Prévia do material em texto
29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 1/18 Segurança empresarial e patrimonial Unidade 4 – Lei geral de proteção de dados Autor: Professora Amanda Kathleen Harrison Revisor Técnico: Fábio Rodrigues Iniciar Introdução Bem-vindo(a) novamente. Nesta unidade abordaremos a Lei de Proteção de Dados, sua origem, seus aspectos e impactos. Trata-se de uma lei federal de agosto de 2018, com vigência prevista para iniciar em agosto de 2020 (pode sofrer uma prorrogação em virtude da pandemia mundial do coronavírus e ter sua vigência somente a partir de 01/01/2021), que modi�ca alguns aspectos da Lei 12.965/14, mais conhecida como Marco Civil da Internet, que regula o uso da internet no Brasil. Já falamos da importância da segurança da informação dentro das organizações. A lei geral de proteção de dados vem para regulamentar e aumentar o nível de segurança 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 2/18 de bancos de dados e informações pessoais de pessoas físicas nas empresas. Todas as organizações brasileiras, de todos os setores e portes, públicas e privadas, estarão enquadradas nesta lei e terão de adequar seus planos de segurança para estarem em conformidade. Deverão redesenhar seus planos para que estejam comprometidas com a proteção da privacidade e segurança de informações de clientes e usuários e, por outro lado, serão observadas e cobradas para que tratem essas informações com todo cuidado e no rigor da lei. Falaremos dos impactos, assim como do marco civil da internet, que deverá ser alterado com a vigência da lei geral de proteção de dados e revolucionará o tratamento de informações por parte das empresas e imperar em discussões jurídicas, econômicas e sociais por algum tempo. Por que a necessidade desta lei? Quais os direitos protegidos por ela e o que exatamente são dados pessoais? Veremos como todos esses aspectos in�uenciam no planejamento da segurança de informação de uma organização. Você quer ler Nome: Proteção de dados pessoais: a função e os limites do consentimento. Autor: Bruno Ricardo Bione Ano: 2019 ISBN: 978-85-309-8328-4 O livro traz, de forma extremamente detalhada, tudo o que diz respeito à identidade de pessoas, dados pessoais e tratamento deles de acordo com a nova Lei Geral de Proteção de dados. 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 3/18 1. Lei geral de proteção de dados A Lei 13.709/2018 – Lei Geral de Proteção de Dados, que chamaremos de LGPD, regulamenta a proteção de dados pessoais. Como já dito, ela ainda não entrou em vigor e tem sua vigência prevista para agosto de 2020. No entanto, há um projeto de lei do dia 03/04/2020 que pede sua prorrogação para 01/01/2021 e que suas sanções passem a vigorar somente a partir de agosto de 2021, de modo que ainda não há informação concreta quanto à sua vigência efetiva. A LGPD é inspirada na GDPR ( General data protection regulation) , lei de proteção de dados que vigora desde maio de 2018 na União Europeia. A nova lei brasileira regulamenta a segurança de informações de clientes e usuários de todas as empresas instaladas em território nacional. Vale lembrar que os órgãos estatais brasileiros que possuem negócios com a União Europeia já são obrigados a garantir o tratamento de dados de acordo com a GDPR para manter a relação, caso contrário correm o risco de sofrer penalidades e ainda perder credibilidade no mercado internacional. Primeiramente, devemos de�nir o que são dados pessoais: Nome e sobrenome; Endereços (comercial/residencial); Endereço de e-mail ; Números de RG e CPF; Dados de localização do celular; Endereço IP (Protocolo de Internet ); Cookies de internet (testemunhos de conexão). Todos estes dados são chamados de pessoais, pois identi�cam o usuário. Além destes, outros, como raça, etnia, cor, religião e informações sobre saúde e vida sexual, também são considerados dados sensíveis e deverão ser protegidos. Na 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 4/18 vigência da nova lei, não somente dados colhidos nas formas digitais serão protegidos, mas também os dados coletados em papel, por fotos e até por áudios. Tratamento de dados, como menciona a lei, são todas as operações feitas com dados pessoais, desde a coleta, registro e organização até a consulta e divulgação. Ou seja, é o processo que permite que organizações obtenham dados pessoais de