que-sao-cookies-entenda-os-dados-que-os-sites-guardam-sobre-voce.ghtml
  3. https://www.comunique-se.com.br/blog/lgpd-os-impactos-dos-cookies/
  4. https://www.bbc.com/portuguese/geral-40730996

 



O setor da educação e a LGPD

O setor da educação e a LGPD

Diante da pandemia instaurada pela Covid-19, foi necessária a adoção de medidas tecnológicas, por parte do setor da educação, como universidades, cursos técnicos, escolas de nível fundamental e médio, a fim de assegurar o acesso dos alunos às aulas, mesmo que de forma online. O que trouxe à tona discussões atuais, como conectividade e segurança de dados, visto que as instituições educacionais também precisam se adequar à LGPD.

Uma pesquisa realizada pela Mastercard, em parceria com Instituto de Pesquisa Datafolha, demonstrou que 41% (quarenta e um por cento) das empresas do setor de educação são alvos fáceis de fraudes e ataques digitais, porém, apenas 29% (vinte e nove por cento) delas possuem uma área de cibersegurança de acordo com os princípios e normas estabelecidos pela LGPD.

O gerente da Mastercard afirmou que “em um mundo que está cada vez mais baseado em dados, se a gente não buscar prevenir, identificar e detectar as fraudes, a gente fica cada vez mais vulnerável” e mais “a educação é um setor que guarda informações importantes, dos próprios funcionários e de todos os alunos, e como você garante a segurança de tudo isso é um grande desafio”.

De acordo com essa pesquisa, a educação é um dos segmentos no mundo que mais acontece sequestro de dados, conhecido como ransomware. Neste tipo de ataque, os criminosos bloqueiam o acesso às informações e cobram caro pelo resgate dos dados roubados. Além disso, o famoso phishing também acontece nas instituições, já que os cibercriminosos podem fazer uso de dados privados para enganar professores e familiares de alunos, realizando ligações com os golpes arquitetados.

Quando foram entrevistados, mais da metade das instituições de ensino acredita que investir em cibersegurança traz maior confiabilidade para o setor e maior credibilidade diante dos clientes, como pais e alunos. Entretanto, 44% (quarenta e quatro por cento) das instituições entrevistadas declararam que, apesar da preocupação com os dados e ataques, a segurança digital não é prioridade no orçamento.

A LGPD também deve ser cumprida pelo setor educacional, a fim de que garantam a proteção de dados aos seus clientes. Assim, a adequação do setor mostra-se inevitável, uma vez que, a partir de agora, deixou de ser uma opção e passou a ser uma obrigação.

A pesquisa realizada cita algumas recomendações que o segmento educacional pode seguir para proteger os dados dos interessados, como fazer avaliações de riscos e fraudes periodicamente, investir em uma área de cibersegurança e prestadores de serviços que são expert no assunto, conscientizar funcionários sobre a importância do tema, além de muito mais.

REFERÊNCIAS:

https://porvir.org/setor-de-educacao-esta-exposto-a-ataques-digitais-mas-investe-pouco-em-ciberseguranca/



A LGPD pode auxiliar no combate aos golpes que utilizam dados pessoais?

A LGPD pode auxiliar no combate aos golpes que utilizam dados pessoais?

No último domingo, 30 de maio, uma reportagem no programa Fantástico da TV Globo, abordou o aumento no número de golpes por cartões de crédito clonados por criminosos.

Um levantamento, feito pela reportagem, revelou que em 2020 foram feitos mais de 862 (oitocentos e sessenta e dois mil) boletins de ocorrência com acusações de cibercrime, como clonagem de cartão, entrega de motoboy com delivery, anúncios falsos de produtos, dentre outros. O aumento foi de 66% (sessenta e seis por cento) em comparação a 2019, algo nunca visto antes.

Baseado nisso, foi estimado que quase 100 (cem) brasileiros são vítimas de estelionato a cada hora e, na maioria das vezes, esses crimes começam com o acesso e utilização ilegal aos dados pessoais dos titulares.

Como as empresas podem atuar e auxiliar aos titulares para diminuir esse preocupante número de golpes? LGPD! Em que pese a LGPD não incidir para atividades de investigação e repressão de infrações penais, as empresas responsáveis por tratar dados pessoais deverão possuir boas práticas de governança e cultura em proteção de dados, visando que os dados pessoais sejam acessados por terceiros não autorizados e com más intenções.

