A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 e estabelece regras claras para o uso, proteção e privacidade de dados pessoais. A LGPD é aplicável a todas as empresas e organizações que coletam, processam ou armazenam dados pessoais no Brasil, independentemente de sua nacionalidade ou porte.
Um dos principais objetivos da LGPD é proteger a privacidade e a segurança dos dados pessoais dos indivíduos. Para isso, a lei estabelece que as empresas implementem medidas de segurança adequadas para proteger os dados pessoais contra acesso não autorizado, vazamento, perda ou destruição, sendo a anonimização de dados, que impossibilita a associação, direta ou indireta, a um indivíduo, um dos mecanismos mencionados pela regulamentação.
Além disso, a lei exige que as empresas informem aos titulares de dados suas técnicas de anonimização utilizadas e os resultados obtidos a partir do tratamento dos dados.
Principais técnicas de anonimização de dados
Existem diversas técnicas de anonimização de dados que podem ser utilizadas para proteger a privacidade dos titulares de dados pessoais. Entre as técnicas mais utilizadas, estão o mascaramento, a criptografia e a tokenização.
No mascaramento, os dados pessoais são substituídos por dados fictícios, que ainda assim preservam características gerais dos dados originais, como a forma ou o tamanho. Por exemplo, pode-se trocar os dois últimos dígitos de um número de identificação pelo número 00, ou adicionar um valor aleatório a um dado numérico. Essa técnica visa preservar o padrão geral dos dados, enquanto reduz a possibilidade de identificação do titular do dado.
Já na criptografia, os dados pessoais são transformados em um código indecifrável. Essa técnica é amplamente utilizada para proteger dados em trânsito ou armazenados, assegurando a confidencialidade dos dados. Esta técnica também pode ser utilizada em conjunto com outras técnicas para garantir a proteção dos dados pessoais.
Na tokenização, os dados pessoais são substituídos por um token que não pode ser revertido para os dados originais sem uma chave de descriptografia. Dessa forma, a informação original é substituída por uma sequência de caracteres, que pode ser aleatória ou gerada por meio de um algoritmo criptográfico, e que não permite a identificação do titular dos dados. Esta técnica é a mais eficaz na proteção de dados e prevenção a tratamento indevidos de informações pessoais.
Simplificando a tokenização de dados
Para entender melhor como funciona a tokenização de dados, podemos fazer uma analogia com um cofre. Imagine que você tem um objeto de valor que deseja proteger, como um cartão de crédito, por exemplo. Para isso, você coloca esse cartão de crédito em um cofre e o tranca com uma chave. Dessa forma, apenas você, que possui a chave, pode acessar o cartão.
Agora, imagine que, em vez de guardar o cartão diretamente no cofre, você o coloca em uma caixa e guarda essa caixa no cofre. Em seguida, você tranca a caixa com uma chave diferente da chave do cofre e, em vez de guardar essa chave no cofre, você a guarda em outro local seguro. Quando você precisa acessar o cartão, você abre o cofre, pega a caixa, abre a caixa com a chave que está em outro local seguro e, finalmente, tem acesso ao cartão.
Essa é basicamente a ideia por trás da tokenização de dados. Os dados pessoais são colocados em uma “caixa” (o token) que é guardada em um ambiente seguro (o sistema de tokenização). Quando esses dados precisam ser utilizados para realizar operações ou transações, o sistema de tokenização disponibiliza o token correspondente, que é usado para acessar os dados, sem que eles sejam expostos. Dessa forma, a segurança dos dados é garantida, uma vez que, mesmo que o token seja roubado ou acessado por um terceiro, ele não poderá ser usado para acessar os dados reais.
Veja abaixo as vantagens da tokenização de dados em relação a outras técnicas de anonimização:
Comparativo
Mascaramento de Dados
Criptografia de Dados
Tokenização de Dados
Técnica utilizada
Ocultação ou ofuscação
Embaralhamento
Substituição por token
Objetivo
Proteção da privacidade e segurança de informações pessoais sensíveis
Proteção da confidencialidade de dados sensíveis
Proteção da privacidade e segurança de informações pessoais sensíveis
Nível de segurança
Baixo a moderado
Moderado a alto
Alto
Dados originais
Podem ser recuperados com um esforço significativo
Podem ser decodificados com uma chave de criptografia
Difíceis de recuperar ou decodificar
Facilidade de uso
Fácil de implementar e gerenciar
Complexo de implementar e gerenciar
Fácil de implementar e gerenciar
Flexibilidade
Pouco flexível, os dados originais não podem ser recuperados facilmente
Pode ser mais flexível, dependendo do algoritmo de criptografia usado
Flexível, pois os dados originais podem ser facilmente recuperados quando necessário
Aplicações comuns
Ambientes de teste ou desenvolvimento, uso interno
Transações financeiras, armazenamento de dados em nuvem, comunicações seguras
Transações de cartão de crédito, armazenamento de dados em nuvem, uso interno
O hub de tecnologia da Protiviti com com uma solução global completa para tokenização de dados. A Thales é uma empresa líder em segurança digital e oferece diversas soluções de proteção de dados, incluindo a tokenização de dados.
A solução da Thales permite que dados pessoais sejam substituídos por tokens irrevogáveis, assegurando a privacidade e a segurança dos titulares dos dados, permitindo que as empresas atendam LGPD e centralizem a gestão de anonimização, sem perder a eficiência na utilização dos dados.
Conte com a expertise da Protiviti e da Thales para assegurar a proteção de dados pessoais, o redução de riscos do tratamento indevido de dados de pessoas e atender adequadamente a LGPD.
Relembrando, em setembro de 2020, entrou em vigor a Lei 13.709/18, também conhecida como Lei de Geral de Proteção de Dados ou LGPD, estabelecendo que as pessoas passaram a ter direito sobre dados que as identificam. Com isso, as empresas estão obrigadas a atender aos princípios definidos em seu artigo 6º, tais como finalidade, necessidade e prevenção, bem como coleta e tratamento de dados apenas quando tiverem um propósito ou finalidade legítimos. Caso contrário, ficam passíveis não apenas a sanções definidas no artigo 52º da LGPD, mas também a danos à imagem e às ações judiciais por eventuais danos causados aos titulares de dados. Como ficam os dados essenciais, nesse cenário?
