A PROTEÇÃO DE PRIVACIDADE DOS DADOS PESSOAIS É TEMA ATUAL.

A Regulação Geral de Dados , tem a sigla GDPR (em inglês, Global Data Protection Regulation) e trata da proteção de privacidade dos dados pessoais, evitando um incidente de segurança no sentido de haver vazamento de informações.

 A Lei adotada pela União Europeia entrou em vigor em 25 de maio de 2018 e tem a intenção de dar proteção aos cidadãos europeus, mas também é aplicada à atuação tanto de empresas da União Europeia, quanto de empresas estrangeiras que processem informações de cidadãos europeus.  Pode ser ainda  aplicada para residentes em países da União Europeia.

A Lei protege os dados considerados “sensíveis” ou “confidenciais”, evitando que estes sofram um processamento em desconformidade com a lei, o que pode ser feito de forma intencional ou não por parte do processador das informações.

O termo “processamento de dados” diz respeito a vazamento de informações, hipóteses de perda de dados, destruição e acesso indevido, ou alteração indevida de dados visando um maior controle aos cidadãos e residentes da União Europeia.

Os conceitos mais importantes para se gravar sobre a GDPR são sobre a identificação pessoal que permitem a identificação inequívoca do indivíduo.

Esta identificação pode ser algo simples e direto denominados dados pessoais como “nome, completo ou número de documento,  data de nascimento e endereço, etc”, diferente de dados sensíveis que envolvem “crenças religiosas, convicções políticas, orientação sexual, informações médicas e biológicas, associações sociais e sindicais, biometria, etc.”.

O cruzamento dos dados pessoais com os dados sensíveis em havendo vazamento pode causar grande desconforto para o cidadão ou para as empresas. Para tanto é necessário obedecer os cinco princípios básicos. São eles: 

• Transparência: clareza na divulgação de coleta de dados, declarar a base legal para efetuá-la e a finalidade do processamento desses dados, além de por quanto tempo serão armazenados e se estão sendo compartilhados com terceiros, especialmente se para fora da União Europeia. 

• Minimização e especificação de propósito: a empresa deve coletar o mínimo de dados que ela precise para validar o cadastro do usuário e deve reduzir a extensão de formulários de cadastro. De mesmo modo, todos os requisitados têm que ter o seu propósito especificado. Isso faz com que as empresas sejam obrigadas a otimizar o processamento da informação, requerendo do usuário apenas dados relevantes à sua atividade ou serviço. 

• Retificação da informação: dados incorretos ou desatualizados deverão ser retificados. O titular dos dados tem o direito de revogar sua permissão a qualquer momento e o direito de ter seus dados apagados sob certas circunstâncias. 

• Direito à portabilidade de dados: Os titulares de dados têm o direito de solicitar uma cópia portátil de suas informações coletados por um processador (empresa que processe dados) em um formato comum, ou seja, de fácil consumo para o usuário, como, ".txt, ou .html". Este é um recurso atual do Facebook, por exemplo – você pode requisitar a visualização e o download de seus dados que estejam sob custódia da rede social em Configurações > Your Facebook information. 

• Direito ao Esquecimento: o usuário tem o direito de perguntar para empresa quais dados seus ela tem e o que ela está fazendo com isso. Os dados que não forem mais necessários deverão ser excluídos. 

O vazamento de informações implica numa sanção, multa de 20 milhões de euros ou 4% da receita global anual da empresa (o que representar o valor mais alto). Por exemplo, se o Google violasse essas regras, por exemplo, as multas poderiam chegar a 4 bilhões de dólares (por conta do faturamento anual da Alphabet, que em 2017 foi de mais de 100 bilhões). 

NO BRASIL, alguns casos de vazamento de informação tiveram grande exposição midiática. Por exemplo, Uber e Netshoes que emvolveram cidadãos do escalã0 do governo e pessoas do Planalto.

O Compliance (conformidade, em português) abrange todo o processo  e a tecnologia que é utilizada numa determinada negociação. A tecnologia deve dar suporte à conformidade. O mais importante são as pessoas envolvidas na organização e sobretudo na operação que está em operação.

Uma cartilha de boas práticas aplicada às equipes de TI ou segurança, bem como a outras equipes de financeiro e operações. Um bom treinamento, conscientização e a disseminação de uma cultura de segurança é necessário para proteger-se das ameaças diárias.

O maior investimento é para os funcionários e usuários envolvidos na segurança de informações, no sentido de criar uma cultura de segurança na empresa. Os hábitos ruins devem ser abandonados e o comportamento e adesão ás boas práticas bem como às políticas de segurança da informação sólidas elaboradas com base na realidade da empresa e das necessidades de atender às demandas trazidas para a empresa, denominados mindset, através de conscientização das pessoas.

Para implementar a GDPR deve seguir os seguintes passos:  

1. Levantamento inicial para verificar o nível de aderência à norma- Passo após é fazer um projeto do plano de ação;  
2. Elaborar métricas através de controles e padrões – Passo após resstruturar e adaptar aos novos processos e tecnologias;  
3. Monitoramento através de auditorias. As auditorias podem ser feitas através de equipe interna ou contratação de uma consultoria.

FIM