Não é segredo para ninguém que as pessoas, físicas e jurídicas, que tratam dados pessoais, terão que se adequar às normas e princípios da LGPD, visto que a mesma já está em vigor. Contudo, muitos desses estabelecimentos não levam a sério como deveriam, alegando que a prática da LGPD gera gastos “desnecessários” para a empresa, mas os prejuízos causados com multas, sanções, advertências, recuperação de suas imagens e nome podem ser maiores e mais problemáticos do que as próprias adequações à lei.

De forma geral, a LGPD exige que as empresas informem para quais finalidades devem usá-los, tornando a relação entre empresas e usuários mais transparente.

Por isso, a maioria das empresas precisarão revisar grande parte de seus contratos, sistemas e processos, para garantir que os dados pessoais tenham segurança ao serem manipulados e que sejam usados apenas para a finalidade no qual foram solicitados.

Além disso, ao aplicar a lei, é recomendado que as empresas e estabelecimentos contratem profissionais qualificados especificamente para cuidar das informações coletadas e monitorar como elas serão manuseadas.

Se, antes, as boas práticas de tratamento de dados eram recomendadas, agora, passaram a ser exigências.

REFERÊNCIAS:

https://g1.globo.com/fantastico/noticia/2021/05/30/cartao-clonado-motoboy-anuncio-falso-golpes-explodem-durante-a-pandemia-veja-casos.ghtml



Hospital paga indenização a paciente por dados vazados.

Uma falha no sistema de informações obrigou um hospital, em Brasília/DF, a pagar uma indenização por danos morais e materiais a pacientes.

Um dos autores da ação, filho de uma paciente internada no Hospital Réu, recebeu uma ligação de um suposto funcionário do hospital alegando a necessidade da realização de um exame extra na paciente, solicitando a transferência do valor do procedimento.

Mas não havia procedimento algum! O autor da ação, na verdade, foi vítima de um golpe de estelionato e decidiu ajuizar uma ação contra o hospital, pois sentiu-se lesado. O autor alegou que o Hospital permitiu que os dados pessoais de pacientes fossem facilmente acessados, gerando uma falha de segurança, bem como na prestação de serviço.

A juíza do 4º Juizado Especial Cível de Brasília, acolheu as alegações dos autores e entendeu que houve falha na prestação de serviço por quebra de sigilo. O hospital réu sofreu uma condenação de R$2.000,00 (dois mil reais) pelos danos morais e R$3000,00 (três mil reais) pelos prejuízos materiais.

Segundo a magistrada, as informações tanto da paciente, quanto de seu filho, foram conseguidas junto ao Réu, sendo utilizadas para a prática de um crime, revelando grave falha na prestação do serviço do Hospital Réu, que deveria garantir a confidencialidade dessas informações.

Lamentavelmente, tais situações fraudulentas têm ocorrido com certa regularidade, em todos os lugares, como vimos até um hospital teve uma quebra na segurança de dados. Mais uma vez, a LGPD mostra-se fundamental para todos os estabelecimentos, tais como bancos, lojas, indústrias, escritórios e até hospitais. A lei é uma conscientização para toda sociedade em torno da importância dos dados pessoais e seus reflexos nos direitos fundamentais, como a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural.

REFERÊNCIAS:
https://www.tjdft.jus.br/institucional/imprensa/noticias/2021/abril/hospital-e-condenado-por-falha-na-guarda-de-informacao-de-paciente
https://www.conjur.com.br/2019-dez-03/muriel-silva-vazamento-dados-consumidores-gera-dano-moral



adequação-lgpd-lei-dados

O que acontece se a minha empresa não se adequar à LGPD?

E aí, você já se perguntou o que acontece se sua empresa não se adequar à LGPD?
Ela será penalizada!

Isso mesmo! Com a LGPD em vigor, as empresas devem se adequar à lei o quanto antes.

Seguindo os princípios do Regulamento Geral de Proteção de Dados (RGPD), no Brasil, foi criada a Lei nº 13.709 de 14 de agosto de 2018 ou Lei Geral de Proteção de Dados Pessoais (LGPD), que busca controlar a forma com que as empresas coletam e usam os dados pessoais que têm em seu poder. A lei objetiva se adequar à Era Digital, em que os dados são trafegados e comercializados sem o devido consentimento dos titulares das informações, cerceando os princípios da liberdade e privacidade.

Com a vigência LGPD, as organizações são obrigadas a se adaptarem às regulamentações propostas pela Lei.

