Nessa parte
vamos falar sobre Privacidade de dados. Esse conceito, conforme vimos está
fortemente entrelaçado com os anteriores e alguns que seguirão. Privacidade
pode ser definida como o direito à proteção dos seus dados. Seria o aspecto da TI(Tecnologia
da Informação) que trata com a habilidade ou capacidade de uma organização ou
indivíduos de determinar que dados, num sistema computacional, poderão ser
compartilhados por terceiros. Envolve a coleta, armazenamento e disseminação de
dados, a expectativa de seus donos com proteção e privacidade e fecha com
aspectos legais e políticos que envolve.
Um dos mais
emblemáticos assuntos hoje sobre Privacidade dos dados é o GDPR-Regulação Geral
de proteção aos dados, definido pela EU(União Européia) que deverá entrar em
vigor, a partir de Maio de 2018. Aqui , neste mesmo espaço escrevi sobre GDPR,
em 3 partes, depois que assisti várias sessões de discussões sobre o assunto em
seminários internacionais(em 2016 e 2017). No Brasil o assunto continua morno,
embora as empresas brasileiras(dependendo de como atuam naquele mercado-EU),
estejam sim, envolvidas. Nesses links, a seguir você terá maiores detalhes
sobre GDPR, que sintetizarei no contexto deste artigo.
GDPR-General
Data Protection Regulation:
1)GDPR-General
Data Protection Regulation-Visão geral
Lançada em Abril de 2016 e com data para entrar em vigor,
a partir de 25 de Maio de 2018, a resolução foca, de forma muito mais severa,
na proteção de dados para os residentes da Comunidade Europeia. A ideia central
é dar aos cidadãos sob sua proteção, a volta do direito absoluto sobre os seus
próprios dados, além de uniformizar esse tema para a Comunidade da União
Europeia(UE). A Europa, mostra mais uma vez, uma nítida visão de maior
preocupação com os aspectos de privacidade e segurança de dados, bem maior do
que os EUA, onde o tema é visto com certa leniência.
2)Acidentes
de privacidade recentes:
De maneira geral, o número de incidentes de
segurança/privacidade aumentou 38%, de 2014 para 2015. Em julho deste
ano(2016), o Yahoo foi adquirido(seu core business) pela Verizon, por algo em
torno de US$4,8 bi. Durante a negociação, diz a Verizon, que o Yahoo não
revelou o vazamento(breach) ocorrido em 2014 de 500 milhões de contas, assumido
em setembro deste ano, após a concretização da venda. Em Dezembro de 2016, o Yahoo revela e assume mais um
vazamento, desta vez de 1 bilhão de contas, ocorrido em 2013. Talvez o maior
vazamento da história digital. Pronto. Está configurado o embaraço, com mais de
um bilhão de usuários tendo tido expostos seus nomes, telefones, passwords(criptografadas
ou não), perguntas de “check” para confirmação de identidade e email
secundário(aquele para onde serão enviados os procedimentos de “reset” de
password). Uma empresa de cyber-segurança americana, especializada em circular
pelas sarjetas da Dark Web, assegura que 3 cópias dessas informações já foram
vendidas por US$300.000,00 cada. Para finalizar 2017, a Equifax, revela um
“breach” de 143 milhões de contas e na semana passada o Uber notificou um vazamento
de quase 57 milhões de contas, dados pelos os quais o Uber teve que pagar um
resgate para garantir que não seriam vazados. Ledo engano. Não há garantia
nenhuma com relação a isso, a menos da palavra dos hackers..
3)Escopo
do GDPR:
No artigo 3, o GDPR fala sobre o escopo territorial, mas
esse ponto é o mais nebuloso da Regulação:
3.1)Deverão estar sob o GDPR os dados de empresas tanto
controladoras(aquelas que originalmente coletaram os seus dados), quando as
processadoras(aquelas que foram autorizadas/terceirizadas pelas controladoras para
processá-los) com estabelecimento na União Européia(U.E), independentemente se
o processamento ocorre lá.
3.2)Também será aplicado ao processamento de dados de
pessoas que estejam na U.E, por controladores/processadores que não estejam lá,
quando o processamento se referir a produtos e serviços, independentemente se
há pagamento requerido ou se o monitoramento dos seus comportamentos(uso dos
dados) acontece dentro da U.E.