usuários e os trate de acordo com os seus interesses. A condição fundamental para o tratamento destes dados será o consentimento do titular, que signi�ca a concordância deste em dar suas informações pessoais e o tratamento dado pela empresa que os coletar. Por isso, a �nalidade da coleta, meio de captura dos dados e tempo de armazenagem em bancos de dados deverão ser informados claramente ao usuário, e este terá pleno direito de revogar sua concordância a qualquer tempo, assim como solicitar alterações, portabilidade e correções. A lei cria a Autoridade Nacional de proteção de dados, que será um órgão ligado à Presidência da República e que deverá zelar pela proteção de dados pessoais, �scalizar e aplicar as penalidades administrativas, dentre outras competências. A lei também criará o Conselho Nacional de Proteção de Dados Pessoais e Privacidade, com representantes dos poderes executivo, legislativo e judiciário, além do ministério público, sociedade civil e setor empresarial, que enviará propostas de diretrizes, fará relatórios, estudos e debates sobre o tema. Mas o que muda com a vigência da Lei? Atualmente, quando um usuário informa seus dados pessoais a uma empresa, qualquer que seja, ele não tem conhecimento de como estas informações são e serão tratadas, se permanecem em um banco de dados, se são armazenadas com a devida segurança, se são repassadas a outras empresas ou órgãos estatais, se são vendidas. Se houver um vazamento, este também não é comunicado, e muitas vezes o usuário nem tem conhecimento de que seus dados foram invadidos e vazados e que 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 5/18 terceiros desconhecidos tiveram acesso. Quantos de nós nunca tiveram a surpresa de ser contatado por uma empresa com a qual nunca tivemos contato anterior, por exemplo? O intuito da criação dessa nova lei é dar ao usuário segurança para informar seus dados pessoais e saber o caminho que eles percorrem, além de ter o direito de solicitar sua correção, portabilidade ou exclusão a qualquer tempo. A vigência da lei fará com que a empresa que recolhe os dados pessoais do seu cliente/usuário, estabeleça uma espécie de contrato, no qual o usuário permite o uso de suas informações para determinado �m, ou seja, se não houver consentimento, esses dados não poderão ser repassados ou utilizados. Além disso, obriga as empresas detentoras destas informações a tratar os dados com segurança para que não vazem e, se acontecer, que o usuário seja informado e que providências sejam tomadas para cessar ou prevenir qualquer dano que possa ser causado ao titular dos dados. No que diz respeito às companhias públicas ou privadas, a lei estabelece algumas funções necessárias para o tratamento de dados pessoais. Quem decide sobre o tratamento das informações é chamado de controlador. A empresa para a qual o titular fornece seus dados pessoais com um �m especí�co é tida como coletora de dados. O operador será quem realiza o tratamento em nome do controlador, e este tanto pode ser uma pessoa natural, no casoum empregado, quanto jurídica, uma vez que existem empresas especializadas em operar o tratamento de dados em nome de uma empresa (controlador). O controlador, junto com o operador, deverá providenciar um encarregado. Este pro�ssional será denominado DPO (data protection o�cer/O�cial de proteção de dados) e será a pessoa que fará o papel de canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de dados. 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 6/18 Será também o responsável por orientar os demais funcionários de segurança da informação sobre as práticas de proteção de dados pessoais, além de garantir o cumprimento da lei. Pode se entender também que a constituição desta lei é um instrumento jurídico essencial para a proteção da pessoa humana e garantia de direito fundamental. Considerando que a constituição federal é datada de 1988, quando a internet não era usada como é atualmente, não havia necessidade de se pensar em tratar dados informados eletronicamente. Hoje, qualquer empresa solicita os dados pessoais de seu cliente ou usuário para diversos �ns. Normalmente o tratamento é automatizado, o que traz riscos para a empresa que os armazena, visto que podem ser expostos, usados de forma indevida ou abusiva, utilizados por terceiros mal intencionados. Por isso, foi necessário construir diretrizes que