Privacidade de Dados

Prévia do material em texto

<p>Privacidade de Dados</p><p>Privacidade de Dados2</p><p>FUNDAMENTOS DA PRIVACIDADE</p><p>Os fundamentos da privacidade de dados incluem confidencialidade de</p><p>dados, segurança de dados, limitações de quais dados são coletados e usados,</p><p>transparência em como os dados são usados e a conformidade com as leis de</p><p>privacidade de dados apropriadas.</p><p>Por se tratar de uma lei, a adequação das empresas é obrigatória.</p><p>Atenção</p><p>Lembre-se de que a Lei Geral de Proteção de Dados ou LGPD existe para nos</p><p>proteger de empresas que não tratam os nossos dados pessoais e sensíveis com</p><p>a responsabilidade e atenção devidas.</p><p>Durante muitos anos, nossas informações foram compartilhadas de forma</p><p>inadequada e sem autorização. Globalmente, esse tipo de iniciativa não é mais</p><p>aceita e acarreta multas pesadas, perda de confiabilidade da empresa que faz o</p><p>compartilhamento indevido, ações judiciais por uso indevido das informações,</p><p>e muito mais. Agora, temos uma lei que observa nossos direitos de titular dos</p><p>dados e atribui sanções aos que insistem em tentar burlar a lei.</p><p>Por que a privacidade de dados é importante?</p><p>Reflita</p><p>Privacidade de Dados 3</p><p>A privacidade dos dados é importante porque, desde corporações bem-</p><p>intencionadas a criminosos sedentos por uma oportunidade de auferir lucros ou</p><p>status social, não faltam interessados tentando acessar as informações que você</p><p>gera online.</p><p>Muitas pessoas se sentem incapazes de saber quais dados são coletados e não</p><p>sabem se proteger do assédio por dados de empresas como Google, Facebook</p><p>etc. Mas, calma! Essa não é e nem precisa ser uma batalha perdida. Entender</p><p>a privacidade e a segurança dos dados é o primeiro passo para manter sua</p><p>autonomia digital. Faça-se a seguinte pergunta: Quem é o proprietário dos</p><p>meus dados? É você o titular dos seus dados, ou seja, o dono dos dados é você.</p><p>Mas, afinal, o que é privacidade de dados?</p><p>Privacidade de dados é como escolhemos manter nossa privacidade online,</p><p>onde a informação é uma mercadoria muito procurada e muito valiosa. É</p><p>importante saber quem está visualizando nossas atividades online e o que eles</p><p>estão fazendo com essas informações. Permitir que empresas maiores rastreiem</p><p>e armazenem seus dados pode ter consequências inesperadas, então você deve</p><p>ter uma opinião sobre o assunto.</p><p>Conjunto 3</p><p>Privacidade de Dados4</p><p>Você deve se concentrar nos perigos e ameaças que podem vir de hackers</p><p>e agentes mal-intencionados, o que é muito importante, mas isso é apenas</p><p>metade da história. Proteger sua privacidade pode ser tão importante quanto</p><p>manter a segurança de seus dados. Entenda mais, a seguir.</p><p>A Proteção de dados e a segurança da informação como geradores</p><p>de valor</p><p>Para entrar no universo de geração de valor com proteção de dados,</p><p>recomenda-se que as empresas façam um checklist abordando alguns dos</p><p>principais tópicos, entre eles estão: definir as responsabilidades, documentação</p><p>e mapeamento, o escopo ou abrangência, o tipo de consentimento, principais</p><p>acessos, segurança física/lógica, confidencialidade e governança corporativa.