Dois eventos de grande repercussão ocorridos nesta semana despertaram a atenção sobre o fato de que quando o controlador perde o controle, os dados pessoais desviam da rota projetada e ocasionam o temido vazamento de dados. Em ambas as situações a confidencialidade dos dados foi atingida e este é um dos mais importantes pilares da segurança da informação.
Em um dos casos, a empresa brasileira Unimed detectou uma grande exposição de dados pessoais, incluindo dados sensíveis de titulares em seus sistemas. A outra ocorrência envolveu a empresa alemã Adidas, que acaba de comunicar seus clientes sobre um possível vazamento de dados na esfera de um provedor terceirizado de serviços.
Nas duas ocasiões os dados foram expostos, divulgados e compartilhados por terceiros não autorizados. O que demonstra a perda do controle do fluxo do tratamento correto dos dados pessoais, abrindo uma série de riscos a danos e prejuízos aos titulares dos dados.
Para a Lei Geral de Proteção de Dados (LGPD), o controlador é aquele que toma decisões relacionadas ao tratamento de dados pessoais, ou seja, é o agente de tratamento que decide os meios e finalidades dos dados. É o responsável por garantir que o ciclo de vida das informações esteja alinhado com os requisitos de privacidade e proteção de dados pessoais.
Quando o controlador terceiriza o tratamento de dados, isto é, decide envolver um prestador de serviços ou fornecedor neste processo, ele precisa garantir que este terceiro, denominado de operador de dados pela lei, tenha condições e evidências de que irá aplicar medidas técnicas e organizacionais para resguardar os direitos de privacidade e proteção de dados dos indivíduos (titulares dos dados pessoais). Estes operadores de dados pessoais também possuem responsabilidade sobre os dados que são tratados em nome dos controladores.
No caso da Unimed, ainda que os sistemas sejam próprios e que a empresa não tenha terceirizado o tratamento dos dados, ela precisa comprovar que adotou medidas suficientes para a proteção dos dados, além de demonstrar que elaborou relatórios de impacto a privacidade e proteção de dados antes da implementação do sistema para prever, mitigar as situações de risco e garantir o exercício dos direitos aos titulares.
Isso inclui a efetiva execução do plano de respostas a incidentes e violações de dados pessoais porque mesmo com uma efetiva adoção das boas práticas de privacidade, quando ocorre um incidente, deve-se adotar uma série de medidas e ações para que os efeitos do incidente e violação sejam amenizados.
No evento divulgado pela Adidas, a empresa publicou que um operador de dados causou a violação e muitas vezes não se tem claro na organização, como uma empresa pode se precaver em relação aos prestadores de serviços e fornecedores que passam a fazer parte do fluxo de tratamento de dados pessoais. Um contrato escrito é importante, mas não basta! Processos de due diligence e auditorias periódicas devem fazer parte da rotina de qualquer organização que possui ou deseja possuir uma relação com seus operadores de dados.
“Confie, mas verifique” é uma das máximas da interpretação dos princípios do Privacy by Design e by default que preconiza a privacidade desde a concepção de qualquer projeto, produto ou serviço que realize o tratamento de dados pessoais e que por padrão sejam adotas todas as medidas técnicas e organizacionais para o cumprimento das exigências de privacidade e proteção dos dados pessoais.
Inclusive, explicitamente em seu art.46, a LGPD determina que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. E complementa no parágrafo segundo deste mesmo artigo que estas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Essas determinações são frequentemente ignoradas ou negligenciadas pelas organizações, principalmente porque demanda da adesão de um programa de governança que exige comprometimento, investimento, mudança na cultura organizacional e visão estratégica de longo prazo.
E, ao desviar da governança de privacidade e proteção de dados, as empresas mais cedo ou mais tarde esbarram em verdadeiras tragédias que poderiam ter sido evitadas ou amortecidas. O que poderia ter sido assunto de poucos, passa a ser assunto de todos.
Implementar programa de governança em privacidade e proteção de dados, deve fazer parte da estratégia de qualquer organização que se preocupa com a ética, com a continuidade de negócios e respeita os direitos e liberdades daqueles que são os efetivos donos dos dados pessoais.
Bruna Fabiane da Silva, sócia da DeServ Academy, e co-autora do livro “LGPD: Muito além da Lei”
Fonte: TI INSIDE Online - Leia mais
