Qual é a importância da Proteção de Dados nas empresas?

A 4ª revolução industrial
Vivemos o que alguns chamam de 4ª revolução industrial, baseada segundo dizem em 4 pilares ou leis, entre as quais se encontram:

1. A Lei de Moore: O poder de processamento dobra a cada 18 meses.
2. A Lei de Butter: A velocidade de comunicação dobra a cada 9 meses.
3. A Lei de Kryder: A capacidade de armazenamento duplica a cada 13 meses, o que também resulta em uma grande diminuição do custo de armazenamento por unidade de informação.
4. A Lei de Kurzweil: O ser humano tem uma visão linear do progresso, enquanto a tecnologia avança de forma duplamente exponencial. Ou seja, está próximo o momento em que um computador alcance a potência do cérebro humano, e até mesmo se pode prever quando um conjunto de computadores poderia superar a capacidade de todos os cérebros humanos.

Vivemos em um ambiente cada vez mais data-driven, devido, pelo menos em parte, ao fato de que capturar e armazenar informações tem um custo muito inferior ao de apenas algumas décadas atrás e que podemos armazenar uma maior variedade e profundidade de informações em menos tempo.

Antecedentes (Lei de Proteção de Dados Pessoais)

Na Espanha, a primeira lei que regulava a proteção de informações foi a Lei Orgânica 5/1992, de 29 de outubro, de Regulamentação do Tratamento Automatizado de Dados de caráter pessoal (L.O.R.T.A.D.). No entanto, em apenas alguns anos seu conteúdo se tornou “obsoleto”, sendo atualizado pela conhecida Lei Orgânica 15/1999, de Proteção de Dados de Caráter Pessoal, inicialmente desenvolvida no Decreto Real 994/1999 (Regulamento de Medidas de Segurança) e, posteriormente, devido não apenas à evolução tecnológica, mas também às “lacunas operacionais” da anterior, no Decreto Real 1720/2007 – Regulamento de desenvolvimento da Lei Orgânica 15/1999.

Este desenvolvimento tem sido seguido de uma forma ou de outra em todos os países industrializados, de modo que em cada um deles se legislou durante os últimos 30 ou 40 anos, gerando leis e regulamentos de aplicação nacional.

No entanto, em um mundo cada vez mais globalizado, com o crescimento dos grupos empresariais internacionais, surgem novas carências devidas principalmente a:

• Grupos empresariais com presença em países onde os níveis de legislação em matéria de proteção de dados são desiguais ou muito desequilibrados.
• Grupos empresariais que posicionaram em geografias com legislação menos desenvolvida centros operacionais onde são processados dados das matrizes.
• Dados tratados em diversas geografias, o que implica também as transferências de informação e suas possíveis interceptações.

Assim que nos últimos anos tem-se trabalhado na construção de legislação supranacional ou internacional, principalmente dos EUA e da União Europeia.

Em qualquer caso, as equipes de trabalho de ambas as iniciativas têm estado em estreita colaboração. Portanto, pode-se dizer que o resultado obtido em ambos os casos é coincidente em um alto percentual de seu conteúdo, garantindo assim que nossos dados tenham o mesmo nível de proteção legal tanto no âmbito dos EUA quanto no âmbito europeu.

Adicionalmente estas novas legislações contemplam não só regulamentação para a transferência internacional de dados, mas também legislam as medidas e tratamentos que devem ser assegurados para que os dados próprios de uma geografia possam ser processados em outra.

Ou seja, um dado de origem francesa, tem garantido um tratamento homogêneo em toda a União Europeia. Mas além disso, se este dado fosse processado, por exemplo, no Marrocos, a entidade processadora deverá assegurar neste terceiro território as mesmas medidas de proteção e segurança que se o dado estivesse em seu país de origem.