Essa nova realidade traz desafios crescentes ao ambiente empresarial no que tange à governança de dados e conformidade às normas, visto que, de acordo com o site IT Chronicles, no artigo “Who is using big data business?”, 26% das empresas que sedimentaram a cultura de data-driven produzem aproximadamente, em média, 2.000.000.000.000.000.000 bytes, ou seja, 2 quintrilhões de dados todo os dias. Um número bastante representativo se considerarmos que deste total encontram-se dados de pessoas físicas ou que eventualmente possam identificar um indivíduo.
Apesar do volume de dados crescer diariamente, demonstrando aparente descontrole sobre como tais informações são tratadas e processadas, um método adaptado do conceito de minimalismo pode ajudar as organizações no controle deste crescente a partir da definição de três conceitos de dados listados abaixo.
correspondem às informações que são necessárias para assegurar que a finalidade de tratamento seja atingida. Tais dados devem obrigatoriamente estar em conformidade aos princípios estabelecidos nos incisos I, II e II do artigo 6º da LGPD.
diz respeito às informações que melhoram a experiência no trabalho, aumentando a eficiência das atividades. Estes dados também precisam atender aos princípios estabelecidos nos incisos I, II e II do artigo 6º da LGPD, porém, visto que não são essenciais à finalidade de tratamento, podem vir a exigir o consentimento do titular do dado para a atividade em questão.
são dados e informações coletadas e armazenadas sem um objetivo, finalidade ou propósito. Neste caso, são tipicamente dados que já foram essenciais em algum dia, pois tinham uma finalidade que já foi atingida, ou que foram coletados sem objetivo.
Baseado nos conceitos apresentados acima, bem como nas hipóteses legais estabelecidas no artigo 7º e 11º da LGPD, diversos tipos de informações que atualmente são armazenadas na organização sem finalidade poderiam ser imediatamente eliminadas.
Para exemplificar estes conceitos, suponha que uma grande empresa que realiza um processo de seleção por dia, em seus 252 dias úteis no ano, receba em média 50 currículos de candidatos por vaga, ou seja, dados essenciais para o processo de seleção, e tenha a prática de armazenar estes documentos por um prazo médio de cinco anos. Ao final deste período, a empresa teria armazenado 63 mil currículos de candidatos.
Caso a empresa seguisse a boa prática de eliminar os currículos recebidos após a conclusão do processo de seleção para tal vaga, ou seja, dados descartáveis, reduziria a praticamente zero os dados de candidatos sem uma finalidade. Tal método, além de atender à LGPD, minimizaria o impacto em um caso de vazamento de base de dados.
Além disso, um dos dilemas que as organizações têm enfrentado é se devem ou não utilizar dados “não essenciais” em suas atividades de processamento. Essa prática não exime a empresa de coletar o consentimento do titular, o que pode encarecer os custos de gestão e aumentar a complexidade de operacionalização de determinado processo.
Portanto, a prática de descartar ou apenas não armazenar dados sem finalidade traz diversos benefícios para as empresas, tornando-as mais leves e ágeis e menos burocráticas. O tratamento do essencial não apenas demonstra conformidade com a Lei, mas também respeito aos titulares de dados.
*André Cilurzo é diretor de soluções de Data Privacy e atendimento à LGPD da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
O arquivamento (record keeping) e a eliminação de dados ganharam os holofotes a partir da publicação da Lei Geral de Proteção de Dados (LGPD), que, em seu artigo 16, determina que os dados pessoais deverão ser eliminados ao final do seu tratamento, com algumas exceções, conforme previsto. Diante deste contexto, é necessário ampliar a discussão sobre a importância da adequada retenção de dados e sobre o risco de vazamento de dados, problema que se expande para qualquer tipo de dado, não apenas os pessoais.
A evolução das tecnologias de armazenamento de dados corroborou para que a preocupação com a eliminação de dados fosse colocada de lado, permitindo que muitas empresas e seus usuários mantivessem os dados ad aeternum, mesmo que não houvesse tal necessidade.
Assim, em muitos casos, ao avaliar o histórico de vazamentos de dados ocorridos, é possível verificar a existência de dados armazenados pelas empresas há mais de 20 anos. Mas será que o armazenamento de dados por tanto tempo é benéfico para a organização?
Vamos analisar. A eliminação de dados que não possuem mais utilidade para a empresa resulta em economia de infraestrutura, possibilitando o foco da eficiência orçamentária na melhoria da segurança da informação e no que realmente é necessário se armazenar. Além disso, ao reduzir a quantidade de informações guardadas, contribui-se para a mitigação de riscos de incidentes de dados.
Porém, tal eliminação precisa partir de um processo bem estruturado, que leve em consideração todas as variáveis que envolvem a necessidade de salvaguarda de uma informação. Afinal, a eliminação precoce do dado também pode trazer prejuízos à organização.
É dentro desse contexto que se evidencia a importância da prática de Record Keeping ou retenção de dados, que corresponde justamente ao gerenciamento do armazenamento de registros de forma segura e em compliance com a legislação.
Além dos benefícios já citados, o Record Keeping também contribui para: proteger os interesses de clientes, colaboradores e outras partes interessadas; conduzir os negócios de forma eficaz e eficiente; apoiar decisões; fornecer evidências de ações e decisões; apoiar a responsabilidade e transparência e manter a privacidade e confidencialidade.
Por fim, percebe-se que Record Keeping não é um assunto apenas da área de TI ou da área de negócios, mas uma temática que precisa ser desenvolvida em conjunto, visto que a responsabilidade é compartilhada por todas as áreas de uma organização. Ademais, os efeitos da aplicação adequada da retenção de dados repercutem na empresa como um todo, devendo ser matéria de conhecimento de todos seus membros.
