GDPR e suas implicações

Olá e obrigado por sua visita! Daqui a exatamente um mês, ou seja, no dia 25/05/2018, entrará em vigor a regulamentação mais polêmica, discutida e rigorosa dos últimos tempos, a GDPR (General Data Protection Regulation), ou Regulamentação Geral de Proteção dos Dados, criada pela União Europeia.

 

Introdução

Privacidade não é uma tema novo e nem sairá dos holofotes da imprensa num futuro breve. É algo que diz respeito a todos os indivíduos e companhias ao redor do globo. O caso recente envolvendo o Facebook, onde os dados de 87 milhões de pessoas foram compartilhados com a empresa Cambridge Analytica, acendeu a luz vermelha da preocupação mundial em torno disto. Foi um diretor executivo da própria empresa que publicou a quantidade. O escândalo foi de tal tamanho, que o fundador e CEO, Mark Zuckerberg precisou se desculpar no congresso norte-americano. Como isto envolveu pessoas das mais diversas partes do mundo, incluindo 443 mil brasileiros, é evidente que alguma ação superior precisava ser tomada.

Com mais de 500 milhões de cidadãos morando no velho mundo (é um outro termo associado à Europa), ou mesmo espalhados ao redor mundo, o conjunto de políticas afeta qualquer empresa ou indivíduo que armazene dados pessoais dos referidos cidadãos.

Recentemente, uma notícia divulgada a respeito das câmeras do metrô de São Paulo levantou uma forte discussão a respeito do tema. Segundo informado, a concessionária ViaQuatro estaria coletando e processando imagens dos clientes com intuito de realizar reconhecimento facial para, junto com o cruzamento em bases de dados, auxiliar na identificação do comportamento do usuário. Afinal, por que os usuários/clientes não foram informados? Que bases de dados são usadas para tais cruzamentos? Para quais outros propósitos além de “identificar o comportamento” as imagens serão empregadas? Pelo jeito, ainda há muito o que se discutir…

Neste post, faço uma introdução à GDPR, levanto pontos fundamentais estabelecidos no texto original e comento como isso pode afetar qualquer pessoa no planeta.

 

Breve histórico

Vivemos num mundo tendo os dados como centro. A importância que este tópico tem não só para a Tecnologia da Informação, mas para a humanidade como um todo cresce em patamares vertiginosos. Uma imagem,  atualizada a cada ano, mostra de maneira brilhante a quantidade massiva de dados que são gerados a cada segundo na Internet:

Internet em 60 segundos – crédito: GoGlobe

Portanto, como proteger dados que trafegam e/ou são armazenados nos mais diversos provedores de serviço? Quais os direitos das pessoas em relação a esses dados? Como elas podem ter certeza de suas privacidades serão preservadas? Para responder a estas e a muitas outras perguntas, surgiu a GDPR.

A GDPR não é a primeira tentativa europeia de qualificar e proteger os dados de seus nativos. Em meados dos anos 1990, a European Union Data Protective Directive teve o mesmo objetivo. No entanto, deixou algumas brechas com relação à forma como os dados deveriam ser preservados e de que maneiras poderiam ser considerados pessoais.

Assim, em janeiro de 2012, foi dado início ao processo de negociações entre os diversos países-membro do bloco. Entre várias determinações, ficou estabelecido o prazo de aproximadamente seis anos para que todos os pontos pudessem ser discutidos, e para que as diversas companhias afetadas pelo texto tivessem condições de se estruturarem no intuito de atender aos requisitos impostos.

 

Princípios Básicos

O fato mais importante que a GDPR traz é a propriedade do dado. Ele é da própria pessoa, e não da empresa que o mantém. Isso pode parecer óbvio, mas sem um instrumento regulatório para embasar tal entendimento, o conceito fica completamente abstrato. Portanto, as empresas que coletam, armazenam, compartilham ou mesmo vendem dados pessoais de cidadão europeus (morando ou não na Europa) são apenas e tão somente guardiãs dos mesmos. Ou seja, as empresas apenas têm a custódia, e não a propriedade, dos dados.Segundo a nomenclatura usada pela GDPR, as pessoas se chamam data subjects.

