quinta-feira, 23 de março de 2017

O GDPR e a Segurança e Privacidade das Informações Pessoais

No último dia 17 de Fevereiro o Governo Federal criou um grupo de trabalho para produzir proposta de Política Nacional de Segurança da Informação (ver detalhes aqui). Entre outras coisas, um dos objetivos é definir diretrizes em matéria de proteção das informações Pessoais e Biométricas, e estabelecimento de mecanismos e instrumentos legais e técnicos para a proteção do sigilo das informações armazenadas, processadas e veiculadas, e da privacidade e da segurança das pessoas físicas e jurídicas.

Neste sentido, é importante verificar como um movimento semelhante está ocorrendo na União Europeia, desde a publicação, em Abril de 2016, do GDPR-General Data Protection Regulation (Regulamentação Geral para Proteção de Dados), e que entrará em vigor em Maio de 2018. Resultado do trabalho conjunto dos diversos países membros da União Europeia, esta regulamentação visa unificar o marco legal sobre o assunto, aumentar a proteção sobre privacidade de dados para os cidadãos europeus, e mudar a forma como as organizações abordam a privacidade e a segurança das informações pessoais.

Os Pontos Principais do GDPR


Dados Pessoais: qualquer informação relativa a uma pessoa natural identificada ou identificável ('sujeito de dados'); uma pessoa natural identificável é uma que possa ser identificada, direta ou indiretamente, em particular através de referência a um identificador como nome, número de identificação, dados de localização, identificador on-line, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social desta pessoa natural.

Abrangência territorial estendida: um dos pontos mais polêmicos do GDPR é estabelecer que a proteção à privacidade e segurança dos dados pessoais é um direito do cidadão, independente de onde os dados são coletados, armazenados e processados, e, principalmente, da localização ou vinculação das empresas envolvidas com a Comunidade Europeia. Isto significa que qualquer empresa ou organização, em qualquer país no mundo, pode estar sujeita às regras e penalidades estabelecidas na GDPR, desde que haja dados de cidadãos europeus envolvidos. Empresas e organizações de fora da União Europeia, que lidem com dados de cidadãos europeus, deverão obrigatoriamente ter um representante legal dentro da União.

Penalidades: organizações não conformes com o GDPR podem ser multadas em até 4% do seu faturamento anual, ou EUR20 milhões (o que for maior). Esta é a multa máxima que pode ser imposta para violações sérias, como não obter consentimento suficiente do sujeito para processar seus dados, ou violar o cerne do conceito de Privacidade por Desenho. Importante notar que as multas são devidas tanto pelo controlador da informação como pelo processador - o uso de processamento ou armazenamento na nuvem não é uma saída!

Consentimento: as condições para consentimento foram apertadas, e as empresas não serão mais capazes de usar longas condições ilegíveis ou cheias de jargão legal, uma vez que a solicitação de consentimento deve ser dada de forma inteligível e de fácil acesso, com o propósito do processamento anexo a este consentimento. O consentimento deve ser claro e distinguível de outros assuntos, em linguagem simples. Deve ser tão fácil retirar o consentimento como é dá-lo.

Notificação de vazamento: a notificação de vazamento se torna obrigatória onde este vazamento possa "resultar em risco para os direitos e liberdade dos indivíduos", e deve ser feito em até 72 horas após ter sido descoberto o vazamento. Processadores também são solicitados a notificar seus clientes, os controladores, "sem demora" após haverem descoberto um vazamento.

Direito de acesso: os sujeitos têm o direito de obter do controlador confirmação se seus dados pessoais estão sendo processados, onde, e com que propósito. Além disso, o controlador deve fornecer uma cópia dos dados pessoais, sem custo, em formato eletrônico. Isto reforça a transparência e fortalece os indivíduos.

Direito de ser esquecido: permite que o sujeito exija que seus dados sejam completamente apagados, cessando qualquer processamento ou disseminação adicional, inclusive dos dados eventualmente em poder de terceiros. As condições para a eliminação dos dados pessoais incluem os dados não serem mais relevantes para o propósito original de processamento, ou o sujeito retirar seu consentimento.