permitem ao titular dos dados saber como sua informação é utilizada e tratada por cada uma das empresas para as quais os informar. Mas, quais empresas estarão sujeitas à lei? Todas as empresas privadas ou públicas que gerem base de dados pessoais com o objetivo de oferecer produtos ou serviços. Estas empresas deverão se adequar à Lei e tratar dados pessoais para de�nir o per�l de consumo de uma pessoa, porém será necessário o consentimento do titular dos dados. Sem o consentimento, só se poderá gerar base de dados com �m legitimado por lei. O titular terá direito de pedir revisão das decisões tomadas com base em tratamento automatizado de dados pessoais que afetem seus interesses. Dependendo do tratamento que a empresa �zer, de seu objetivo e do consentimento ou não, isso poderá ser considerado irregular. 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 7/18 Por exemplo, selecionar um cliente para determinada ação de venda baseando-se em dados sobre origem racial, religião, política, �liação sindical, vida sexual, dado genético pode ser enquadrado como discriminação. E será preciso solicitar o consentimento explícito para enviar, via e-mail, alguma promoção comercial aos clientes. Quando é permitido o tratamento de dados (compra de pacotes de dados com somente informações que interessar) 1. Consentimento: Quando o titular consente de forma explícita.(Sugestão de imagem: ( https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html? oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1 ah|&mediapopup=34138450 ) 2. Obrigação: Quando houver determinação em lei para que os dados sejam tratados. (Sugestão de imagem: https://br.123rf.com/stock- photo/gest%C3%A3o_de_dados.html? oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1 ah|&mediapopup=45471309 ) 3. Política Pública ou órgão de pesquisa: Quando for necessário para planejar políticas públicas ou órgãos de pesquisas realizarem estudos, neste caso o titular não pode ser individualizado. (Sugestão de imagem: https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html? oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1 ah|&mediapopup=13275695 ) 4. Garantia da Vida e da Saúde: Quando a questão tiver como objetivo a garantia da integridade, da vida e relacionadas a saúde do titular. (Sugestão de imagem: https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html? oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1 ah|&mediapopup=52117446 ) 5. Contratos e Processos: Na execução de contratos e assuntos relacionados e em processos judiciais e administrativos. (Sugestão de Imagem: https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html? oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1 ah|&mediapopup=35164719 ) 6. Crédito: Para proteção do crédito respeitando o disposto do Código de defesa do consumidor. (Sugestão de Imagem: https://br.123rf.com/stock- photo/cr%C3%A9dito.html? https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1ah|&mediapopup=34138450 https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1ah|&mediapopup=45471309 https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1ah|&mediapopup=13275695 https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1ah|&mediapopup=52117446 https://br.123rf.com/stock-photo/gest%C3%A3o_de_dados.html?oriSearch=gest%C3%A3o+administrativa&sti=mqeohi2rs4p6ggw1ah|&mediapopup=35164719 https://br.123rf.com/stock-photo/cr%C3%A9dito.html?oriSearch=gest%C3%A3o+de+dados&sti=o8r7xp8mb5b25ha9ee|&mediapopup=27104717 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 8/18 oriSearch=gest%C3%A3o+de+dados&sti=o8r7xp8mb5b25ha9ee|& mediapopup=27104717 ) 2. Política de tratamento de dados Algumas empresas já se anteciparam à lei e utilizam mensagens em suas páginas eletrônicas sobre a utilização de cookies de navegação e marketing. Algumas informam sua política de privacidade, sobre transparência nas informações coletadas e na proteção dos dados pessoais de seus usuários e clientes. Ao estabelecer uma política de tratamento de dados, a empresa precisa seguir alguns princípios para que consiga atender o que demanda a lei que ainda entrará em vigor, que por sua vez também seguiu os mesmos princípios quando foi elaborada: Princípio da publicidade (ou da transparência) Princípio da exatidão Princípio da finalidade Princípio do livre acesso Princípio da segurança física e lógica