*Alexandre Tamura é gerente sênior e Aline Silva Noleto é consultura. Ambos atuam na área de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
As soluções DLP – ou Data Loss Prevention – impedem que informações sensíveis ou confidenciais sejam compartilhadas ou vazadas fora da organização. Com elas, é possível monitorar e analisar os dados à medida que são transmitidos ou compartilhados, assim detectando e bloqueando quaisquer dados confidenciais que estejam sendo transmitidos sem autorização.
Os sistemas DLP podem ser implementados de várias maneiras, inclusive por meio de dispositivos de hardware, aplicativos de software ou como um serviço em nuvem. Ou seja, com eles é possível monitorar e proteger dados em vários formatos diferentes, incluindo e-mail, transferências de arquivos, tráfego da Web e mais.
Com o DLP, aumenta a proteção contra violações de dados, acesso não autorizado a informações confidenciais e para cumprir regulamentos e padrões do setor. Por isso, é uma ferramenta importante para ajudar as organizações a proteger seus dados e manter a confidencialidade e integridade das informações.
Entre os vários tipos de prevenção contra perda de dados (DLP) que as organizações podem usar para proteger suas informações sigilosas e confidenciais, destacam-se:
DLP de rede: o DLP de rede monitora o tráfego de rede e o analisa em busca de dados confidenciais. Com isso, ele pode bloquear a transmissão de dados pela rede ou alertar os administradores se dados confidenciais forem detectados.
Endpoint DLP: O Endpoint DLP é instalado em computadores ou dispositivos individuais e monitora os dados à medida que são acessados, transmitidos ou compartilhados. Dessa forma ele pode impedir que dados confidenciais sejam copiados ou compartilhados sem autorização.
Cloud DLP: Cloud DLP é um serviço baseado em nuvem que monitora os dados à medida que são transmitidos de ou para uma plataforma de nuvem, pois pode impedir que dados confidenciais sejam compartilhados ou vazados fora da organização.
Além desses três principais, também existem outros tipos especializados de Data Loss Protection projetados para dados ou ambientes específicos. Um exemplo é o DLP móvel, projetado para proteger dados em dispositivos móveis. Também existe o DLP com reconhecimento de conteúdo, projetado para proteger especificamente contra o compartilhamento acidental ou intencional de conteúdo.
Perda de Dados Internos
A perda de dados internos refere-se ao acesso não autorizado ou compartilhamento de informações sensíveis ou confidenciais dentro de uma organização. Isso pode ocorrer quando um funcionário ou outro membro interno da organização acessa ou compartilha dados confidenciais sem a devida autorização. Além disso, violações de segurança interna ou outros problemas também podem ser a causa das perdas. Problemas técnicos, como senhas fracas, dispositivos inseguros ou práticas de segurança inadequadas, também levam a vazamentos e riscos.
Isso pode ter sérias consequências para as organizações, incluindo perdas financeiras, danos à reputação e possíveis penalidades legais. Por isso, é importante que as organizações tenham fortes controles internos para evitar a perda de dados internos e proteger suas informações confidenciais. Isso pode incluir medidas como treinamento sobre políticas de manipulação de dados, implementação de políticas de senha forte e uso de tecnologias como prevenção contra perda de dados (DLP) para monitorar e proteger dados.
Etapas para implementar o DLP em sua empresa
Algumas etapas para implementar um sistema de prevenção contra perda de dados (DLP) são:
Identifique e classifique dados confidenciais: a primeira etapa na implementação do DLP é identificar e classificar os dados confidenciais que precisam ser protegidos. Isso pode incluir dados financeiros, informações pessoais, propriedade intelectual e outros tipos de informações confidenciais. É importante entender onde esses dados estão localizados, como estão sendo usados e quem tem acesso a eles.
Determine o escopo da implementação do DLP: a próxima etapa é determinar o escopo da implementação do DLP. Isso inclui decidir quais sistemas, redes e armazenamentos de dados precisam ser cobertos pelo sistema DLP, bem como quais tipos de dados precisam ser monitorados e protegidos.
Escolha uma solução DLP: existem muitas soluções diferentes disponíveis, incluindo dispositivos de hardware, aplicativos de software e serviços baseados em nuvem. É importante escolher uma solução adequada às necessidades e ao orçamento da organização.
Configure o sistema DLP: uma vez escolhida uma solução, ela precisa ser configurada para atender às necessidades específicas da organização. Isso pode incluir a configuração de políticas e regras para monitorar e bloquear dados, bem como configurar alertas e notificações para quando dados confidenciais forem detectados.
Teste e ajuste o sistema DLP: antes de implantar o sistema em toda a organização, é importante testá-lo e ajustá-lo para garantir que esteja funcionando corretamente e protegendo dados confidenciais com eficiência. Isso pode envolver a execução de testes-piloto, o monitoramento do desempenho do sistema e a realização de quaisquer ajustes necessários.
Implemente e monitore o sistema DLP: uma vez que o sistema foi testado e ajustado, ele pode ser distribuído para o resto da organização. É importante monitorar o sistema regularmente para garantir que esteja funcionando corretamente e para fazer os ajustes necessários conforme necessário.
A implementação de um sistema DLP requer um planejamento cuidadoso e atenção aos detalhes, mas é uma maneira eficaz de as organizações protegerem informações sigilosas e confidenciais.
Serviços gerenciados de segurança: vantagens de terceirizar o DLP
Há vários benefícios em usar serviços de segurança gerenciados (MSS) para executar sistemas de prevenção contra perda de dados:
Especialização: os provedores de MSS geralmente têm uma equipe de especialistas em segurança treinados e experientes na implementação e gerenciamento de sistemas DLP. Isso pode ajudar a garantir que o sistema DLP seja instalado e configurado corretamente e que esteja sendo usado de forma eficaz para proteger os dados da organização.