3.3)Essa Regulação também se aplica ao processamento de
dados por um controlador não estabelecido na U.E, mas em um lugar onde as leis
do Estado Membro(qualquer pais da U.E)
se aplicam por motivos de acordos internacionais.
Dúvida:
Um italiano que tenha vindo à BH(trabalha na FIAT), é atendido num Hospital
particular daqui e tenha os seus dados registrados no sistema dessa Rede de
Saúde. O hospital estará sob os controles do GDPR? Estará somente se o tal
Hospital tiver um estabelecimento na U.E? ou independentemente disso? Vale para o cidadão da U.E onde estiver? Essa
dúvida, que coloquei num painel de discussão, em Junho passado, numa
Conferência de dados em San Diego-Ca, continua sem definição clara...
4)Síntese
dos aspectos de privacidade exigidos pelo GDPR:
1-Todas as informações solicitadas por você deverão ser
enviadas em 1 mês, conforme Artigo 12 . Caso contrário uma queixa formal poderá
ser enviada à autoridade constituída;
2-É obrigatória a confirmação de que os seus dados
pessoais estão sendo processados e caso OK, quais categorias de PII(Personal
Indentifiable Information) a empresa
possui acerca dos dados do solicitante;
3-Deverá ser explicitado
o que os Sistemas de Informações tem de dados a seu respeito. Detalhar
se inclui BD, e-mails, documentos, voz ou outra forma de mídia;
4-Em quais países,
os seus dados pessoais estão
armazenados, ou são acessíveis . Em caso de serviços na nuvem dizer em quais
países os servidores estão localizados(onde os dados estão ou estiveram nos
últimos 12 meses);
5-Uma cópia dos dados ou uma forma de acesso a eles pode
ser solicitada, por você, para disponibilização;
6-Informar com detalhes o uso específico que os seus
dados pessoais estão tendo ou terão no contexto dos negócios da empresa;
7-Informar a lista de terceiros com os quais a empresa
tem (ou pode ter) os seus dados compartilhados;
8-Informar as jurisdições que há com relação aos
terceiros, com os quais os seus dados podem ter sido compartilhados.
Especificar locais, a partir dos quais os terceiros poderão armazenar ou
acessar os seus dados pessoais. Informar as bases legais que permitiram a
transferência dos seus dados para essas jurisdições. Informar as salvaguardas
definidas por esses terceiros com relação aos seus dados;
9-Informar por quanto tempo existe o armazenamento dos
dados e, se a retenção é baseada em categoria de dados(PII, por exemplo),
informar por quanto tempo cada categoria é retida;
10-Informar se há outra fonte de coleta de seus dados,
além da do próprio solicitante, conforme o artigo 14 do GDPR;
11-Informar, caso haja decisões automáticas sobre os
dados(*), incluindo “profiling”(baseado ou não no artigo 22 do GDPR), os dados
que servem de base para a realização dessas decisões automáticas, além do
significado e das consequências desse processamento;
(*)Decisões
baseadas em regras de negócios estabelecidas e que podem ser realizadas
automaticamente (Analítics,Machine learning,etc). Informar se os resultados
serão sempre reavaliados a fim de ajustar o “engine” de busca ou inferência(leia-se
os algoritmos);
12-Informar se houve, inadvertidamente, algum
vazamento/acesso aos dados do solicitante, no passado ou como resultado de uma
invasão/quebra de segurança e privacidade. Se ok, informar os detalhes de cada
invasão/quebra(breach), conforme abaixo:
1-Descrição geral;2-Data e hora (estimada) do ocorrido;3-Data
e hora da descoberta;4-A fonte do ocorrido(sua empresa ou terceiros para os
quais os dados foram transferidos);5-Quais dados foram vazados;6-A avaliação de
risco da sua empresa acerca dos
prejuízos do solicitante;7-A descrição das medidas tomadas que serão
aplicadas para prevenir futuros acessos não autorizados aos dados;8-As informações
para contato visando buscar maiores informações sobre o breach;9-As informações
e conselhos sobre o que o solicitante pode fazer para se proteger contra possíveis
prejuízos, incluindo roubo de identidade e fraude;
13-Se não puderem garantir que houve exposição indevida,
através de tecnologia adequada, orientar os passos de mitigação que foram
aplicados: 1-Criptografia dos dados;2-Estratégia de minimização de dados;3-Anomymização
ou pseudoanonymização de dados;4-Qualquer outro meio;