Atualmente, é evidente a importância dos dados pessoais, pois segundo Lyra “o bem mais precioso das empresas são seus bancos de dados, local de armazenamento dos dados em formato bruto e fonte das informações da empresa”. Ainda há o entendimento de que consideram a informação como a base da vantagem competitiva na atual economia. Contudo, a posse de informações de terceiros pode representar grande ameaça para as organizações e para a privacidade de clientes e funcionários.

Caso a empresa não esteja em consonância com a Lei, as penalidades pelo descumprimento são bem pesadas. Tais penalidades estão dispostas no artigo 52 da Lei Geral de Proteção de Dados.

As penalidades podem envolver multas altíssimas, com potencial de quebrar muitos negócios ou até a proibição total ou parcial de atividades que envolvam tratamento de dados.

De acordo com o artigo 52, inciso II, da LGPD, a empresa pode ser penalizado por “multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração”.

Nesse sentido, há maneiras mais eficazes para manter a empresa dentro da lei, como, por exemplo, políticas associadas às tecnologias da informação (TI). Essa é sem dúvida uma das melhores maneiras de garantir padrões e procedimentos de TI eficazes, que visam proteger os recursos de TI organizacionais e controlar o compartilhamento de informações (Ziraba & Okolo, 2018).

É importante também a implementação da cultura da segurança da informação, ou seja, trata-se de treinamentos contínuos nas organizações, a fim de orientar os funcionários em práticas que mitiguem as ameaças.

De acordo com a LGPD, é necessário que cada empresa tenha um encarregado ou responsável pela proteção de dados.

O que podemos perceber é que os princípios da Segurança da Informação objetivam assegurar a proteção das informações contra acessos não autorizados e manter a disponibilidade, ser íntegra e autêntica em seus devidos fins. E para que isso seja possível, as empresas devem estar comprometidas a se adequarem a estes princípios, para evitar futuras penalidades.

Referências:

1. Lyra, M. R. (2015). Governança da segurança da informação. Brasília, DF: n.d.
2. Ziraba, A., & Okolo, C. (2018). The impact of information technology (IT) policies and strategies to organization’s competitive advantage (1a Ed.). Munich, Germany: GRIN Verlag. Recuperado de https://dl.acm.org/citation.cfm?id=3239838



adequação-lgpd-lei-dados

Você sabe quem tem acesso aos seus dados?

Você realiza compras pela internet? Sabe com quem o fornecedor compartilha seus dados para processar o pagamento, por exemplo?

Com a pandemia, o número de compras on-line teve um aumento significante, mais de 20 milhões de brasileiros realizaram sua primeira compra em 2020. Segundo estudo realizado pela Associação Brasileira de Comércio Eletrônico, as vendas registraram um crescimento de 68%, o que corresponde a mais de 300 milhões de compras efetuadas.¹

Contudo, o número de golpes também aumentou. O “phishing”, por exemplo, é um método de ataque muito utilizado contra os consumidores de compras on-line. O termo vem do inglês fishing e consiste em uma fraude na qual são utilizados textos atrativos que servem como iscas e oferecem vantagens, sorteios ou promoções de lojas conhecidas, mas com ofertas falsas. A real intenção é adquirir os dados pessoais da vítima, clonando cartão de crédito e débito, por exemplo. Esse tipo de golpe acontece pelos mais diversos meios, como, por exemplo, através do envio de mensagens instantâneas, e-mails, redes sociais ou SMS.

Depois dessa breve contextualização, partimos para a questão principal: como seus dados são compartilhados no processo de pagamento de compras online?

Pois bem, os sites de vendas, geralmente, processam pagamentos com operadoras que farão o tratamento dos dados do cartão da seguinte forma²:

1) escolhido o produto ou serviço na loja virtual, o cliente será direcionado para a plataforma de pagamento, oportunidade que irá inserir as informações necessárias para realizar o fechamento da compra;

2) depois de completar as informações, os seus dados serão compartilhados com intermediadores de pagamento, como por exemplo o PagSeguro e Paypal;
3) a partir disso, outras empresas também poderão ter acesso aos seus dados, como Rede e Cielo, que terão a função de repassar ao vendedor o valor da compra;
4) por fim, é realizado um caminho inverso das etapas, voltando até o cliente com a aprovação do pagamento.