Dentre os diversos tópicos endereçados pela GDPR, alguns são considerados mais importantes ou fundamentais. São eles:

  • Consentimento:  o indivíduo precisa consentir explicitamente em fornecer permissão à empresa para coletar seus dados pessoais. Além disso, ele deve expressamente aceitar ou não participação em newsletters, grupos para enquetes ou assuntos afins;
  • Necessidade:  as empresas devem coletar apenas os dados necessários para a execução de seus serviços (ou vendas de seus produtos). E isto precisa ficar bastante claro ao usuário. Alegar que o dado pode ser útil no futuro não é aceita como uma justificativa plausível;
  • Transparência:  o usuário deve saber exatamente que dados estão sendo coletados e por quais razões. As explicações precisam ser dadas em linguagem acessível para pessoas de qualquer nível cultural;
  • Direito ao Esquecimento: este tema é extremamente atual e pertinente. Em Inglês, o termo equivalente é “opt-out”. Significa que o usuário é soberano quanto à decisão de manter os dados na empresa que os coletou. Pode exigir que sejam apagados ou mesmo transferidos para outra empresa;
  • Vazamento:  numa eventualidade assim, a empresa tem até 72 horas para comunicar publicamente o ocorrido. É preciso, ainda, detalhar de forma exata quais dados vazaram.

 

Princípios Complementares

Só os 5 pontos citados na seção anterior já são suficientes para demandar esforços de conformidade dos mais variados tamanhos nas empresas. No entanto, não são os únicos. Abaixo, você pode conferir mais alguns princípios obrigatórios. A empresa com custódia dos dados deve ser capaz de:

  • Facilitar os direitos das pessoas em relação aos dados, como: acesso, correção, objeção, deleção, e portabilidade;
  • Implementar controles de proteção por design, segundos os quais sejam respeitadas a legalidade, justiça e transparência;
  • Limitar os propósitos de processamento e armazenamento dos dados;
  • Minimizar os dados, ou seja, executar pseudonimização (explicação adiante);
  • Zelar pela exatidão dos dados;
  • Armazená-los apenas durante o período necessário, prezado pela integridade e confidencialidade dos mesmos;
  • Ser capaz de realizar auditorias sempre que necessário.

pseudonimização corresponde ao processo de substituir dados originais por outros através de chaves. Os dados alterados continuam válidos para os processos internos da empresa, mas não devem ser facilmente atreláveis aos seus proprietários, sem que se execute o processo reverso, conduzido por pessoas que tenham as permissões certas para fazê-lo.

Um outro fator importante é a obrigatoriedade da figura de um DPO ou CPO (Data/Chief Protection Officer). Este profissional será o responsável pela salvaguarda dos dados. Os controles implementados ou gerenciados por tal executivo devem garantir: acesso, deleção, mascaramento, arquivamento e pseudonimização.

O mascaramento dos dados nada mais é que um controle de proteção. Ele pode ser de dois tipos:

  • Dinâmico:  quando são colocadas barreiras para que pessoas não autorizadas a acessarem os dados não o façam;
  • Persistente:  equivalente à pseudonimização.

 

Mais implicações

Um fator do qual algumas empresas talvez não estejam se dando conta são os contratos de prestação de serviços. Se a sua empresa possui algum contrato deste tipo com um cidadão europeu, é possível que diversos dados do mesmo se encontrem no departamento financeiro, ou mesmo nos recursos humanos. Assim, faz-se necessário vasculhar estas áreas, pois a GDPR atua aqui também.

Dentre os diversos pormenores da regulamentação, durante o processo de busca e classificação dos dados de usuários, é importante atentar para um questão: clientes com nomes iguais e que se encontram em sistemas ou bases de dados separadas dizem respeito à mesma pessoa física? Caso a resposta seja “sim”, é preciso executar uma operação conhecida como “merge” (união) desses dados. Assim, sua empresa terá o controle sobre todos eles. Caso a resposta seja “não”, sua empresa precisará dispor (caso ainda não tenha) de outros atributos que possam individualizar (ou identificar de forma única) as pessoas com mesmo nome.