Na Europa, a legislação resultante é o GDPR (General Data Protection Regulation; Regulamento UE 2016-679) ou RGPD em espanhol. Com nosso relatório GDPR à espanhola, você terá claro o que é. Se quiser mais informações sobre esta legislação, você tem o trailhead European Union Privacy Law Basics, que também pode ser complementado com o Learn Privacy and Data Protection Law.

Contribuições históricas na proteção de dados

Como mencionamos anteriormente, a legislação atual é apenas uma evolução da elaborada ao longo das últimas décadas. No entanto, para realizar algumas reflexões, nos concentraremos em algumas definições, princípios e direitos já enunciados no ano de 1999.

Definições

Desde a lei 15/1999 de Proteção de Dados de Caráter Pessoal são apresentadas as seguintes definições “básicas”:

• Dado de Caráter Pessoal: Qualquer informação concernente a pessoas físicas identificadas ou identificáveis.
• Arquivo: Todo conjunto organizado de dados de caráter pessoal, qualquer que seja a forma ou modalidade de criação, armazenamento, organização e acesso.
• Tratamento de dados: Operações e procedimentos técnicos de caráter automatizado ou não, que permitam a coleta, gravação, conservação, elaboração, modificação, bloqueio e cancelamento, assim como as cessões de dados que resultem de comunicações, consultas, interconexões e transferências.
• Procedimento de dissociação: Todo tratamento de dados pessoais de modo que a informação obtida não possa ser associada a uma pessoa identificada ou identificável.
• Consentimento do interessado: Toda manifestação de vontade, livre, inequívoca, específica e informada, mediante a qual o interessado consente o tratamento de dados pessoais que lhe dizem respeito.

Essas definições, com algumas nuances, continuam sendo válidas na data atual e, de fato, estão incluídas, já com maior precisão e enriquecimento no RGPD.

Princípios e Direitos

Também desde 1999 se estabelecem um conjunto de princípios relativos à informação de caráter pessoal, destacando os princípios de qualidade de dados, que se resumem nos seguintes axiomas:

• Os dados serão exatos e atualizados de forma que respondam com veracidade à situação do afetado.
• Os dados de caráter pessoal registrados que sejam inexatos, no todo ou em parte, ou incompletos, serão cancelados e substituídos de ofício pelos correspondentes dados retificados ou completados.
• Os dados de caráter pessoal serão cancelados quando deixarem de ser necessários ou pertinentes para a finalidade para a qual foram coletados ou registrados.

No que diz respeito aos direitos, e para as reflexões que apresentamos mais adiante, destaca-se de forma inequívoca o Direito à informação na coleta de dados pelo qual, os interessados devem ser previamente informados:

• Da existência de um arquivo ou tratamento de dados de caráter pessoal, finalidade e destinatários.
• Do caráter obrigatório ou facultativo de sua resposta.
• Das consequências da obtenção dos dados ou da recusa em fornecê-los.
• Da possibilidade de exercer os direitos de acesso, retificação, cancelamento e oposição
• Da identidade e endereço do responsável pelo tratamento ou, se for o caso, de seu representante

Reflexões

Até este ponto, falamos de legislação, de conceitos, de princípios, de direitos… Resta falar de sua implementação; porque a legislação fornece um quadro de atuação a partir do qual operacionalizar e colocar em prática, no dia a dia, cada um em seu papel, aquilo que lhe for aplicável.

Como dissemos no início, vivemos em um mundo onde queremos registrar, e de fato registramos, tudo o que é possível. Dados pessoais, dados de transações, dados de nossa atividade diária graças ao IoT... mas... os sistemas (e seus responsáveis) aplicam a legislação corretamente?

Temos procedimentos para verificar se a informação é correta, exata e atualizada? Eliminamos aquelas informações que deixam de ser necessárias para o fim para o qual foram coletadas (ou quando esse fim desaparece)? Apagamos informações pessoais de candidatos a um emprego quando este é preenchido, se essas informações foram coletadas para preencher a vaga específica?