E você achava que só sua loja de confiança tinha acesso aos seus dados? Essas operadoras, que recebem os dados dos titulares, ficam proibidas de divulgar ou comercializar essas informações financeiras, além disso, de acordo com o princípio da transparência do art. 6º da LGPD, é fundamental que as lojas virtuais e as operadoras de pagamento deixem claro o porquê desse dado ser utilizado, tudo para garantir a segurança. O descumprimento das regras estabelecidas pela lei poderá gerar penalidades financeiras a estas empresas, com valores que chegam até 50 (cinquenta) milhões de reais por infração.



adequação-lgpd-lei-dados

Governo na Era Digital: sancionada a Lei que regulamenta a prestação digital de serviços públicos.

O Presidente da República sancionou a Lei. 14.129/2021, responsável por regular o chamado “Governo Digital”, que tem por objetivo o aumento da eficiência da administração pública, especialmente por meio da desburocratização, da inovação, da transformação digital e da participação do cidadão, conforme expresso em seu artigo 1º.¹

A partir de agora, será possível a emissão de atestados, certidões e diplomas, por exemplo, em meio digital, desde que assinados eletronicamente. ²

A Lei, portanto, amplia o acesso a esses serviços, principalmente, para a população que vive em áreas rurais e isoladas, beneficiando, também, a população de baixa renda, pois facilita a colheita das informações necessárias e não obriga mais os cidadãos a se deslocarem até os locais de emissão desses documentos.

Essa assinatura digital será disponibilizada junto a uma plataforma única do Governo Digital que poderá ser acessada por celulares ou computadores. Assim, o usuário poderá criar um cadastro com seus dados para posteriormente receber livre acesso aos serviços disponíveis, tornando a emissão de documentos mais simples.

O acesso aos serviços públicos digitais será por meio de CPF, ou seja, um meio de identificar, no banco de dados, o cidadão. E é aí que entra a LGPD, visando proteger os direitos previstos voltados à segurança de dados, pois as plataformas digitais deverão, obrigatoriamente, fornecer informações sobre o tratamento dos dados pessoais coletados aos seus titulares, mantendo sempre a transparência. ³

Mais um passo à era digital foi dado, tornando cada vez mais necessário o uso dos princípios previstos na LGPD, que visa o alcance e a utilização, com segurança, da facilidade que os meios digitais oferecem para a realidade atual na vida de milhões de brasileiros.

REFERÊNCIAS:
1. http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2021/Lei/L14129.htm
2. https://www.portaldaprivacidade.com.br/governo-digital-sancionada-lei-que-regulamenta-a-prestacao-digital-de-servicos-publicos/
3. https://www12.senado.leg.br/noticias/materias/2021/03/30/sancionada-lei-do-governo-digital-que-amplia-servicos-pela-internet
4. https://bxblue.com.br/aprenda/governo-digital/



adequação-lgpd-lei-dados

Os hackers x autenticação de dois fatores

Mais uma vez os hackers fazem a “festa”! A vítima mais recente foi a rede de profissionais LinkedIn. Segundo informações, um grupo de hackers teve acesso a mais de 500 milhões de dados de usuários do LinkedIn e publicou, em um fórum online, um anúncio de venda das informações. Como “prova” da validade das informações, cerca de 2 milhões de registros foram publicados.¹

O porta-voz do Linkedin declarou que a plataforma ainda está investigando o ocorrido, mas que o conjunto de informações parece incluir dados visíveis publicamente que foram retirados da rede e combinados com elementos de outros sites e acrescentou: “A coleta de dados de nossos membros do LinkedIn viola nossos termos de serviço e estamos trabalhando constantemente para proteger nossos membros e seus dados”. ²

Esse episódio ocorreu após o vazamento de dados de usuários do Facebook, há menos de uma semana, colocando o público em estado de alerta. ³

Um dos motivos que causam grande preocupação é o nível de informações que os hackers tiveram acesso, como: nome completo, gênero, endereços de e-mail, número de telefone, formação acadêmica dos usuários e ID dos perfis. Tais informações podem ser utilizadas para aplicar golpes nas vítimas do vazamento.

Outra preocupação é a possibilidade de um ataque massivo de força bruta, que consiste em programar uma máquina para realizar até bilhões de tentativas de senha por segundo até que uma combinação verdadeira dê acesso à conta das vítimas.

A princípio, parece um método ineficaz que oferece pouco risco, porém, os dados vazados podem se tornar parâmetros que diminuam a possibilidade de senhas, dado que muitos usuários utilizam o próprio nome e data de nascimento para formular sua “palavra-passe”.