Custo-benefício: usar MSS para executar DLP pode ser mais econômico do que contratar pessoal interno ou construir e manter um sistema por conta própria. Os provedores de MSS geralmente oferecem vários planos de preços e podem ajudar as organizações a escolher o plano certo para suas necessidades e orçamento.
Escalabilidade: os provedores de MSS normalmente podem dimensionar seus serviços para atender às necessidades de organizações de qualquer tamanho. Isso é importante porque as necessidades de DLP podem mudar ao longo do tempo à medida que uma organização cresce ou muda.
Tecnologia atualizada: os provedores de MSS geralmente têm acesso às tecnologias mais recentes e podem ajudar as organizações a se manterem atualizadas com novos desenvolvimentos e práticas recomendadas.
Monitoramento contínuo: os provedores de MSS podem fornecer monitoramento contínuo de sistemas para garantir que estejam funcionando corretamente e protegendo os dados da organização. Isso pode ajudar a identificar e resolver quaisquer problemas ou vulnerabilidades em tempo hábil.
O uso do MSS pode ajudar as organizações a aproveitar os benefícios do DLP sem precisar investir para gerenciar o sistema internamente. Isso também ajudar organizações a utilizarem os sistemas DLP corretamente e protejam informações sigilosas e confidenciais.
Sabemos que o Metaverso é um universo composto por plataformas de realidade virtual e inteligência artificial nas quais o usuário pode se conectar para viver experiências e realizar atividades semelhantes às do mundo real, porém dentro da sua própria casa ou no local que preferir. Mas, quando falamos desse conceito, quais são os quatro mitos que o envolvem e suas implicações acerca da LGPD (Lei Geral de Proteção de Dados)?
1. Existe Metaverso sem o mundo real?
Uma vez que se trata de uma realidade virtual, pode-se pensar que ela existirá sem a presença de um mundo real por trás, o que não é verdade, uma vez que, no cadastro, são necessários dados do usuário. Dessa forma, o tema privacidade está presente, visto que a LGPD abrange o tratamento de dados pessoais, tais como RG, CPF e e-mail.
2. O Metaverso opera sem dinheiro real?
Logo após o cadastro em alguma plataforma do Metaverso, o usuário poderá se deparar com uma infinidade de avatares, NFTs (token não fungível), terrenos e lojas virtuais e diversos produtos para o consumo. Nesse momento, ele poderá acessar sua carteira virtual, comprada com uma moeda fiduciária real, e adquirir o item que escolher. Ou seja, não existe Metaverso sem dinheiro real.
3. Deverão ser implementadas medidas de segurança reais no mundo virtual?
Uma vez que o usuário se insere em uma plataforma do Metaverso, ele passará a compartilhar uma série de dados pessoais, já que poderão ser coletados informações para monitorar respostas fisiológicas, expressões faciais e sinais vitais, entre outros. Tais dados são considerados sensíveis pela LGPD, exigindo que princípios relacionados à segurança sejam obedecidos. Portanto, as empresas que adentrarem a esse universo deverão estruturar medidas rígidas de segurança em suas plataformas, como gestão de acesso e controle e prevenção a vazamento de dados, ou seja, ações de proteção do indivíduo no mundo real.
Nesse contexto, é importante determinar o responsável por implementar a segurança dos dados, uma vez que a plataforma do Metaverso poderá ser centralizada ou descentralizada, ou seja, uma ou mais empresas por trás do seu desenvolvimento e manutenção, respectivamente. Após a identificação, o responsável deverá proporcionar todas as medidas de segurança para prevenir o tratamento indevido e o vazamento de dados.
4. Os titulares de dados poderão solicitar seus direitos para as plataformas de realidade virtual?
Sabendo que o Metaverso trata dados de pessoais reais, os titulares, de acordo com a LGPD, poderão solicitar seus direitos e as empresas deverão estar preparadas para responder às demandas do usuário de forma completa e dentro do prazo estipulado pela Lei. É importante lembrar que os questionamentos poderão envolver desde solicitações simples de confirmação de dados até os mais complexos, que envolvem o entendimento sobre o tratamento automatizado das informações e o direcionamento de perfis.
Portanto, as empresas que operarem no Metaverso precisarão se adequar e cumprir todas as exigências da LGPD e, em caso de descumprimento, as penalidades serão as mesmas, ou seja, advertência, multa de até 2% do faturamento – limitado a R$ 50 milhões, publicização da infração, bloqueio dos dados pessoais até a regularização e eliminação dos dados pessoais a que se referem a infração.
* Vania Freitas é gerente de Data Privacy na ICTS Protiviti.
A Lei Geral de Proteção de Dados (LGPD) trouxe uma necessidade prática de nomeação de um encarregado do tratamento de dados pessoais, conhecido como Data Protection Officer (DPO), para atuar de forma profissional e especializada nessa pauta.
Os principais desafios dessa nomeação envolvem a necessidade de conhecimentos que se dividem em aspectos regulatórios, legais, de segurança da informação e de governança capazes de harmonizar os objetivos do negócio e a proteção aos dados pessoais dos titulares envolvidos.
A Associação Internacional de Profissionais de Privacidade (IAPP) estimou que a demanda mundial pode chegar a 75 mil profissionais, escassez que se justifica pela dificuldade de encontrar todas essas habilidades em um único profissional, sobretudo no Brasil, que tem como agravante uma legislação recente e, portanto, pouca experiência no tema. Levando em consideração esse contexto, o modelo “as a service”, ou como serviço, pode ser uma excelente opção.
A modalidade traz a possibilidade de a empresa contratante ganhar experiência de forma quase que instantânea, acelerando a conformidade ao mesmo tempo em que mitiga os riscos regulatórios e os investimentos desnecessários.
Nessa terceirização, a empresa contratante, além de ter o benefício da orientação técnica atualizada e alinhada às melhores práticas de mercado, não precisa depender de orçamento para montar uma equipe de especialistas e investir em formação e certificações constantes, usufruindo da flexibilidade da modalidade enquanto amadurece a necessidade de institucionalizar e internalizar a função.