Quando implementando recursos para atender aos diversos requisitos da GDPR, sua empresa deve seguir o plano de ação 5W1H. Isto corresponde a 6 palavras em Inglês que ajudam a abordar qualquer conceito:  What, Who, Where, When, Why, How (O que, quem, onde, quando, por que, como). Pode parecer chato ou complexo, mas será um excelente aliado.

E se qualquer princípio da GDPR for infringido, o que acontece com a empresa? Além do fato poder gerar exposição na imprensa, a regulamentação prevê multa correspondente a 4% do faturamento anual da companhia, ou 20 milhões de euros, o que for maior.

 

E o Brasil? O que tem sobre isto?

O Marco Civil da Internet (ou Lei no. 12.965) é a legislação brasileira mais relevante no que tange à rede mundial de computadores. Em seu capítulo III,  seção II, há 8 artigos (do 10 ao 17) que abordam o tema “Proteção aos Registros, Dados Pessoais e Comunicações Privadas”.

Observe que, apesar de não ser um texto tão evoluído quanto a GDPR, a lei aborda sobre prazos para  armazenamento, e fornecimento de dados a instituições públicas, ou mesmo privadas, desde que sejam feitas por meios judiciais.

O artigo 11 fala sobre “privacidade de dados”.  No entanto, isto fica restrito a provedores de conexão e provedores de conteúdo. De uma forma geral, tem muito mais a ver com o acesso do usuário a determinados endereços na Internet (ou a origem deste acesso) do que com os dados do próprio usuário. Ainda há que se amadurecer bastante nesta seara.

No entanto, motivado pelo episódio com o Facebook, o governo brasileiro discute projetos de lei que tiram do mesmo a responsabilidade sobre os dados de usuários. Esta responsabilidade ficaria, portanto, a cargo das empresas que lidam com os usuários, sendo algo mais aderente ao que prega a GDPR.

 

Para saber mais

Dentre os vários sites, artigos e referências que existem na Internet a respeito do tema, elenquei estes para expandir seu conhecimento:

  • Delete Me:  este livro é de 2008. Portanto, não se trata do escândalo recente envolvendo a empresa. No entanto, ele aborda a questão de compartilhamento dos dados pessoais com o Facebook, sobre como a empresa os trata e o que o governo norte-americano tem de relação com tudo isso. Em outras palavras, aborda o direito ao esquecimento;
  • Wild West 2.0: este livro lida com uma questão muito sensível nos dias atuais: a reputação online. Apesar de ser de 2010, traz diversas argumentações e fatores que devem ser levados em conta quando expondo suas opiniões (ou dados) na Internet. Muito do que é discutido é perfeitamente aplicável ao contermporâneo;
  • Site Oficial da GDPR: aqui, você encontrará uma FAQ (perguntas mais frequentes), mudanças nos tópicos, uma linha do tempo e outros recursos importantes sobre a regulamentação;
  • Texto Original  este link possui o texto completo da GDPR. É importante atentar que ele ainda se encontra em alteração. Portanto, visite com frequência para se atualizar;
  • Guia da GDPR: este site explica diversos conceitos e passagens do texto original da regulamentação de uma maneira mais acessível ao público em geral. No entanto, está em Inglês…

E por enquanto é isto. Tem alguma coisa a contribuir, comentar, fique à vontade para usar o espaço aqui no blog. Até o próximo post! 😉

FONTE: http://itharley.com/

 

MBA em Gerenciamento de Projetos de TI, Engenheiro Eletricista pela Universidade Federal do Ceará, Tecnólogo em Telemática pela Faculdade Estácio. Detentor de duplo CCIE (Routing & Switching, Service Provider), CISSP (Certificação de Segurança vendor-neutral) e várias outras. Mais de 20 anos de experiência em TI, especialmente nas áreas de Redes de Computadores, Segurança da Informação e Data Center. Participou, em todo o território nacional, de inúmeros projetos de suporte a infra-estruturas complexas, ambientes de missão crítica, implementação de novas funcionalidades, resolução de problemas ou redução de custos. Contribuiu, por duas vezes, na elaboração do currículo para o curso de Técnico de Telecomunicações do SENAI. Ex-membro do Cisco Data Center Tiger Team, equipe de elite em tecnologias de Data Center da Cisco. Publicou artigo na revista PenTest Magazine sobre análise forense de memória com Python.

Deixe seu Comentário