É neste momento que se observa a importância de se ter uma senha forte para manter a segurança dos dados online. Foi pensando nisso, que determinados aplicativos como Facebook, WhatsApp, Instagram e PayPal, por exemplo, oferecem um recurso chamado de autenticação de dois fatores. 4

Este recurso acrescenta uma camada adicional de segurança no procedimento de acesso mediante login e senha em uma determinada conta. Apesar de não ser uma forma perfeita de segurança, ela reduz drasticamente o risco de que um hacker consiga visualizar os seus dados.

E como funciona?

É enviado um código via SMS para que o titular conclua o login. Assim, posterior ao a criação do usuário/senha, é enviado, na sequência, um código numérico para o telefone celular cadastrado, para que assim se complete o acesso.

Para poder ativar essa função, segue alguns passos simples das principais redes sociais:

  • Facebook: “Vá no Menu; Configurações e Privacidade; Segurança e Login. Depois Usar autenticação de dois fatores e ativar”.
  • WhatsApp: “Vá em Conta; Verificação em duas etapas; ativar.
  • Instagram: “vá no símbolo da ferramenta ao lado de “Editar Perfil” na aba “Conta”- autenticação de dois fatores: ativar.

O que podemos perceber é a luta constante para criar mecanismos de segurança que impeça o ataque dos cibercriminosos, sendo a autenticação de dois fatores uma parcela desse trabalho. Por isso, se há em suas mãos a possibilidade de proteger seus dados através dessa função, recomendamos que a utilize.

Referências:

1. https://epocanegocios.globo.com/Tecnologia/noticia/2021/04/hackers-colocam-venda-dados-de-500-milhoes-de-usuarios-do-linkedin.html
2. https://www.tudocelular.com/seguranca/noticias/n173031/linkedin-hackers-vazamento-dados-usuarios-venda.html
3. https://oglobo.globo.com/economia/facebook-dados-de-meio-bilhao-de-usuarios-sao-vazados-em-site-hacker-24954679
4. https://canalcienciascriminais.com.br/autenticacao-dois-fatores-canais/



A crise da exposição de dados pessoais em Órgãos Públicos

A crise da exposição de dados pessoais em Órgãos Públicos

Cada vez mais, tem se tornado comum notícias que divulgam vazamento de dados pessoais, cujo armazenamento é de responsabilidade de Órgãos Públicos.
Entidades como INSS e Ministério da Saúde foram acusadas, recentemente, de terem exposto informações pessoais de milhares de brasileiros.

Mas como a LGPD atua em relação a estes vazamentos?

Atualmente, os órgãos públicos têm se esforçado para conceder acesso digital a quem os procura, sendo a presença física, muitas vezes, dispensada. O acesso a aplicativos gerenciados pelo governo, por exemplo, são cada vez mais comuns e oferecem diversos serviços, como verificação de faturas, acesso a bancos públicos ou até mesmo requerimentos de aposentadoria, pensão por morte e assinatura de CTPS. Mas você já pensou que tudo isso envolve dados pessoais?

De acordo com o G1, uma falha no sistema de segurança no Ministério da Saúde e INSS acabou expondo dados de 223 milhões de brasileiros, dentre pessoas vivas e falecidas, como número de telefone, CPF, benefícios previdenciários, escolaridade, etc. Esses dados foram expostos online por cibercriminosos com o intuito de comercialização. A Polícia Federal investiga o caso e já prendeu um dos hackers responsáveis, no dia 19 de março de 2021.¹

Além da invasão de privacidade, esses hackers podem aplicar golpes envolvendo os dados roubados, como criação de falsas faturas de cobrança, pedidos de empréstimos, saques bancários e muito mais.

Mas você deve estar se perguntando: o que tem a LGPD a ver com isso tudo? Os Órgãos e Entidades Públicas também estão sujeitos aos mandamentos da LGPD, assim como empresas privadas, porém com algumas diferenças.²

O vazamento desses dados pelo Setor Público gera sanções administrativas mais brandas, se comparadas com as impostas ao Setor Privado. Isto porque, de acordo com o artigo 52, §3º, da LGPD, os entes públicos não podem sofrer sanções pecuniárias, como multas. Contudo, em que pese essa restrição, outras sanções poderão ser aplicadas, como: a) advertência; b) publicização da infração; c) bloqueio dos dados pessoais; e d) eliminação dos dados pessoais, dentre outras.³

A proteção dos dados dos titulares no Setor Público se faz necessária porque, afinal de contas, é ele o responsável pela guarda e controle de milhares dos nossos dados, como informações financeiras, dados de saúde, trabalhistas, educacionais, previdenciários, dentre tantas outras informações importantes na vida dos cidadãos. O Estado nos acompanha desde o nascimento até a morte, conhece quem são nossos familiares, quanto ganhamos, onde moramos, quais nossos bens, enfim, têm acesso a todo referencial da população.