14-Passar informações sobre Políticas e Padrões que foram
seguidos com relação à segurança dos dados, informações como aplicam ISO-27001
para segurança de informações e mais particularmente, suas práticas com relação
aos seguintes pontos abaixo:
a-Informar se houve backup dos dados para fita, disco ou
outra mídia, informar onde estão armazenadas, em que grau de segurança,
incluindo quais passos foram tomados para proteger os dados com relação às
perdas ou roubos e se incluem criptografia;
b-Informar se há tecnologias aplicadas que permita saber,
com razoável certeza, se os dados foram
vazados, incluindo, mas não limitado a : sistemas de detecção de invasão;
tecnologias de firewall; tecnologias de gerência de identificação e acesso;
ferramentas de segurança e auditoria de BD; ferramentas de análise
comportamental, análise de logs e de auditoria;
15-Com relação aos empregados e contratados informar
quais tecnologias ou procedimentos garantem que os dados não serão levados para
fora ou vazados da organização, via email, webmail, whatsup,etc;
16-Informar se houve alguma circunstância na qual
empregados ou contratados foram demitidos ou acusados de acessos indevidos a
dados pessoais;
17-Informar quais treinamentos e medidas de
conscientização foram tomadas a fim de garantir que os empregados e terceiros
acessem e processem os dados em conformidade com o GDPR.
Conclusão:
1-É claro que, pelas exigências colocadas, há um claro
viés de se criar uma espessa nuvem de preocupação
nas empresas responsáveis ou terceirizadas que mexem com os seus dados. Muito provavelmente, pelo excesso de itens da
regulação haverá uma dificuldade na materialização das inspeções. Mas nunca
esqueçamos que estamos falando da EU-União Europeia e não do Brasil, onde uma
regulação dessa talvez nascesse morta;
2-Entretanto, isso mostra que a privacidade talvez seja o
elemento, dentro do espectro ético dos
dados, que mais preocupação tenha trazido à sociedade digital. A coleta de
dados é fácil de ser feita e normalmente inofensiva, mas o uso e a (falta de) a
proteção e controle podem ser desastrosos. A premissa de que os dados na
internet são para sempre é assustadora, conforme aponta Schonberger no seu
livro-Delete-A virtude do esquecimento na era digital. Parte disso se
deve ao próprio usuário, que se expõe e “se esquece de esquecer” os seus
dados(delete). Parte disso se deve ao “business” de algumas empresas que, por
leis ainda frágeis e discutíveis, podem usar os seus dados(exemplo Mugshots). Parte
disso, se deve também ao senso de reciprocidade com os grandes players do mundo
digital(FB, Google, Linkedin,etc) que oferecem aplicativos grátis(?). Parte
disso, finalmente deve-se ao aos desafios dos hackers que mostram
recorrentemente a vulnerabilidade dos mecanismos de proteção dos dados. Isso
também é mostrado pela preocupação extrema do GDPR, com exigências rigorosas e
multas astronômicas. O vazamento de bilhões de dados, citados nessa parte,
evidencia o potencial de danos para os aspectos éticos e de segurança. Só para
citar um exemplo de embaraço: Em 2015, houve o vazamento de 32 milhões de
contas de um site de encontros (furtivos) de casais (Ashley Madison). Imagine a aflição das
pessoas que estavam lá, sem o conhecimento do parceiro(a), para definir
justificativas apressadas de homonímia...
Referências:
1- Abelson, H. , Ledeen K., Lewis,H. Blown
to bits-Your life, liberty and happiness after the
Digital Explosion.Addison-Wesley.2008
2- Bell,G. Gemmel, J. Total Recall-How
the e-memory Revolution will change everything.
Dutton.2009
3-Building a European Area of Justice. Disponível em
4-EU-General Data Protection Regulation (GDPR)-An
implementation and Compliance Guide-IT Governance Privacy Team, Amazon.com
5-EU General
Data Protection Regulation (EU-GDPR). Disponível em:
7-REGULATION
OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL. Disponível em:
8-Schonberger, VM. Delete-The virtue of
forgetting in the digital age.Princeton University
Press.2009
9-The Nightmare Letter: A subject Access Request under
GDPR
Constatine Karbaliotis-VP Privacy Office Solutions at Nymity
Publicado no Linkedin-9/março/2017, acessado no dia 9/3/17