Portabilidade dos dados: o direito de um sujeito receber seus dados pessoais, que ele tenha fornecido anteriormente, em um formato comum e legível por equipamento, e ter o direito de transmitir estes dados para outro controlador.

Privacidade por desenho: é um conceito que vem se desenvolvendo há alguns anos, mas agora se torna um requisito legal. No âmago, a privacidade por desenho exige a inclusão da proteção aos dados desde a concepção dos sistemas, e não como uma adição posterior. Mais especificamente, "o controlador deve implementar medidas técnicas e organizacionais apropriadas, de forma efetiva, para atender aos requisitos deste Regulamento e proteger os direitos dos sujeitos de dados". Os controladores devem reter e processar apenas os dados absolutamente necessários para completar suas obrigações (minimização de dados), bem como limitar o acesso aos dados pessoais apenas àqueles que precisam atuar no processamento.

Diretores de Proteção de Dados: para controladores e processadores cuja atividade principal consista de operações de processamento que requeiram monitoramento regular e sistemático de sujeitos de dados em larga escala, ou de categorias de dados especiais, ou dados relacionados com registros criminais, é obrigatório a nomeação de um Diretor de Proteção de Dados (DPO-Data Protection Officer), que, entre outras exigências, será apontado com base em suas qualificações profissionais e, em particular, conhecimento especializado em leis e práticas de proteção de dados.

Impacto do GDPR nas Empresas Brasileiras


O primeiro e principal impacto do GDPR nas empresas brasileiras é a necessidade de avaliar, analisar e garantir que a empresa realmente não está sujeita às determinações do GDPR. Considerando a extensão e a abrangência dos casos em que uma empresa está sujeita ao Regulamento, é arriscado pressupor, a priori, que uma empresa não está sujeita e, portanto, não está correndo um enorme e custoso risco. É de se esperar que as empresas de auditoria incluirão esta análise nas suas avaliações de rotina sobre os riscos a que uma empresa está exposta, visando alertar seus controladores e acionistas sobre a possibilidade de risco financeiro de grande valor.

O segundo, e também forte, impacto do GDPR é que ele abre caminho para a adoção de requisitos similares na legislação brasileira, trazendo então para o universo de praticamente todas as empresas a preocupação com a forma como os dados pessoais dos indivíduos são coletados, armazenados, transportados, processados e descartados. O conceito de Privacidade por Desenho ainda não é muito difundido no País, e é de se esperar que uma significativa parcela das empresas, sejam elas controladoras dos dados pessoais, como também as processadoras e os desenvolvedores de sistemas, não estarão conformes e precisarão fazer um esforço enorme, demorado, e caro, para se ajustar a estas normas.

Finalmente, cabe registrar que toda esta discussão e chamada para ação em torno da privacidade e segurança das informações pessoais acabará por provocar um imenso impacto sobre a forma como os dados e informações são tratados pelas organizações, sejam elas privadas ou públicas, trazendo a área de Gestão de Dados e Segurança de Informações, até agora tratada como um assunto da "cozinha" da área de TI, para a frente do palco, adquirindo uma importância para a saúde das empresas nunca antes sonhada.

 

O que Fazer Agora?


A primeira coisa a fazer é simples e direta: procure informações sobre o GDPR, envolva as várias áreas afetadas da organização (legal, TI, marketing e vendas, financeira etc.) e faça uma avaliação rigorosa sobre a real situação da sua empresa em relação ao GDPR.

Se sua empresa estiver sujeita aos requisitos do GDPR, você tem apenas pouco mais de um ano para adaptar seus procedimentos e sistemas a eles. Quanto trabalho isto representará é uma avaliação que cada organização deverá realizar, com base em sua situação particular. Encontrar os recursos (financeiros, humanos, técnicos) para resolver as não conformidades, sem perder de vista o curto prazo para regularização, será um enorme desafio.

Se a sua organização não estiver sujeita ao GDPR, considere a conveniência de iniciar um esforço voluntário de adequação, não só como preparação para um eventual endurecimento da legislação brasileira, como também como um sinal de respeito pela privacidade, segurança, transparência e sigilo das informações pessoais dos seus clientes, colaboradores, e de outras pessoas, que você porventura controle ou processe.

Não perca tempo! Aja agora!


Nenhum comentário :

Postar um comentário