Dessa forma, o setor público deve, urgentemente, investir em padrões de segurança da informação, a fim de evitar a comercialização de dados pessoais para lugares e fins diferentes daqueles aos quais foram direcionados.

REFERÊNCIAS:

  1. https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de- dados-de-223-milhoes-de-brasileiros-o-que-se-sabe-e-o-que-falta-saber.ghtml
  2.  https://www.migalhas.com.br/depeso/300585/lgpd-e-setor-publico–aspectos-gerais-e-desafios
  3. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm



adequação-lgpd-lei-dados

“Qual seu CPF, por favor?”

A cena é comum em qualquer farmácia e drogaria: chegamos ao caixa e o atendente sempre pergunta “qual seu CPF, por favor?”. Geralmente, fornecemos sem grandes problemas. Se você é um pouco mais curioso, ainda questiona o porquê e a resposta padrão sempre vem “para validar a oferta” ou “só consigo liberar a venda com o CPF”.

Mas será realmente essa a finalidade? De olho nessa prática tão corriqueira, o estado de São Paulo, por meio da Lei Estadual n 17.301/2020, proibiu que as farmácias e drogarias de todo o estado peçam o CPF de seus clientes, no ato da compra, para liberar ofertas.

Então, as farmácias estão proibidas de pedir o CPF? Calma! Pode haver esse pedido desde que seja informado ao consumidor para qual finalidade a farmácia está utilizando tais informações. Mas o segredo é: de forma clara! O cliente precisa entender o porque o estabelecimento precisa do seu CPF, seja para abertura de cadastro ou registro de consumo!

O que não pode é vincular o fornecimento do CPF com a liberação de ofertas, deixando de esclarecer a real finalidade: para quê você precisa desse documento? Utilizará para qual fim? Compartilhará com quem? A transparência é um dos princípios da Lei Geral de Proteção de Dados e precisa ser a base da relação fornecedor x cliente.

Mas na prática, qual a consequência para quem desrespeitar a nova legislação? Multa! Caso a sua farmácia insista nessa prática, vocês poderão ser punidos com multa no valor de 200 (duzentas) Unidades Fiscais do Estado de São Paulo – UFESPs, dobrada em caso de reincidência.

E tem mais! Para estarem adequados à nova lei, as farmácias e drogarias precisarão constar dentro de seu estabelecimento placas informativas com os seguintes dizeres: PROIBIDA A EXIGÊNCIA DO CPF NO ATO DA COMPRA QUE CONDICIONA A CONCESSÃO DE DETERMINADAS PROMOÇÕES.

Então, se você mora no estado de São Paulo e tem uma farmácia ou drogaria, fique de olho, pois agora é lei: nada de sair pedindo o CPF dos clientes sem esclarecer as razões ou condicionar o fornecimento deste documento a liberação de ofertas.

Essa é mais uma consequência prática da LGPD! Os órgãos reguladores estão cada vez mais atentos ao uso de dados pessoais nas mais diversas situações práticas do nosso cotidiano. Fique de olho nos seus dados, hein!



adequação-lgpd-lei-dados

O Protagonismo do titular de dados

Com a Lei Geral de Proteção de Dados a todo vapor no Brasil, além de todo o trabalho de governança, mudança cultural e conscientização, devemos dar atenção maior também à um membro desta relação que vem com poder robusto de protagonismo: o titular de dados.

É sabido que o titular de dados passa a ser um membro da relação prevista na Lei, a partir do momento que ele fornece à determinada empresa ou pessoa com fins econômicos, seus dados a fim de obter a compra de um produto ou serviço.

Desde o momento em que se tem a disponibilização de dados identificáveis daquela pessoa física, a relação está sob a luz da LGPD, trazendo assim, para aquela empresa que agora figura como controlador, a necessidade de se adequar conforme diretrizes da Lei.