https://br.123rf.com/stock-photo/cr%C3%A9dito.html?oriSearch=gest%C3%A3o+de+dados&sti=o8r7xp8mb5b25ha9ee|&mediapopup=27104717 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxApp… 9/18 Quando falamos em segurança da informação, o departamento de segurança patrimonial deve incluir a questão do tratamento de dados em seu planejamento. Ainda que neste momento a lei não esteja em vigor, é preciso contar com essa estrutura. Se a organização faz coleta de dados pessoais para �ns comerciais, o gestor de segurança deverá incluir em seu planejamento a implantação das medidas de tratamento de dados, de acordo com o que estabelece a lei, e providenciar ou pelo menos prever a contratação/nomeação do encarregado pelo tratamento. Os serviços de inteligência da empresa também deverão estar integrados e alinhados com o encarregado do tratamento de dados, pois existem diversos tipos de ataques cibernéticos e os bancos de dados conectados à internet são extremamente vulneráveis, caso a empresa não possua um sistema de segurança avançado e e�ciente para bloquear estes ataques. 3. Violação de dados Um caso bastante conhecido de falta de tratamento e falha de segurança foi o vazamento de dados de milhões de usuários do Facebook . No Brasil, existem con�rmações de vazamentos em alguns casos. O primeiro ocorreu com a Netshoes , que sofreu ataques em 2017 e 2018, e foi penalizada em 500 mil reais pelo vazamento de dados de mais de 2 milhões de clientes. Houve também o caso do BancoInter, que teve os dados pessoais de seus correntistas vazados. A multa foi de 1,5 milhão de reais. Além destes exemplos, a empresa de proteção de crédito Boa Vista, que faz concorrência com SPC e Serasa, foi atacada por um hacker, mas após dois meses de investigações o Ministério Público concluiu que não houve vazamento. 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 10/18 As Lojas C&A foram atacadas em 2018 e o próprio hacker con�rma que dados de pelo menos 2 milhões de pessoas podem ter sido expostos a terceiros. A legislação europeia tem a de�nição para a caracterização da violação de dados pessoais: “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”. ( UNIÃO EUROPEIA, 2016 ) Desta forma, como exposto acima, mesmo no caso da C&A, embora o vazamento tenha sido somente com a visibilidade dos dados por terceiros, já aconteceu a violação. Por isso, a empresa controladora das informações precisa minimizar os danos e responder de forma satisfatória aos titulares interessados e também à sociedade. É dever das empresas possuir dispositivos de proteção de dados pessoas, como a criptogra�a. Em caso de vazamentos, os titulares devem ser comunicados imediatamente, o encarregado será o ponto de comunicação e junto com o operador deverá antecipar os impactos e tomar todas as providências possíveis para minimizar os danos. Na vigência da Lei 13.709/2018, deverá comunicar a Autoridade Nacional de Proteção de Dados sobre o vazamento dentro do prazo estabelecido por este órgão. O titular também poderá denunciar irregularidades caso identi�que alguma violação das normas de proteção de dados. Inicialmente, o ideal é entrar em contato com o controlador por meio de requerimento expresso para que sejam tomadas providências. Caso não haja nenhuma resposta, poderá também requerer aos órgãos de defesa do consumidor e peticionar à Agência Nacional de Proteção de dados, informando a violação. Apurada a veracidade da denúncia e a efetiva violação da lei, o controlador/empresa pode ser penalizado com sanções que partem de simples advertência, multa de 2% 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 11/18 de seu faturamento anual até 50 milhões de reais por infração. O titular lesado também poderá exercer seu direito e requerer em juízo a reparação de danos materiais e morais, e, claro, a empresa poderá amargar os efeitos de sua má gestão, com as notícias dadas pela mídia e sua exposição negativa. Você quer ver Nome: Black Mirror Ano: 2007 Uma série britânica exibida em 5 temporadas retrata uma realidade futurística com diversos capítulos que retratam os problemas de segurança de dados pessoais. 