Outro ganho notado é a autonomia para implementar as boas práticas de proteção de dados, aspecto que tem sido considerado em penalidades e multas no contexto do regulamento europeu que inspirou a LGPD. Sendo assim, a terceirização mitiga o risco do conflito de interesses, que é comum na nomeação de profissionais internos.
Mas, para o modelo “as a service” ter sucesso, é fundamental o patrocínio executivo para o engajamento de todas as partes interessadas e a escolha de empresas com profissionais certificados e suficientemente experientes em proteção de dados, privacidade e segurança da informação.
DPO: situação das pequenas empresas
Neste cenário, surge a dúvida sobre as empresas de pequeno porte. Neste caso, a nomeação de um DPO é necessária? A Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu um regime jurídico diferenciado para agentes de pequeno porte, dispondo algumas regras que facilitaram a adequação, dentre elas a dispensa da nomeação de um DPO.
Porém, é preciso cautela. A resolução traz exceções de forma que nem todas as empresas de pequeno porte e startups estão isentas da obrigatoriedade do DPO. Nesse sentido, é necessária uma avaliação especializada para entender se a empresa é elegível ao benefício de simplificação e para o correto entendimento dos outros diversos dispositivos legais que permanecem aplicáveis.
O fato é que as obrigações para a manutenção da conformidade com a LGPD podem ser objeto de um contrato “as a service”, mesmo com a dispensa do DPO. Não restam dúvidas de que o ecossistema de proteção de dados das empresas no Brasil, com raríssimas exceções, é jovem, mas pode ganhar muito valor usufruindo do modelo “como serviço”.
* Bruno Santos, Gerente de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Casos recentes de personalidades e políticos com informações falsas em seus currículos revelam a importância de se realizar verificação de dados e um Background Check das informações prestadas por candidatos a vagas de emprego. A preocupação das empresas vai muito além de detectar uma mentira.
O uso de Background Checks e de Entrevistas de Conformidade para checagem e avaliações do candidato são ferramentas que auxiliam empresas a identificar informações falsas ou incompletas sobre:
formação ou histórico profissional;
prevenir casos de corrupção;
assédio;
desvios de conduta.
Tudo isso com base no perfil do entrevistado. Não é só o empregador que ganha com a verificação, mas os candidatos honestos também.
Verificação de dados: como a lei trata a apresentação de currículo falso
O Superior Tribunal de Justiça (STJ) já afirmou que a prestação de informações falsas ou incompletas em currículos não configura crime. Isso porque as informações fornecidas pelos candidatos podem ser verificadas pelos interessados.
Além disso, o STJ também entendeu que currículos eletrônicos, como o LinkedIn e o Lattes, não são considerados “documentos”, já que estão dispostos em um sítio eletrônico ou plataforma virtual.
Para a Corte, só é considerado “documento eletrônico” aquele que consta em site que possa ter sua autenticidade aferida por assinatura digital, conforme descreve a MP 2.200-2/2001, que instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
De certa forma, o STJ deu carta-branca para o candidato prestar informações falsas ou incompletas sobre sua formação ou histórico profissional. Ao mesmo tempo, alocou nas empresas a responsabilidade de verificar a autenticidade das informações.
A recente legislação de proteção de dados privados (LGPD) trouxe, contudo, obstáculos para as empresas que desejam realizar a verificação de informações do candidato consideradas pessoais.
Na prática, solicitações de informações têm sido prontamente negadas por instituições de ensino e antigos empregadores com a justificativa de que a legislação atual impossibilita a abertura de informações privadas.
Podemos dizer, grosso modo, que, apesar de sua boa intenção, a LGPD blindou os mentirosos. Com isso, ficou mais difícil descobrir se de fato o candidato mentiu, omitiu ou acrescentou informações inverídicas sobre sua carreira profissional e formação acadêmica.
Diante desse cenário, que de um lado exime o candidato do dever de veracidade e transparência, mas do outro sobrecarrega as empresas com responsabilidades da verificação, a contratação de um Background Check se torna uma ferramenta muito útil e com resultados práticos.
Por isso, é crescente a demanda pelo serviço de checagem de antecedentes com a finalidade de mitigar riscos em uma contratação. Há uma crescente preocupação com a imagem no mercado e se estão contratando o candidato certo para o cargo.
De forma a mitigar os riscos, não há outra saída senão realizar a checagem de antecedentes, mesmo com percalços. Até porque esse tipo de levantamento já vem sendo feito e é bem aceito no mercado.
A diferença agora é que, em certos casos, será necessário obter do candidato um documento de autorização para levantamento das informações junto às instituições e empresas listadas no seu currículo.
A nova lei de proteção de dados define, por exemplo, o que são dados pessoais e delimita os princípios fundamentais, como o direito ao acesso e ao consentimento das pessoas sobre seus dados.
A checagem feita com o conhecimento do candidato evita problemas e mitiga riscos. Não é só o empregador que ganha com a verificação, mas os candidatos honestos também.
É possível, ao realizar o levantamento de informações, não só confirmar o histórico profissional e acadêmico, mas também checar vínculos com pessoas, situação jurídica e criminal, filiação e participação política, redes sociais e mídias negativas (inclusive a manifestação de opiniões), entre outros.
Complementando o Background Check, existem empresas que realizam entrevistas específicas focadas em temáticas éticas, com questionamentos situacionais e que podem ajudar a identificar redflags de conformidade moral nos candidatos.
É mais uma ferramenta para auxiliar as empresas e encontrar inconsistências no perfil do profissional e na aderência ética do candidato. Casos de corrupção, assédio e desvios, por exemplo, podem ser evitados com avaliações mais profundas de perfil do candidato a uma vaga.
O Background Check ainda é a medida mais eficaz para mitigar diversos riscos do negócio, além de trazer informações adicionais e mais completas sobre o candidato, facilitando a tomada de decisões sobre sua contratação.
A Protiviti Brasil possui um time dedicado e com expertise para realizar checagem de currículos através de Background Checks e entrevistas de compliance individual. Caso haja interesse, entre em contato conosco.