</p><p>Confira, a seguir, as diretrizes de criação de valor:</p><p>Diretrizes de criação de valor</p><p>Dados & governança</p><p>da informação</p><p>Gestão do ciclo de</p><p>vida da informação</p><p>Política &</p><p>procedimentos</p><p>Treinamento &</p><p>conscientização</p><p>Controles de</p><p>segurança</p><p>Contratos, avisos,</p><p>inquéritos,</p><p>conformidade &</p><p>resolução de</p><p>disputas</p><p>Processos de</p><p>tratamentos e</p><p>manuseio da</p><p>informação</p><p>Procedimentos de</p><p>manipulação de</p><p>dados</p><p>0110101</p><p>1011010</p><p>1101001</p><p>Figura 1 - Diretrizes de criação de valor</p><p>Fonte: Do autor (2022)</p><p>Privacidade de Dados 5</p><p>A Governança da Informação é o conjunto de estruturas, procedimentos,</p><p>processos e controles multidisciplinares implementados para gerenciar as</p><p>informações corporativas. Tem como principal objetivo apoiar as iniciativas</p><p>imediatas e futuras de regulamentação, legais, de risco, ambientais e</p><p>operacionais da organização.</p><p>A seguir, confira outros itens relacionados às diretrizes de criação de valor.</p><p>Gestão do ciclo de vida da informação</p><p>O ciclo de vida da informação depende de legislações, regulamentações</p><p>específicas de cada setor. No entanto, em geral, é composto e identificado pelo</p><p>histórico de ameaças à informação e quanto ao risco e danos decorrentes da</p><p>eventual perda da informação. Os históricos são baseados nos acessos e uso dos</p><p>ativos físicos, tecnológicos e humanos que consomem ou utilizam a informação,</p><p>que devem estar sustentados por processos que asseguram a operação da</p><p>empresa e minimizam os riscos de perda ou vazamento da informação.</p><p>Informações pouco relevantes, que não estão protegidas por leis ou</p><p>regulamentadas por normas, podem ter um ciclo de vida com poucos controles</p><p>e processos básicos. Isso não significa que os riscos não devem ser medidos e</p><p>ajustados de tempos em tempos.</p><p>Políticas e procedimentos</p><p>De modo geral, a política descreve a visão e as diretrizes a serem seguidas</p><p>para que se atinja o objetivo estabelecido pela organização. A norma estabelece</p><p>as regras mínimas e aceitáveis a serem cumpridas para que o objetivo proposto</p><p>pela organização seja alcançado. Já os procedimentos descrevem a forma como</p><p>devem ser executadas as atividades necessárias para o cumprimento do objetivo</p><p>proposto pela organização.</p><p>Treinamento e conscientização</p><p>A maneira efetiva de minimizar o risco de perda de dados, multas e</p><p>sanções decorrentes de infrações à LGPD é implementar um programa de</p><p>conscientização e treinamento para colaboradores e terceiros que lidam</p><p>diariamente com dados.</p><p>Privacidade de Dados6</p><p>Controles de segurança</p><p>Existem inúmeras ferramentas de mercado voltadas exclusivamente aos</p><p>controles físico e lógico da informação. Você sabe que as informações podem ser</p><p>impressas, eletrônicas ou estar em qualquer outro formato. De maneira geral, os</p><p>controles devem garantir e proteger as informações do ponto de vista do:</p><p>• Uso adequado ou regulamentado</p><p>• Acesso não autorizado</p><p>• Uso indevido</p><p>• Divulgação</p><p>• Modificação</p><p>• Gravação</p><p>• Destruição</p><p>• Interrupção de informações.</p><p>Termos de uso, contratos, avisos de privacidade, conformidade, prospecção</p><p>de clientes, resoluções etc.</p><p>Manter o controle dos dados do titular nos contratos, nos projetos, nos novos</p><p>desenvolvimentos e estar atento a mudanças nas leis e nas medidas provisórias</p><p>e aditivos faz parte da gestão da Privacidade de Dados. O responsável por isso</p><p>é o DPO (Data Protection Officer, ou algo como Encarregado de Proteção de</p><p>Dados, em português), que será apoiado pelo Comitê de Privacidade de Dados.</p><p>O DPO é o profissional responsável pelo cuidado</p><p>das questões referentes à proteção dos dados da</p><p>organização e de seus clientes.</p><p>Curiosidade</p><p>Privacidade de Dados 7</p><p>Processos de tratamento e manuseio da informação e processamento</p><p>de dados</p><p>De modo geral, os tratamentos, manuseios ou processos da informação</p><p>ou dos dados, em sua maioria, são executados e/ou dependem de usuário,</p><p>especialistas, DBAs (ou seja, administradores de banco de dados), entre outros</p><p>profissionais. Devemos nos fazer algumas perguntas, tais como:</p><p>O usuário pode estar abusando dos recursos dos sistemas</p><p>computacionais?