4. A relação da lei geral de proteção de dados, o cadastro positivo e o marco civil da internet Falamos da Lei Geral de Proteção de Dados, que a partir da sua vigência, complementa a lei 12.965/14 – Marco Civil da Internet, no que diz respeito aos direitos e garantias, como a liberdade de expressão, a privacidade online e a proteção de dados pessoais. O Cadastro positivo foi criado pela Lei 12.414/2011 e está ativo desde 2013. Porém, na época de sua criação, o titular dos dados deveria aderir ao programa. Atualmente, por força da alteração trazida pela Lei Complementar 166/2019, a adesão é 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 12/18 automática para consumidores e empresas e o titular deve manifestar-se caso queira sair do cadastro. Este cadastro é utilizado por bancos, instituições �nanceiras, lojas e outras empresas. Nele consta o histórico de operações �nanceiras do titular, ou seja, dá a possibilidade, a quem consulta, de saber o comportamento do titular, se é bom pagador, e assim traçar um per�l de crédito e poder oferecer melhores e maiores oportunidades para este “cliente” com base em seu histórico de pagamentos. Este sistema é controlado pelos bureaus de crédito (SPC, Serasa e Boa Vista), e as informações não são disponibilizadas a qualquer interessado, é necessária uma autorização prévia. A ideia deste cadastro é permitir que o consumidor tenha sua análise de crédito o mais justa possível. Suas transações e pagamentos formam o que é chamado de score, que é uma espécie de pontuação pela qual é medido o nível de adimplemento. Se o titular não autorizar que suas informações pessoais sejam disponibilizadas, somente seu score será divulgado. Com autorização, bancos e empresas terão acesso ao histórico detalhado com indicação do costume de cumprir com prazos de pagamento. Informações como valor de salários, saldos bancários, limites de cartão de crédito, aplicações �nanceiras e outras que não estejam diretamente ligadas à oferta de crédito jamais poderão ser divulgadas ou compartilhadas por estes bancos de dados. Podemos traçar um paralelo entre a Lei Geral de Proteção de Dados e o Cadastro Positivo, e entender que neste caso especí�co, de alguma forma, podemos já enxergar o cumprimento da Lei de Proteção. Veja que os dados do titular só podem ser compartilhados sob seu consentimento e este tem a opção de se retirar do cadastro a qualquer tempo. Sendo bancos de dados pessoais, os controladores (SPC, Serasa e Boa Vista) precisam tratar os dados e garantir a segurança contra ataques e vazamentos. 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 13/18 Já o Marco Civil da Internet, instituído pela Lei 12.965/2014, regula o uso da internet no território nacional, estabelece princípios, garantias, direitos e deveres das partes. O objetivo desta lei é disciplinar a relação entre empresas prestadoras de serviços de internet (provedores) e o usuário. Provedores são tanto as empresas que o usuário contrata para acessar a internet (provedores de conexão) como também as empresas que fornecem serviços como e- mails, sites, blogs e redes sociais (provedores de aplicação). O provedor de conexão é o meio usado para acessar o provedor de aplicação, e a lei dispõe sobre cada um deles de forma distinta. O Marco Civil possui alguns princípios gerais: Princípio da neutralidade Princípio da Privacidade Princípio da Fiscalização O decreto desta lei marca também a distinção entre os conceitos de dados pessoais, as informações como CPF, RG, dados da sua localização e identi�cações eletrônicas e as formas que eles serão tratados, a coleta, a classi�cação, a produção e a utilização. Mais uma vez, podemos comparar o Marco Civil com a Lei Geral de proteção dados e veri�car que, para as empresas de serviços de telefonia e internet, o tratamento de dados já funciona em seus departamentos de segurança e coleta de dados. Concluímos que a Lei Geral de Proteção de dados virá para regular outras empresas diversas das empresas reguladas pelo Marco Civil e pelo Cadastro Positivo, ou seja, empresas que vendem produtos ou serviços e que possuem um banco de dados de seus clientes, com informações pessoais que os identi�cam. 