* Carolina Melo, Analista Sênior de Diligências na Protiviti Brasil.
A transição dos atos cotidianos do mundo offline para o online está mudando radicalmente a forma como o mercado financeiro opera, dando espaço para oferta de produtos financeiros totalmente digitais. As Fintechs — termo usado para definir as empresas que desenvolvem produtos financeiros digitais e tem o uso da tecnologia como diferencial — oferecem uma miríade de soluções neste formato, cartão de crédito e débito, empréstimo e conta digital.
A Ascensão das Fintechs
O crescimento deste segmento é vertiginoso, mesmo antes da pandemia do COVID -19, que acelerou os processos digitais. O relatório da OCDE “A Caminho da Era Digital no Brasil”, 2020, aponta um crescimento de mais de 300% na quantidade de Fintechs e similares ativas país no período entre agosto de 2018 e junho de 2019. Ele também destaca o potencial incentivo à inclusão financeira nos próximos anos, decorrente da concorrência no segmento.
É latente o potencial dessa fatia de mercado em clara ascensão. No entanto, a transição da vida financeira para o meio digital, especialmente para o ambiente digital móvel (mobile banking), com aumento do uso de dispositivos móveis¹, além de oportunidades a serem exploradas, expõe usuários e fornecedores de serviços a maiores riscos como o de fraudes e de golpes de identidade.
Estes riscos não podem ser desconsiderados, na prospecção deste mercado, quando o Brasil tem ocorrência de mais de 3 fraudes por minuto envolvendo cartão de crédito e roubo de dados de consumidores, segundo dados do laboratório de cibersegurança da PFASE (2018).
As Fintechs e a LGPD
Abstract image of traders in financial district with trading screen data, light reflections and blurred movement.
O segmento financeiro, mesmo digital, é robustamente regulado no Brasil. É variado o conjunto normativo que as Fintechs precisam observar para suas operações:
leis complementares;
leis federais;
resoluções e circulares do Banco Central.
Desde setembro de 2020, somou-se a estas a Lei Geral de Proteção de Dados (LGPD), que objetiva dar mais controle e autonomia aos cidadãos sobre seus dados pessoais.
O tema da proteção aos dados pessoais já era presente no segmento financeiro. Principalmente em algumas das normativas prévias à vigência da LGPD, como as Resoluções 4.658/2018 e 4.752/2019 do BACEN, que atuam para proteger os dados financeiros e pessoais de seus usuários, que, caso vazados ou usados de forma indevida, podem colocar em risco a segurança dos titulares.
Pontos críticos da LGPD em relação às Fintechs
Para além da temática de segurança cibernética, bem trabalhada pelas normativas específicas do setor financeiro, destaca-se outros pontos críticos da LGPD com relação às Fintechs, que impactarão substancialmente os processos internos das empresas:
Uso da identificação por biometria para a realização de transações financeiras no modelo de mobile banking — a biometria, classificada pela LGPD como dado sensível (art. 5º, II). Ela demandará, para seu uso, consentimento expresso do titular, no ato da coleta, para tratamento específico desse dado. Também há a necessidade do prestador do serviço garantir, através de medidas técnicas e organizacionais, a segurança adequada desses dados.
Atendimento de diversos direitos dos titulares de dados, em tempo razoável, pelos agentes de tratamento. Para isso será necessário desenhar e implementar na organização um processo estruturado que permita, além de atender ao titular, possibilite o acesso, retificação e eliminação dos dados e ainda o apagamento dos dados e a portabilidade desses para outras instituições².
Foco no compliance regulatório e documentação — a adoção de medidas de segurança, coleta de consentimento, definição de finalidade específica para tratamento dos dados e cumprimento de direitos dos titulares. Essas são atividades que precisam ser devidamente registradas, documentadas e disponibilizadas para os titulares e para a Autoridade Nacional de Proteção de Dados (ANPD) e outras autoridades quando especificado pela legislação, visando assegurar os princípios da transparência e prestação de contas (arts. 6º, VI e X).
Como a LGPD ajuda as Fintechs na redução de riscos
Como as Fintechs podem estruturar o processo interno para permitir redução do risco de fraude e conformidade e aproveitar o potencial deste mercado em conformidade com a LGPD? Seguem alguma dicas:
Desenvolver e divulgar de forma ostensiva uma Política de Privacidade clara e transparente, informando os fluxos de uso de dados com as finalidades respectivas e definir seu Encarregado de Dados (tratado genericamente como DPO)
Disponibilizar, na própria Política de Privacidade, o contato do Encarregado de Dados, quais são os direitos dos titulares e as formas para exercê-los.
Manter à disposição da ANPD o registro das atividades de tratamento e elaboração de relatório de impacto de tratamento de dados, necessário em alguns casos (arts. 37, 38 e 40).
Estruturar processo interno para informar à ANPD e aos titulares de dados quando da “ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares” (art. 48), o que merece especial atenção considerando a natureza dos dados financeiros e a extensão dos prejuízos em caso de vazamento.
Dado o contexto da LGPD e o aumento crescente do uso de dispositivos móveis para transações financeiras e os riscos associados, observa-se a necessidade de uma (re) modelagem de sistemas e processos internos das Fintechs. Isso visando colocar a proteção de dados, através da aplicação do conceito de Privacy by Design, em sua espinha dorsal e integrar a privacidade à cultura organizacional.
*Nathalia Guerra é advogada, especialista em Direito Digital, Compliance, Direito Médico e consultora de Data Privacy na Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.
¹ Dispositivos móveis são tecnologias digitais que permitem a mobilidade e o acesso à internet. Pode-se citar como exemplos os smartphones, notebooks e tablets.
² O exercício do direito de portabilidade aguarda parâmetros e regulamentação da Autoridade Nacional de Proteção de Dados (ANPD), conforme art. 18, V da LGPD.
