OS IMPACTOS DA LEI GERAL DE PROTEÇÃO AOS DADOS

Prévia do material em texto

OS IMPACTOS DA LEI GERAL DE PROTEÇÃO AOS DADOS, RELATIVOS AOS APLICATIVOS m-GOV.
Idália Pércia A. M. de Melo[footnoteRef:1] - 1623455
Renato Bezerra da Silva[footnoteRef:2] - 1614757
Robson Roberto Fonseca[footnoteRef:3] - 1621845
Carla Cristina Lessa Amorim[footnoteRef:4] [1: Idália Pércia, estudante do curso de GTI (Gestão em Sistemas de Informação).] [2: Renato Bezerra da Silva, desenvolvedor de sistemas e estudante do curso de GTI da ISES] [3: Robson Roberto Fonseca, estudante do curso de GTI (Gestão em Sistemas de Informação)] [4: Carla Amorim, orientadora deste artigo científico] 
Resumo
O uso de smartphones no Brasil tem aumentado a cada ano, segundo dados da Anatel (2018). O número de assinaturas na modalidade pós-pago tem aumentado consideravelmente em relação a modalidade pré-paga, o que demonstra uma migração de uso dos telefones celulares de voz para dados. Com essa popularidade, também cresce o número de aplicativos (APPs) mobile e nessa onda, aplicações para facilitar a comunicação entre cidadão e governo tem crescido também os apps m-GOV, como por exemplo a e-CNH, o e-CPF, e-Título. Essa popularidade também levanta outra questão que é com relação a segurança dos dados dos usuários com relação a vazamentos e utilização inapropriada dos mesmos. Para regulamentar o uso e aumentar a responsabilidade de quem fornece os serviços, foi desenvolvida a Lei Geral de Proteção aos Dados Pessoais. Este artigo aborta a referida lei fazendo um estudo de caso da mesma com relação a um app prova de conceito chamado Vacinas, desenvolvido como trabalho acadêmico.
Palavras-Chaves: Segurança de dados; LGPD; e-GOV; m-GOV; Cidadão
Abstract
The use of smartphones in Brazil has increased each year, according to data from Anatel (2018). The number of signatures in the post-paid modality has increased considerably in relation to pre-paid modality, which demonstrates a migration of use of cellular phones for voice data. With this popularity also grows, the number of applications (APPs) mobile and in this wave, applications to facilitate communication between citizens and government has grown also the apps m-GOV, as for example the e-CNH, the e-CPF, e-Title. This popularity also raises another issue which is with respect to security of users data in relation to leaks and improper use of the same. To regulate the use and increase the responsibility of those who provides the services, was developed in the General Law of Protection of Personal Data. This article aborts the aforementioned law making a case study of the same with respect to a proof of concept app called vaccines, developed as academic work.
1. INTRODUÇÃO
Estudo levantado por LARA, GOSLING, RODRIGUES, 2018, demonstra que devido ao avanço da tecnologia e aumento no número de dispositivos móveis utilizados pela população, abriu-se diversas discussões referentes ao aproveitamento dessas tecnologias para melhorar serviços públicos, em que em sua maioria possui certa burocracia.
Em relatório anual divulgado pela Anatel[footnoteRef:5](2018), obtém-se os seguintes gráficos: [5: Anatel (Agência Nacional de Telecomunicações) - http://www.anatel.gov.br] 
Figura 1 - Distribuição de acessos do SMP
Fonte: Anatel (2018, p.106)
O mesmo relatório demonstra a evolução dessa tendência em percentual:
Figura 2 - Gráfico evolução de acessos
Fonte: Anatel (2018, p.107)
A Anatel (2018) aponta em seu relatório que essa tendência é devido a mudança de perfil dos usuários, que devido as novas tecnologias, cada vez mais consomem dados ao invés de serviços de voz, o que aumenta a procura pela modalidade pós-paga. A própria Anatel destaca o aumento de 18,7% nos serviços pós-pagos em comparação direta de período 2008 e 2017.
LARA, GOSLING, RODRIGUES, 2018 nota-se a tendência por termos conhecidos como e-GOV (Governo Eletrônico), e sua variante conhecida como m-GOV (Governo Eletrônico Móvel), que se utiliza das TIC (tecnologias da informação e comunicação para fornecer tais serviços), para criar essa aproximação do governo com o cidadão. Alguns exemplos são a CNH Digital (SERPRO, 2018), que propõe substituir a CNH impressa, o e-Titulo (TSE, 2017), que visa substituir o título de eleitor em papel, e o digiSUS (Ministério da Saúde, 2018), que visa organizar as informações do paciente em um só lugar.