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 14/18 E como garantir a segurança dos dados pessoais nos bancos de registros de uma empresa? As empresas que coletam informações pessoais de seus consumidores deverão dar atenção redobrada à segurança de dados, já que são responsáveis por guardar e criar mecanismos que protejam tais informações de terceiros. A nova Lei Geral de Proteção deDados (LGPD) estabelece várias diretrizes para disciplinar a forma como eles são coletados, utilizados, repassados e, inclusive, comercializados. O primeiro passo para se adequar diz respeito à criação de uma Política de Privacidade para a página de internet que a empresa utiliza ou venha a utilizar para fazer suas vendas ou qualquer outro meio de captação e gestão de informações pessoais dos usuários. Nesta política, a empresa é obrigada a informar, clara e objetivamente, quais os dados colhidos e de que forma serão utilizados. Para as empresas que operam seus negócios no meio virtual, a base para passar credibilidade aos usuários é manter sigilo das informações coletadas, o que também contribui para afastar consequências negativas como multas aplicadas por autoridades administrativas e processos judiciais que lhes obrigue a indenizar clientes lesados. Para isso, o investimento em tecnologia de ponta deve ser primordial, para bloquear qualquer tipo de acesso de terceiros mal-intencionados, invasões para apropriação de dados e até mesmo evitar que os próprios clientes vejam os dados uns dos outros. Uma das formas e�cientes de garantir a segurança de dados é a implantação de criptogra�a em todo o sistema de tratamento de dados. No Brasil, temos um exemplo bastante comentado, que foi o fato de a justiça brasileira ter suspendido os serviços do comunicador virtual Whatsapp por não informar dados pessoais, conversas e outros conteúdos de determinado usuário, prática que é protegida pelo Marco Civil. Porém, como o comunicador é protegido por um sistema de criptogra�a de ponta a ponta, o controlador não possui acesso aos dados solicitados pela justiça e, desta 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 15/18 forma, não tinha condição de cumprir a determinação judicial e não seria justo suspender seus serviços. Por isso, a política de privacidade se torna tão importante, é a forma mais e�caz de cumprir a Lei e informar aos clientes as condições de funcionamento de uma página da internet, aplicativo, ou outra plataforma que funcione através da coleta de dados. É uma obrigação da organização e a comunicação precisa ser transparente. Nesta política, é importante esclarecer como serão utilizados os dados coletados, e se limitar à �nalidade que ensejou a coleta, discriminar as razões da coleta, se somente para cadastro, se podem ser base para outros planos comerciais ou estratégias ou se poderão eventualmente ser cedidos a parceiros comerciais. Neste caso, é importante informar o usuário de que suas informações poderão ser acessadas por parceiros ou colaboradores que tenham acesso ao banco de dados. Outro ponto de atenção são os anúncios de outras marcas inseridos nas páginas de internet. Eles funcionam de forma independente da empresa proprietária da página, e desta forma podem ser uma porta para o levantamento de dados por terceiros. É preciso que a empresa proprietária da página tenha o cuidado de informar seus clientes sobre meios de prevenção para barrar estes anunciantes e divulgar a lista de parceiros que poderão ter acesso às informações coletadas. Existem algumas informações de usuários que independem de preenchimento, sua coleta é automática e o acesso é livre, como no caso do endereço IP, do browser e do tempo de permanência em cada página da web visitada, o que não exime a empresa de ser transparente. Diante dos recursos que temos atualmente, as empresas e marcas se utilizam das redes sociais para �carem mais próximas de seu público. Daí surgem outras necessidades de segurança, como por exemplo incluir na política de privacidade capítulo especí�co para estas plataformas digitais, listando todos os canais utilizados, informando que não possui o direito de compartilhar informações ou fotos de seus clientes e usuários em seus per�s. 