O curso da história tem nos mostrado que o ser humano precisa do convívio social. Podemos afirmar que o homem não conseguiria subsistir com a ausência do auxílio recíproco entre os indivíduos. Deste modo, como os propósitos, valores e crenças são diferentes, faz-se necessário estabelecer um “padrão médio de comportamento”, de forma a respeitar a individualidade de cada ser humano. A Proteção de Dados como Direito Fundamental deve ser parte dessa conversa.
Da mesma forma que o convívio social precisa ser respeitado, existindo diversas regras, algumas positivadas e outras não, podemos dizer que a privacidade e a proteção de dados merece o mesmo tratamento. Samuel Warren e Louis Brandeis, trouxeram através da obra “The right to privacy” a ideia do “direito de estar só”. Em outras palavras, o direito de não ter sua intimidade, sua vida privada, invadida ou violada.
Na mesma linha de raciocínio, Rony Vainzof, através da obra Lei Geral de Proteção de Dados Comentada, trouxe à baila uma reflexão sobre a proteção da privacidade ser um elemento indissociável da dignidade da pessoa.
Primeiras discussões sobre a proteção de dados
Um fato de grande repercussão no Brasil relacionado à privacidade e à proteção de dados, que deu origem ao art. 154A do Código Penal Brasileiro, foi quando a atriz Carolina Dieckmann teve fotos copiadas e divulgadas sem a devida autorização.
Deste modo, atos da sociedade influenciam diretamente o direito. Como assegura André Franco Montoro: “O direito nasce da sociedade. Em cada momento ele é resultado de um complexo de fatores sociais”.
Portanto, com o objetivo de atender a uma demanda social e criar mecanismos de proteção à privacidade, surge a Proposta de Emenda à Constituição (PEC), Nº 17/2019, de autoria do Senador Eduardo Gomes.
Entendendo a PEC: a proteção de dados como direito
A PEC tem como objetivo instituir o direito fundamental à proteção de dados pessoais, e disciplinar a competência para legislação do tema. O documento que apresentou como justificação:
“o avanço da tecnologia, por um lado, oportuniza racionalização de negócios e da própria atividade econômica: pode gerar empregabilidade, prosperidade e maior qualidade de vida. Por outro lado, se mal utilizada ou se utilizada sem um filtro prévio moral e ético, pode causar prejuízos incomensuráveis aos cidadãos e à própria sociedade, dando margem, inclusive, à concentração de mercados”.
Diante dos dois principais fatores que deram origem à PEC, proteção de dados pessoais como direito fundamental, e competência para legislação, sobre o primeiro, cabe relembrar o que seria um direito fundamental à luz da Constituição.
Em uma rápida explicação, podemos definir como direitos fundamentais os direitos do ser humano que se encontram positivados na Constituição de um determinado Estado. A relevância do assunto é tamanha que o coloca no nível mais elevado dentro da hierarquia das normas jurídicas.
Quanto ao segundo fator, relacionado à competência de legislar, um dos pontos levantados foi a preocupação de se manter a segurança jurídica dos assuntos desta natureza.
De acordo com a PEC, caso não se limite a competência de legislação para o âmbito federal, diversas leis, estaduais ou municipais, poderiam disciplinar sobre a matéria, gerando diversos tipos de entendimento, e enormes problemas jurídicos.
A proteção de dads como direito fundamental pela constituição
Diante do exposto até o momento, a discussão proposta pela PEC é coerente, pois estamos diante de um cenário que não tem possibilidade de retorno. O avanço tecnológico tem feito parte da vida do ser humano, proporcionando diversas conquistas, em diversas áreas.
Dentro do mesmo pensar, o deputado Orlando Silva citou em um Requerimento Interno encaminhado ao Presidente da Câmara que:
“O uso e a exploração dos dados pessoais, por pessoas, empresas e governos, tanto localmente quanto de maneira global, impacta diretamente e de maneira decisiva a vida das pessoas. O tratamento de dados pode servir para se aceder a um benefício social, realizar um cadastro de compras ou se autenticar em um sistema de segurança. Mas também pode ser utilizado para negar acesso à saúde, encarecer propostas de seguro ou proibir o uso de determinados produtos ou serviços. O direito a proteção dos dados se torna, assim, uma necessidade para a autodeterminação informativa, para a liberdade de expressão, para a manutenção da intimidade, da honra e da imagem”.
Por fim, diante da relevância do assunto, entendemos que trazer o tema para uma pauta Constitucional é coerente, pois trata-se de um assunto ímpar que impacta a vida da coletividade. Ademais, S. Tomás, conceituado a palavra lei, registrou que “lei vem do verbo ‘ligare’, que significa ‘ligar’, ‘obrigar’, ‘vincular’. A lei obriga ou liga a pessoa a uma certa maneira de agir”.
Entendendo que a norma social é uma forma de conduta que precisa ser respeitada pelo coletivo, André Franco Montoro conceituou que “A norma jurídica é, em primeiro lugar, uma regra de conduta social. Seu objetivo é regular a atividade dos homens em suas relações sociais”.
Desta forma, inserir o tema na Constituição é garantir o direito à privacidade, contribuindo desta forma com a dignidade da pessoa humana.
O tema da privacidade no Brasil e no mundo
Nesse sentido, observa-se que a Lei Geral de Proteção de Dados (13.709/18), traz para os holofotes o tema privacidade no Brasil, abarcando princípios para garantir que a privacidade e proteção de dados pessoais sejam garantidas. Ela tambem faz com que o sujeito, dono daquele dado, seja amplamente informado e tenha direitos sobre o uso das suas informações.
A raiz dessa Lei brasileira que trata do direito à privacidade e a proteção de dados de forma tão incisiva está em solo estrangeiro.
Em meio ao caos gerado pelo escândalo da Cambridge Analytica (a empresa usou dados do Facebook dos americanos para direcionar propagandas políticas adequadas a seus perfis psicológicos mapeados), o mundo atentou-se ao fato que: dados de pessoas tinham se tornado o ativo mais caro do mundo (valores mais altos que petróleo).