A própria Lei já conta com uma definição de quem é o titular na LGPD, em seu artigo 5º, inciso V, descrevendo que se trata de pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, ou seja, ele é o dono.

Além disso, a LGPD traz ao titular uma proteção e a autodeterminação informativa nunca antes visto em nenhum diploma legal. Embora tenhamos algumas leis esparsas, como por exemplo, o clássico Código de Defesa do Consumidor, onde se tem a proteção do consumidor hipossuficiente frente à uma empresa fornecedora de produtos ou serviços, a LGPD traz um novo patamar ao titular, não se comparando devido à amplitude e magnitude trazida em seus artigos.

Nota-se, que a Lei por diversas vezes traz a necessidade do acesso facilitado às informações sobre o tratamento de seus dados, a clareza na passagem de informações no atendimento com o titular, devido ao princípio do livre acesso.

Há um capitulo exclusivo apenas para a autodeterminação informativa, intitulado “Dos direitos do Titular”, onde se traz oito incisos, corroborado com mais diversos parágrafos para suplementar esses direitos.

Dentre os direitos descritos na Lei, há a confirmação da existência do tratamento, acesso aos dados tratados, correção e eliminação de dados desnecessários, a portabilidade daqueles dados, a revogação do seu consentimento e informação sobre o compartilhamento daqueles dados.

Não obstante, o titular está em diversas seções, como por exemplo, no artigo Art. 7º, que trata sobre o tratamento de dados pessoais. Ressalto que, este capítulo trata sobre as bases legais do tratamento, ou seja, as “justificativas” da empresa (ou pessoa física que esteja tratado os dados para fins econômicos) para poder tratar aqueles dados.

E mesmo nesse capítulo, que em tese, é direcionado aos controladores dos dados, há espaço garantido para a intervenção do titular. Por exemplo, há menção do consentimento do titular, base legal muito discutida na doutrina, pois se tem uma base legal vulnerável, haja vista a possibilidade do consentimento ser revogado a qualquer momento pelo titular.

Na mesma seção, há também a possibilidade de tratamento com base na execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular ou em casos para a proteção da vida ou da incolumidade física do titular. Veja-se que, o titular aparece em peso novamente, sempre pautando a base legal no maior interesse do titular.

Ainda assim, neste mesmo capítulo, há a referência do titular ponderando seus direitos e liberdades. Isso porque, há a base legal de tratamento do controlador da hipótese de quando for necessário para atender aos interesses legítimos do dele próprio, no entanto, desde que não prevaleça os direitos e liberdades fundamentais do titular.

Fica cristalina a evidencia de que, o titular de dados tem um protagonismo na Lei, de forma com que o controlador deve se preocupar. Isso porque, a qualquer momento o titular de um dos dados que você trata, pode vir até você e te pegar de surpresa, utilizando as garantias dispostas em Lei.

Por isso, ainda que as sanções administrativas entrem em vigência apenas em agosto de 2021, há grande necessidade das empresas se adequarem “pra ontem” seus processos, para conseguir atender à contento uma solicitação de titular, caso aconteça.

Vale lembrar ainda que, o judiciário já vem se posicionando e decidindo, bem como outros órgãos prontos para executar a Lei Geral de Proteção de Dados, uma vez que a Lei prevê a possibilidade da ANPD articular com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados (artigo 55-K, § único).

Mikaelly Bianca de Oliveira
Encarregada de Dados da Unimed de Assis
Bacharela pela Fundação Educacional do Município de Assis – FEMA

 

Pós graduanda em Direito Digital e Compliance – UNIVEM
E-mail: mikaelly.oliveira@unimed-assis.com.br
@mikaellybiancaoliveira
@unimedassisoficial
Linkedin

 



Conceitos e Fundamentos chave da LGPD

Para entendermos os conceitos e fundamentos da LGPD como um todo, precisamos conhecer o artigo 5º, que é um dos seus artigos mais importantes. Então, iremos trazer aqui os principais conceitos e fundamentos para que possamos entender seus significados.

DADO PESSOAL – é a informação relacionada a toda pessoa natural, ou seja, a informação que possa levar a identificação da pessoa, como por exemplo, nome completo, número de CPF, endereço, filiação, etc.

TITULAR – é o indivíduo ou pessoa natural a quem se referem os dados pessoais que estão sendo tratados. O titular tem capacidade de consentir, ou não, com o tratamento de seus dados.