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 16/18 Um exemplo de má conduta é utilizar foto de um cliente para promover uma ação de marketing em sua página. No entanto, através do comportamento de seus clientes e da interação, é possível planejar ações adequadas e direcionadas ao público que a empresa deseja atingir. Quando as empresas efetuam vendas através de seus sites, é importante que proteja também os dados �nanceiros de seus clientes. Esta exposição é um dos tópicos mais procurados em políticas de privacidade e, por isso, é essencial que as garantias de segurança sejam extremamente claras e que o cliente tenha certeza de que não serão acessadas por terceiros. Por �m, é fundamental que a empresa possua um canal de comunicação com o cliente/usuário para dar suporte e esclarecer sobre os padrões de segurança no processamento de pagamentos, quais os procedimentos de compra, como se dá o armazenamento dos dados �nanceiros, se usa criptogra�a, se o pagamento é intermediado por parceiros, por quanto tempo os dados pessoais �cam armazenados, informar política de cookies . Vemos que, com o advento da nova lei, o departamento de segurança de uma empresa que efetua coleta de dados pessoais de seus usuários ou clientes para quaisquer �ns, terá de se adequar. Neste caso, em conjunto com o departamento de tecnologia da informação, terão de providenciar dispositivos de segurança de dados pessoais para tratamento de seu banco de dados, além de políticas de privacidade e transparência. Você quer ver Nome: Nada é Privado: O escândalo da Cambridge Analítica Ano: 2019 Um documentário que aborda o papel da empresa por trás do escândalo que assolou o Facebook e gerou impacto na eleição de Donald Trump e no Brexit. 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp… 17/18 Desde então, tem levantado debates em todo o mundo sobre proteção de dados. Síntese Diante do exposto nesta unidade, concluímos que a segurança dentro de uma empresa é fator extremamente importante para seu desenvolvimento, para que seus negócios tenham êxito e para a saúde da empresa como um todo. Em resumo, nesta unidade vimos que: No aspecto segurança da informação e de dados pessoais, temos a nova Lei Geral de Proteção de Dados, que trará mais segurança aos usuários e clientes que informam seus dados às empresas, mas também teremos uma necessidade de empenho por parte delas em garantir a segurança e o tratamento destas informações para que não sejam vazadas ou acessadas por terceiros não autorizados; Todo o processo girará em torno do consentimento do titular, e este precisa ter conhecimento de como seus dados serão tratados e utilizados pelas empresas coletoras, e em qualquer momento poderá acessá-los, alterá-los, apagá-los e até solicitar a sua exclusão do banco de dados, como também solicitar a portabilidade para outras empresas; No quesito segurança e transparência, as empresas coletoras de dados terão de publicar suas políticas de privacidade e informar clientes e usuários da �nalidade da coleta de dados, se são somente para efeito de cadastros, se serão base para outras análises de per�s de consumo, quanto tempo �carão armazenadas, além disso, quando efetuam vendas através de suas páginas, os meios de segurança devem ser observados com mais atenção no intuito de proteger dados bancários de seus clientes. ● Por �m, podemos concluir que o advento da nova lei só trará benefícios para as partes, fará com que o cliente procure a empresa que lhe dará mais segurança, o que fomenta a concorrência comercial. Por outro lado, força as empresas a providenciar meios seguros de coleta e tratamento de dados, tornando assim seu negócio mais vantajoso e con�ável. 29/03/2023, 15:06 DIR_SEMPAT_20_E4 https://student.ulife.com.br/ContentPlayer/Index?lc=2RfCOIAx%2fZ9Fc2uxnOd7dg%3d%3d&l=6xZzk7P6ddxhqytbWdgycw%3d%3d&cd=bxAp…18/18 Encerramos aqui nossa disciplina. Esperamos que você tenha tirado bastante proveito desse conteúdo. Download do PDF da unidade Bibliografia BRASIL. Presidência da República, Casa Civil, Subche�a para Assuntos Jurídicos. Lei Nº 12.414 de 09 de junho de 2011 . Brasília: D.O.U. 2011. BRASIL. Presidência da República, Casa Civil, Subche�a para Assuntos Jurídicos. Lei Nº 12.965 de 23 de abril de 2014 . Brasília: D.O.U. 2014. BRASIL. Presidência da República, Casa Civil, Subche�a para Assuntos Jurídicos. Lei Nº 13.709 de 14 de agosto de 2018 . Brasília: D.O.U. 2018. BRASIL. Presidência da República, Casa Civil, Subche�a para Assuntos Jurídicos. Lei Complementar Nº 166 de 08 de abril de 2019 . Brasília: D.O.U. 2019. BIONE, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento . Rio de Janeiro: Forense. 2019. UNIÃO EUROPEIA. Regulamento 2016/679 de 27 de abril de 2016, relativo à proteção das pessoas singulares. (Regulamento geral sobre proteção de dados ). Bruxelas: 2016. Traduzido. ( https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/? uri=CELEX:32016R0679&from=EN#d1e9103-1-1 ) https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e9103-1-1