</p><p>Os acessos dos usuários são registrados?</p><p>O usuário tem permissão para acessar os dados?</p><p>O acesso a esta rede de computadores está autorizado?</p><p>A seguir, aprenda mais sobre segurança e privacidade.</p><p>Segurança x Privacidade</p><p>Afinal, quais as definições e as diferenças entre “segurança de dados” e</p><p>“privacidade de dados”? Embora semelhantes, esses conceitos são diferentes:</p><p>Segurança de dados é a proteção de dados contra atividades criminosas e</p><p>hackers deliberados. Privacidade de dados diz respeito a como os dados são</p><p>coletados, armazenados e usados legalmente. É fácil focar na segurança, já que</p><p>os perigos envolvidos parecem mais evidentes.</p><p>Os ataques cibernéticos, no momento, têm aumentado de uma forma sem</p><p>precedentes. De phishing à quebra de senha e falsificação de IP, há muitas</p><p>estratégias que os hackers podem usar para roubar seus dados. No entanto,</p><p>quando se trata de corporações e serviços</p><p>online legítimos, as pessoas se</p><p>sentem menos seguras sobre como manter sua autonomia e privacidade. Eles</p><p>(geralmente) não infringem a lei, e você pode até estar usando um produto para</p><p>o qual assinou os termos e condições. Embora, aos olhos da maioria, pareça</p><p>ser quase a mesma coisa, existem diferenças significativas entre privacidade de</p><p>dados e segurança de dados. Confira no esquema a seguir.</p><p>Privacidade de Dados8</p><p>Privacidade</p><p>dos dados</p><p>Segurança dos</p><p>dados</p><p>Conformidade com as leis</p><p>e regulamentos de</p><p>proteção de dados. Foco</p><p>em como coletar,</p><p>processar, compartilhar,</p><p>arquivar e excluir os dados.</p><p>Medidas que uma</p><p>organização tomou e vem</p><p>tomando para impedir que</p><p>terceiros tenham acesso</p><p>não autorizado.</p><p>Figura 2 - Diferenças entre segurança e privacidade de dados</p><p>Fonte: Do autor (2022)</p><p>Em seguida, conheça mais sobre proteção de mensagens.</p><p>Proteção de dados e proteção de mensagens</p><p>Apesar de não serem os únicos, existem três maneiras principais de perder o</p><p>controle da privacidade de seus dados. Confira:</p><p>Aplicativos de terceiros. O escândalo Cambridge Analytics de 2018</p><p>destacou a ameaça à privacidade representada por aplicativos de</p><p>terceiros.</p><p>Vigilância do governo. O Facebook foi apenas uma das muitas empresas</p><p>que participaram do Prism, um programa de vigilância dos EUA.</p><p>Violações de dados. Outro problema é que sites como Facebook e</p><p>Google costumam armazenar dados de usuários, mesmo depois que</p><p>alguém excluiu sua conta.</p><p>Privacidade de Dados 9</p><p>De modo geral, os aplicativos permitem que os usuários façam login via</p><p>Facebook ou outros sites de mídia social, em vez de criarem uma conta. Pela</p><p>facilidade, esse é um recurso empregado por quase todos, do Tinder ao Uber</p><p>Eats. Na prática, isso significa dar ao aplicativo acesso a alguns de seus dados</p><p>de mídia social.</p><p>No entanto, é difícil saber quanta informação você está fornecendo. No caso</p><p>da Cambridge Analytica, a empresa aproveitou esse mecanismo para obter</p><p>dados ilegalmente sobre mais de 50 milhões de usuários do Facebook. Perceba</p><p>que, embora tenham negado qualquer conhecimento disso, a gigante da mídia</p><p>social foi nomeada junto com o Google como participante de documentos</p><p>governamentais vazados. De acordo com esses vazamentos, a empresa Prism</p><p>coletou dados diretamente dos servidores das empresas de comunicação que</p><p>aderiram ao seu programa, sem que os usuários soubessem.