Asseguramo-nos de que nossos funcionários e/ou colaboradores ou até mesmo nós mesmos não compartilhamos senhas? Quando provocamos as mudanças de senhas ou somos obrigados a mudá-las... vamos além do mero incremento em uma unidade do último dígito de nossa senha? Estamos conscientes de que esses hábitos podem favorecer que sejamos substituídos nos sistemas?

RGPD

Como mencionamos anteriormente, a RGPD é o marco legislativo europeu comum em matéria de proteção de dados pessoais. Como poderão ver nos seguintes Princípios de Tratamento, os pilares sobre os quais está construído são os já mencionados, desenvolvidos com maior rigor e precisão:

• Licitude: Lealdade e transparência com o interessado.
• Limitação dos fins: Coletados com fins determinados, explícitos e legítimos e não tratados posteriormente de maneira incompatível com esses fins.
• Minimização dos dados: Adequados, pertinentes e limitados ao necessário em relação aos fins para os quais são tratados.
• Exatidão: Atualizados sem demora em relação aos fins para os quais são tratados.
• Limitação do prazo de conservação: Mantidos de forma que permita a identificação dos interessados durante não mais tempo do que o necessário para os fins para os quais são tratados.
• Integridade e confidencialidade: Implementar medidas técnicas e organizacionais adequadas para proteger os dados contra tratamentos não autorizados ou ilícitos e sua perda, destruição ou dano acidentais.
• Responsabilidade proativa: Sendo responsável e capaz de demonstrar o cumprimento de todos os princípios do tratamento.

Violações frequentes da segurança da informação

Como grande novidade, o RGPD incorpora a obrigação, por parte de qualquer entidade física ou jurídica que sofra uma violação de dados, de notificar esta não apenas à autoridade de controle, mas a todos e cada um dos interessados afetados em um máximo de 72 horas.

As violações mais frequentes são resumidas na seguinte lista:

• Acesso a dados não autorizados:
• Responsável pelo tratamento sem o contrato correspondente
• Acesso indiscriminado a impressoras, fotocopiadoras, etc.
• Acesso a informações confidenciais não autorizadas: folhas de pagamento, currículos, etc.
• Acesso não autorizado aos sistemas informáticos
• Comunicação de dados não autorizada:
• Transmissão ilícita de dados para um ou vários destinatários.
• Violação do sigilo profissional.
• Publicação de imagens sem autorização do interessado.
• Envio de e-mails em massa sem ocultar destinatários (cópia oculta).
• Alteração de dados:
• Modificação mal-intencionada de dados.
• Falsificação de dados.
• Recuperação ineficaz de cópias de backup.
• Perda de informação:
• Extravio ou esquecimento de suportes.
• Roubo ou subtração de informação.
• Desinstalação de aplicativos.
• Por causas do transporte.
• Destruição de dados:
• Não usar destruidores de papel ou de suportes digitais.
• Incêndio, inundação ou outras causas alheias à empresa.

Conclusão

E até aqui chega o marco legislativo e de aplicação em matéria de proteção de dados de caráter pessoal. Como destacamos, o marco deve ser operacionalizado nos sistemas, no nosso dia a dia e em cada papel que desempenhemos.

Como cidadãos usuários intensivos de cartões affinity ou de pontos devemos estar cientes de que cada vez que passamos o cartão estamos registrando uma operação com detalhes de valores, momentos, etc.

E quando operamos com sistemas de informação, aplicamos os mecanismos para apagar os dados que não possamos garantir que sejam corretos e/ou estejam atualizados? Se temos uma base de dados de clientes, apagamos os dados daqueles que deixam de ser clientes? Caso não o façamos, temos argumentos para, em caso de inspeção, poder justificá-lo?

E assim uma infinidade de situações em que, como recomendação final, especialmente para aqueles que projetamos e operamos sistemas de armazenamento de informações, devemos levar nosso tempo para decidir como operacionalizar e cumprir a legislação tendo, em cada caso, o respaldo jurídico para nossa forma de agir.