Com tantos aplicativos disponíveis, não somente no âmbito governamental, mas de modo geral, uma grande preocupação levantada é com relação aos dados pessoais. Com base nisso, foi criada a LGPD[footnoteRef:6], que tem como objetivo, definir regras e práticas com relação a gestão dos dados pessoais, buscando na forma da lei, uma punição para o descumprimento das mesmas. [6: LGPD (Lei Geral de Proteção a Dados): Sancionada em 2018] 
Este artigo busca sintetizar os impactos da lei LGPD em relação aos aplicativos m-GOV. Quais deverão ser os cuidados com relação aos dados pessoais armazenados e disponibilizados por aplicativos, bem como o sigilo dos mesmos, ante o interesse do mercado em relação a esses dados para usar em seus negócios. Para tal estudo, será utilizado o aplicativo “Vacinas”, que se trata de uma POC (Prova de Conceito) de uma caderneta de vacinação digital desenvolvido pelos autores deste artigo.
O aplicativo citado armazena e processa dados pessoais como nome, cpf, rg, registro do SUS, data de nascimento, endereço, entre outros, que serão detalhados na próxima sessão. Sendo mais específico ao negócio do aplicativo, também é armazenado dados sobre vacinação do usuário, como vacinas tomadas, vacinas ainda não tomadas, data das vacinas. Com esses dados, empresas da área da saúde consegue obter diversas informações sobre a saúde da pessoa em si. Isso é muito crucial, visto que um plano de saúde pode dar uma tratativa diferente a esse cliente com base nesse histórico (seja positivo ou negativo). 
A LGPD deve ser aplicada no contexto acima levantado, e será discutido nas sessões seguintes.
2. Fundamentação Conceitual
Lei Geral de Proteção aos dados
A LGPD (2018), nome dado a lei nº 13.709, sancionada em 14 de agosto de 2018, tem como objetivo trazer melhores tratamentos aos dados pessoais, obtidos nos meios físicos e/ou digitais, sendo pessoa física ou jurídica, buscando dar maior proteção dos mesmos, como citado no artigo 1 da referida lei.
É originada da GDPR (2018), que é a lei de proteção a dados que vigora na Europa desde o dia 25 de maio de 2018 e aplicável a todos os países da União Europeia. Sua criação se deu pelo crescente da tecnologia dos dispositivos móveis, o que expõe cada vez mais as informações pessoais, e também devido a diversos vazamentos desses mesmos dados. Possui 10 capítulos e 65 artigos, e após 18 meses de sua sanção, a lei entra em vigor, e até esse prazo, as empresas que se enquadrarem na lei, deverão até a data, atender todas as necessidades da mesma.
Dentre as definições da PLC 53/2018, destaca-se:
· Dado Pessoal: informação relacionada à pessoa natural identificada ou identificável. A este deve ser considerado também dados como texto, imagem, áudio ou vídeo. Qualquer informação que possa dar identificação a uma pessoa.
· Dados Sensíveis: dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural;
· Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
A lei especifica o papel de quatro agentes: o titular, o controlador, o operador e o encarregado.
· O titular: é a pessoa física a quem se referem os dados pessoais.
· O controlador: é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, paraque estão sendo utilizados e por quanto tempo serão armazenados.
· O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
· O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.
Autorização ao Uso dos Dados
A lei sancionada garante as pessoas o direito de autorizar ou desautorizar o uso dessas informações, solicitar exclusão desses dados e solicitar Anonimização desses dados (descaracterizar o dado/informação a ponto de não se identificar uma pessoa). As empresas por sua vez deverão descrever de forma clara e objetiva a forma como farão o uso dos dados, como o envio desses dados para parceiros. Tal empresa deverá descrever quais são os parceiros, como usarão os dados e se esse uso será feito para obtenção de lucro.
	
Penalidades e Multas
Desde que a lei entrou em vigor, as empresas têm 18 meses para se adaptarem à lei. O não cumprimento dessas exigências pode acarretar, por exemplo, em multas altíssimas que chegam até mesmo a R$ 50 milhões por infração. Ainda que essa prática coloque o Brasil no grupo dos países considerados adequados na proteção à privacidade dos cidadãos, a expectativa é que os próximos meses serão de dificuldade e planejamento dentro das corporações.