</p><p>Entenda, de uma vez, que se você usou os sistemas de pagamento do</p><p>Facebook, os detalhes do seu cartão ainda estarão nos logs deles. Um grande</p><p>problema com isso é que, muito depois de você parar de usar um aplicativo, uma</p><p>violação de dados ainda pode ocorrer e suas informações pessoais podem parar</p><p>nas mãos de hackers e criminosos.</p><p>Segurança de Dados e a Tríade da Segurança da Informação</p><p>A segurança dos dados está ligada à confidencialidade dos dados, pois</p><p>visa a impedir que usuários não autorizados acessem os dados. Ao proteger</p><p>informações confidenciais, ou dados em geral, as organizações devem obedecer</p><p>à tríade CIA: Confidencialidade, Integridade e Disponibilidade (do inglês,</p><p>Confidentiality, Integrity and Availability).</p><p>DisponibilidadeDisponibilidadeDisponibilidade</p><p>IntegridadeIntegridadeIntegridadeConfidencialidadeConfidencialidadeConfidencialidade</p><p>Segurança</p><p>dos</p><p>dados</p><p>Segurança</p><p>dos</p><p>dados</p><p>Figura 3 - Tríade da segurança da informação</p><p>Fonte: Do autor (2022)</p><p>Privacidade de Dados10</p><p>A confidencialidade dos dados, como mencionado acima, implica que os</p><p>dados sejam mantidos em sigilo. Isso é feito por meio de criptografia, enviando</p><p>dados confidenciais por conexões seguras, como uma VPN, tendo uma política</p><p>de segurança sólida em vigor e garantindo a segurança física, como manter os</p><p>data centers no local e destruir documentos com informações confidenciais.</p><p>A integridade de dados implica em certificar-se de que os dados não foram</p><p>alterados ou adulterados. Isso é feito através de gerenciamento de usuários por</p><p>meio do princípio de privilégio mínimo. Isso significa que os usuários só podem</p><p>acessar a quantidade mínima de dados de que precisam para seus trabalhos.</p><p>A disponibilidade de dados implica em disponibilizar os dados para usuários</p><p>autorizados conforme necessário. Os ataques de negação de serviço (DoS)</p><p>podem desabilitar um data center, o que significa que uma organização deve</p><p>manter backups.</p><p>É muito importante entender que a LGPD, ou Lei Geral de Proteção de Dados,</p><p>foi criada com o intuito de minimizar eventos de perda, roubo e manipulação</p><p>indevida dos dados do usuário ou do titular.</p><p>Como você pode perceber, a relação entre a LGPD e Segurança da</p><p>Informação é intrínseca e não há como separar uma da outra.</p><p>Os profissionais bem capacitados e mais bem preparados emocionalmente</p><p>ocuparão cargos de liderança nas empresas e farão a implementação correta</p><p>da Lei Geral de Proteção de Dados ancorada nos três pilares da Segurança da</p><p>Informação. Este é um tema muito amplo que deve ser explorado com mais</p><p>profundidade por quem se interessa pelo assunto. Portanto, continue seus</p><p>estudos e siga aprimorando seus conhecimentos.</p><p>Comunicação Oral e Escrita10 Comunicação Oral e Escrita1010 Privacidade de Dados</p><p>REFERÊNCIAS</p><p>Comunicação Oral e Escrita 11Comunicação Oral e Escrita 1111Privacidade de Dados</p><p>BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados</p><p>Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Brasília, DF: Senado</p><p>Federal, 2018.</p><p>BRASIL. Lei n.º 12.965, de 23 de abril de 2014. Estabelece princípios, garantias,</p><p>direitos e deveres para o uso da Internet no Brasil (“Marco Civil da Internet”).</p><p>Brasília, DF: Senado Federal, 2014. Disponível em: http://www.planalto.gov.br/</p><p>ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 01 jun. 2022.</p><p>MINISTÉRIO DA CIDADANIA/BRASIL. Princípios da LGPD. Brasília, DF: Ministério</p><p>da Cidadania, 30 abr. 2021. Disponível em: https://www.gov.br/cidadania/pt-br/</p><p>acesso-a-informacao/lgpd/principios-da-lgpd. Acesso em: 01 jun. 2022.</p>