CONSENTIMENTO – é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, ou seja, é a permissão dada pelo titular para que determinados dados pessoais sejam tratados, devendo ser o pedido de forma explícita, clara e transparente pelo operador ou controlador, e se referir a uso específico e limitado.

Em casos em que os dados pessoais se tornarem manifestamente públicos pelo titular, exigir o consentimento deixa de ser obrigatório, mas, nesses casos, os direitos do titular previstos pela LGPD em relação a essas informações permanecem. Os dados coletados sem consentimento podem ser utilizados apenas para os fins específicos determinados no artigo 7º da LGPD.

TRATAMENTO DE DADOS – é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Portanto, podemos entender que tratamento de dados pessoais compreende o ciclo completo de uma ação realizada com um dado pessoal, começando na sua coleta e terminando na exclusão ou na sua anonimização.

Logo mais traremos outros conceitos e fundamentos do artigo 5o da LGDP, acompanhem nossas postagens!



adequação-lgpd-lei-dados

Dados biométricos e LGPD

Caro leitor, você já parou pra pensar que a utilização dos seus dados biométricos, pode lhe gerar alguns riscos?

Vejamos, – Você já foi surpreendido ao fazer a matrícula em uma academia de musculação ou ginástica é o responsável solicitar, além do seus dados pessoais, como RG, CPF, ENDEREÇO, DADOS FINANCEIROS, solicitou também que você cadastre sua biometria? Aposto que sim, e caso não, deve conhecer alguém que passou por uma situação parecida.

Com diversas finalidades, a LGPD foi criada com a intenção de promover melhorias no uso desses dados, garantindo ao usuário que eles serão cuidados com mais atenção.

A lei determina em seu artigo art 5º, II, que dado biométrico é um dado pessoal sensível e junto traz diversos outros dados, sendo eles: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético, quando vinculado a uma pessoa natural; então, quando falamos de privacidade de dados o uso da biometria é repleto de dúvidas e a LGPD vem justamente com a intenção de regulamentar e resguardar o seu uso, pois tem a intenção de penalizar o uso indevido das características biométricas dos indivíduos, diminuindo assim as fraudes praticadas no mercado.

Os dados pessoais sensíveis somente pode ser utilizados, mediante o consentimento do titular ou do seu representante legal (menores de idade), de forma específica e destacada, ou ainda na impossibilidade de o titular fornecer esse consentimento, nas seguintes hipóteses:
● cumprimento de obrigação legal;
● execução de políticas públicas;
● realização de estudos por órgão de pesquisa, garantindo quando possível a ocultação dos dados;
● exercício regular de direitos em processos;
● proteção da vida de terceiro;
● tutela da saúde, exclusivo em procedimento realizado por profissionais de saúde em geral;
● garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação em sistemas eletrônicos;

Sendo assim caro leitor, fique atento ao fornecer seus dados simples ou sensíveis, procure sempre saber a finalidade, o porquê esses dados estão sendo coletados, e se realmente eles são necessários para atingir aquele objetivo e caso você tenha alguma dúvida sobre o tema, nós do blog Privacidade e Você, estaremos sempre trazendo temas atuais e esclarecedores sobre o uso de dados pessoais e a LGPD.

Navegação de Post



adequação-lgpd-lei-dados

O que o PIX e a LGPD têm em comum?

Lançado em novembro de 2020, o PIX é uma inovação bancária que tem como proposta permitir que pagamentos e transferências sejam feitas instantaneamente, 24 (vinte e quatro) horas por dia, durante todos os dias do ano (inclusive finais de semana e feriados).

Com certeza, você já deve ter recebido uma notificação do aplicativo de seu banco solicitando o cadastro das chaves PIX. Como funciona? Estas chaves têm como finalidade diminuir o conjunto de informações que precisamos fornecer ao realizar uma transação bancária. Sendo assim, você precisará cadastrar apenas o número de seu CPF, seu endereço de e-mail ou o número de seu celular.

Mas o que o PIX tem em comum com a LGPD? Podemos dizer que as chaves cadastradas são dados pessoais, pois, a partir delas, é possível identificar o titular da conta bancária. Além disso, a Lei determina em um de seus princípios que, para a segurança de todas as pessoas, devemos sempre compartilhar o mínimo de dados possível e, com o cadastro das chaves PIX, não precisaremos mais compartilhar um grande conjunto de informações (nome completo, CPF, número da agência e da conta bancária) – e sim apenas um dos dados escolhidos por nós mesmos (CPF, e-mail ou número do celular).