Revisão das políticas de gestão de dados
Professor titular e coordenador do curso de Engenharia de Software da Universidade de Ribeirão Preto (Unaerp), Edilson Caritá discorre sobre a Lei Geral de Proteção de Dados Pessoais
A Lei Geral de Proteção de Dados Pessoais (LGPD) foi aprovada em agosto de 2018, instituindo uma série de dispositivos legais sobre como empresas podem coletar, armazenar e utilizar os dados pessoais de clientes e usuários, com o objetivo de garantir os direitos fundamentais de liberdade e privacidade dos internautas.
O professor Edilson Carlos Caritá, professor e coordenador do curso de Engenharia de Software na Unaerp, especializado na área de Ciência da Computação e Engenharias, destaca que uma das principais mudanças a partir da LGPD é que os titulares dos dados terão direito de receber informações sobre como eles estão sendo utilizados, e podem solicitar a eliminação das informações quando julgarem necessário. Para isso, segundo Edilson, é fundamental que as empresas constituam uma equipe responsável por gerir essa questão. “É importante que sejam criadas ou atualizadas políticas de compliance, uma vez que as empresas terão de reportar imediatamente aos usuários quaisquer incidentes com os dados. Outra mudança necessária será a adequação de processos operacionais. Como sites e aplicativos muitas vezes são providos ou gerenciados por parceiros, deve-se verificar se os mesmos estão em conformidade com as políticas, as diretrizes e as boas práticas definidas pela empresa e alinhados plenamente com a legislação”, ressalta.
Na entrevista a seguir, o professor discorre sobre as mudanças trazidas pela LGPD e os impactos a empresas e usuários da internet.
A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em agosto do ano passado. Quais são as principais mudanças que essa legislação trouxe? A principal função da LGPD é regulamentar o uso de dados e informações das pessoas por instituições públicas e privadas. O objetivo é garantir o direito à privacidade e à proteção dos dados armazenados de usuários, com a aplicação de regras transparentes e seguras. Como principais mudanças, pode-se destacar que os titulares dos dados terão direito de receber informações sobre como seus dados serão utilizados e poderão solicitar a eliminação dos mesmos quando houver necessidade. As empresas terão de nomear um responsável pela guarda dos dados — esse será o Diretor de Proteção de Dados (Data Protection Officer - DPO). As pessoas poderão acionar a Autoridade Nacional de Proteção de Dados (ANPD) para questionar o uso de suas informações pelas empresas. Com a implantação da LGPD, os titulares deverão ser informados sobre a obtenção de seus dados e como os mesmos serão utilizados posteriormente. Já as empresas terão a obrigação de protegeras informações, revendo suas regras de segurança para evitar acessos indevidos, acidentes ou práticas ilícitas de vazamentos de dados.
Na sua opinião, a LGPD, como foi aprovada, é uma ferramenta eficiente para proteção dos dados pessoais privados de usuários e de empresas? Sim. A LGPD tende a ser uma ferramenta eficiente, uma vez que ela não é isolada, mas converge com princípios da Constituição e da Lei de Acesso à Informação. Nesse momento, observa-se que as empresas estão se adequando para cumpri-la integralmente com investimentos, principalmente em cibersegurança, que, em síntese, são ações e técnicas para proteger de invasões: sistemas, banco de dados, redes e equipamentos. É provável que haja um período com expressivo número de notificações até que as empresas se ajustem, algo que é comum ocorrer na implantação de uma lei.
Como empresas de tecnologia, especialmente aquelas que utilizam dados pessoais através de sites e aplicativos para prestação de serviços, devem se adequar à nova legislação? É essencial que as empresas constituam uma equipe para cuidar dessa questão. Há necessidade de revisão das políticas de gestão de dados, bem como dos termos de aceite que os usuários acordam para acessar sites e aplicativos. Nós, usuários, já estamos observando isso no dia a dia. É importante que sejam criadas ou atualizadas políticas de compliance, uma vez que as empresas terão de reportar imediatamente aos usuários quaisquer incidentes com os dados. Outra mudança necessária será a adequação de processos operacionais. Como os sites e aplicativos, muitas vezes, são providos ou gerenciados por parceiros, deve-se verificar se os mesmos estão em conformidade com as políticas, as diretrizes e as boas práticas definidas pela empresa e alinhados plenamente com a LGPD.
Em fevereiro deste ano, houve um grande vazamento de dados pessoais na internet e os suspeitos são acusados de já terem invadido também os sistemas do Tribunal Superior Eleitoral, do Senado e de outras entidades públicas. Como você entende que a LGPD e a Autoridade Nacional de Proteção de Dados (ANPD) podem agir em casos como esses? Os casos citados são considerados crimes cibernéticos e os autores devem responder com base na Lei n° 12.737/12, também conhecida como “Lei Carolina Dieckmann”, que dispõe sobre a tipificação criminal de delitos informáticos, cuja pena, dependendo do caso, pode chegar a até dois anos de reclusão. Nessa situação, a LGPD é mais um instrumento de apoio para caracterização do referido crime, fazendo com que haja mais elementos para a condenação do(s) autor(es). Entretanto, haverá um trabalho árduo para as autoridades descobrirem o(s) autor(es) e aplicarem as punições cabíveis.
Como a LGPD e a ANPD vão poder atuar, no caso de empresas internacionais? As empresas internacionais que possuem negócios no país terão de se adequar à nova lei e devem se atentar com a legislação do país de origem dos dados e com a legislação do país de destino. Esse tocante é citado na LGPD em seu Artigo 5º, incisos XV e XVI. O mesmo ocorre com empresas brasileiras que prestam serviços para outros países: elas terão de atender à LGPD e à lei de proteção de dados do país onde estão atuando.
Com a pandemia, mais indivíduos, empresas e órgãos públicos aderem aos recursos de internet. Quais orientações você daria a usuários que desejam manter a privacidade de seus dados on-line, enquanto utilizam redes sociais e aplicativos? Com mais pessoas utilizando a internet e transmitindo dados, maiores são as chances de incidentes ocorrerem. Há vários relatos de pessoas que tiveram contas de redes sociais e sistemas de comunicação clonados. As pessoas precisam se proteger de ataques de engenharia social (técnica para enganar um indivíduo a divulgar informações que permitam acesso a dados pessoais relevantes), assim, podemos citar como boas práticas ou orientações: trocar periodicamente suas senhas; preferir senhas fortes que sejam compostas por números, letras maiúsculas e minúsculas e caracteres especiais (% # @ *, ...); evitar acessar redes públicas desconhecidas; evitar usar a mesma senha para acessar diferentes sistemas e redes sociais; acessar sites confiáveis, evitando confirmar mensagens que são disponibilizadas sem antes lê-las e ter ciência do que está concordando; desconfiar de propagandas oferecendo recompensas significativas pela troca de dados pessoais (preenchimento de formulários); não é comum as empresas confirmarem dados pessoais por sistemas de comunicação, quando isso ocorrer certifique-se com a empresa antes de informar os dados solicitados; e realizar compras apenas em sites seguros e de empresas consolidadas.