O que isso significou, à época do escândalo, foi a urgente necessidade de uma regulamentação para esse mercado de alto valor, que até então navegava conforme queria.
Nesse contexto, nasceu a GDPR (General Data Protection Regulation), a Lei Geral de Proteção de Dados Europeia, que criou, entre suas normas, a obrigatoriedade de transferência internacional de dados pessoais apenas com países com legislações de privacidade e proteção de dados adequadas. Isso gerou uma corrida em diversos países para acompanhar a Europa em suas regulamentações.
O Brasil foi um desses países. Apesar de algumas diferenças, a LGPD trata o tema de forma muito similar (e atenta) as exigências da GDPR. O assunto já era legislado no Brasil em algumas legislações de forma não robusta, como por exemplo o Marco Civil da Internet e o Código de Defesa do Consumidor.
Porém, a LGPD concentra a temática de privacidade e proteção de dados pessoais, cria diretrizes específicas. Ela também prevê, além da possibilidade de aplicação de sanções, a criação da Agência Nacional de Proteção de dados como órgão inteiramente responsável pela regulação e fiscalização do tema no Brasil.
Princípios da LGPD
Nesse sentido, é importante trazer a base principiológica da LGPD, na qual se pautam todas as determinações presentes na Lei. Esses princípios estão dispostos no art.6º, e são os seguintes:
princípio da Finalidade;
princípio da adequação;
princípio da necessidade;
do livre acesso;
qualidade;
transparência;
segurança;
prevenção;
não discriminação;
responsabilização;
prestação de contas.
O princípio da finalidade (Art.6º, I), garante que os dados sejam tratados para propósitos legítimos, específicos, explícitos, e informados ao titular, impossibilitando o tratamento posterior ao cumprimento desse propósito. Dessa forma, impede que empresas como a Cambridge Analytica, coletem dados de redes sociais (os quais pessoas expõe informações pessoais com uma finalidade específica) para vender seus perfis filosóficos à partidos políticos.
Já o princípio da adequação (Art.6º, II), exige a compatibilidade do tratamento com as finalidades informadas ao titular. Ou seja, a empresa deve informar explicitamente sobre o tratamento e cumprir com o informado ao titular, exigindo, inclusive, que caso isso de altere, o titular deve ser comunicado imediatamente.
Quanto ao princípio da necessidade (Art.6º, III), este limita o tratamento ao mínimo necessário para realização de suas finalidades, com a coleta de dados pertinentes, proporcionais e não excessivos. Ou seja, caso para realização de uma compra na internet, seja necessário apenas o nome e o endereço de entrega, não há por que coletar data de nascimento, CPF, RG, gênero, e média salarial, por exemplo.
O livre acesso (Art.6º, IV) é a garantia que o sujeito (dono do dado, referido neste artigo e na Lei como Titular) seja facilmente informado sobre o uso de seus dados e os propósitos de tratamento.
Em relação ao princípio da qualidade dos dados (Art.6º, V), este impõe que os dados sejam atualizados, exatos, claros e em acordo com a necessidade informada.
A transparência (Art.6º, VI) é justamente a base da obrigação da informação clara, precisa e de fácil acesso que deve ser fornecida ao titular.
A segurança e a prevenção (Art.6º, VII, VIII) exigem a adoção de medidas técnicas e ações de segurança das informações para garantir a restrição de acessos adequada, prevenir vazamento e prevenção de perdas e danos relacionados aos riscos técnicos de tratamento de dados pessoais.
A não discriminação (Art.6º, IX) é a garantia explícita legal de que nenhum dado pessoal poderá ser usado para discriminar pessoas. O amparo legal nesse sentido toma destaque também no que tange o art.11º, com as possibilidades legais de tratamento de dados pessoais sensíveis (que é o nome dado à um rol taxativo de tipos de dados que podem ser utilizados com caráter discriminatório).
Por fim, quanto ao princípio da responsabilização e prestação de contas (Art.6º, X), é relacionado às obrigações de comprovação do compliance com todos os requisitos legais e a eficácia das medidas. Ou seja, obriga as empresas a evoluir nos controles, documentação e criação de indicadores para amadurecer os Programas de Privacidade.
Os princípios traduzem as exigências trazidas pela Lei, em relação:
a informação;
boas práticas;
governança efetiva de privacidade;
investimento em segurança técnica;
uso consciente de dados pessoais.
Isso direciona um novo caminho para muitas empresas, e principalmente para os titulares de dados.
Ademais, nós, como titulares, devemos nos preocupar com a forma que nossos dados estão sendo utilizados, questionando e refletindo antes de fornecer informações pessoais indiscriminadamente para qualquer fonte.
Hoje, depois de tantas discussões, escândalos de vazamento, e utilização dos nossos dados para finalidades questionáveis, devemos nos preocupar com cadastros em sites, e uso de aplicativos (Ex: FaceApp utiliza de forma duvidosa o mapeamento facial em uma política de privacidade confusa).
Vale ressaltar que os riscos dessa exposição são inimagináveis. Desde stalkers, até uso dos nossos dados para atividades ilícitas, manipulação de opinião (como no caso da Cambridge Analytica), discriminações. Ou seja, são infinitas possibilidades de usos indevidos de algo que tem tanto valor do mercado e vai muito além de um simples cadastro.
Assim, compreendendo a importância da privacidade e da proteção de dados como direito fundamental, bem como o contexto legislativo internacional e nacional, vê-se a importância da temática na construção de uma sociedade. Sendo esta cada dia mais tecnológica e com a privacidade e a proteção de dados ganhando cada vez mais os holofotes frente aos desafios e dúvidas sobre este importante direito atrelado à dignidade da pessoa humana.
Você também acha que a proteção de dados e a privacidade são direitos fundamentais? Opine! Deixe seu comentário no post.
* Brenda Rodrigues, consultora de Data Privacy na ICTS Protiviti e Alexandre de Araujo Bezerra, Contador, Especialista em Contabilidade Financeira e Auditoria da Brookfield Timber. Graduando em Direito.