Multas: a nova lei prevê sanções para quem não tiver boas práticas. Elas englobam advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.
Aplicativos Móveis
Com o advento da tecnologia, e sua expansão, acesso à internet cada vez mais fácil e com maior proporção, ganharam destaque os dispositivos móveis (celulares, smartphones, tablets, computadores híbridos). Algumas características desses dispositivos podem ser citadas como por exemplo a usabilidade (forma de uso mais intuitiva), ampliação do espaço de utilização (mobilidade), onde o acesso não precisa ser feito através de um ponto fixo (computador pessoal) (BARRA, 2017).
Já uma “Aplicação” em Tecnologia da Informação é um programa ou rotina que busca automatizar uma tarefa ou trabalho específico. Essas aplicações passaram a serem criadas para tais dispositivos, trazendo assim escalabilidade. Essas aplicações criadas para uso em dispositivos móveis são chamadas de “Aplicações Mobile” ou também conhecidas como “Apps”, e são distribuídas em lojas de aplicativos das fornecedoras do sistema operacional, sendo a “App Store” para dispositivos desenvolvidos pela Apple, e “Google Play” para dispositivos que utilizam o sistema operacional Android da empresa Google. (BARRA, 2017)
Dados divulgados pela Anatel (2018) demonstra que houveram mais de 238 milhões de acessos à internet móvel e destaca uma migração de assinaturas pré-pagas para pós-pagas. Tamanha evolução também leva a outra questão, que é a exposição desse usuário a internet, tornando assim, mais um alvo de pessoas maliciosas da internet. Não somente isso, a crescente demanda por coleta de dados dos usuários também é um agravante, quando é feito sem consentimento do usuário e de forma não ética. A lei citada neste ativo visa dar suporte aos usuários de aplicativos e serviços, seja no meio digital quanto no meio físico.
3. Metodologia e Ações
Aplicativo “Vacinas”
	É um aplicativo que tem como base, realizar uma prova de conceito de uma carteira de vacinação digital, não somente no âmbito do registro manual da vacinação, mas propor um controle geral da vacinação de um usuário, sendo integrado aos sistemas de saúde do governo estadual e federal.
O aplicativo foi desenvolvido a princípio para a plataforma Android, sendo considerada como requisito mínimo a utilização do Android versão 4.1 (API 16). O desenvolvimento se seu pelo uso de tecnologias open source, sendo:
· Núcleo: Foi usado o projeto Apache Cordova visando o desenvolvimento híbrido da aplicação. Com isso mantem-se um único código para mais plataformas como Android e iOS.
· Visual: Foi utilizado o framework jQuery Mobile para a criação das telas, onde o layout foi customizado segundo um guideline sugerido pela equipe.
· Backend: Para o backend foi usada a tecnologia Node.js, para realizar o processamento das informações e entrega dos dados para a aplicação, através de uma api RestFULL.
· Banco de Dados: Para armazenamento dos dados, foi utilizado o banco de dados MongoDB, que é um banco de dados do tipo NoSQL (Not Only SQL). A opção por esse banco de dados se dá pela fácil integração dele com o Node.js, que trabalha com a tecnologia JSON de forma nativa, enquanto o MongoDB trabalha nativamente armazenando dados BSON (binary JSON). A escolha também se deu pela velocidade de consulta dos dados, uma vez que não se faz uso de relacionamentos, consultando diretamente os dados.
Atualmente, os dados gerenciados pelo aplicativo no âmbito cadastral são: CPF, e-mail, nome, sobrenome, data de nascimento, gênero, CEP, uf residencial, endereço, número da residência, complemento, bairro, cidade. Os dados relacionados ao negócio são: vacinas tomadas, data da vacina, tipo de campanha (calendário base ou campanha), número da dose, local e cidade onde foi realizada a vacinação, quem realizou a vacina, data de validade e chave de segurança.
Impactos da Lei sobre o Aplicativo
Com base nas questões levantadas na sessão anterior, ações práticas devem ser tomadas para tornar o aplicativo aderente a lei citada neste artigo, no tocante a buscar maior confiabilidade entre os usuários.
Uma política de uso do aplicativo deverá ser criada, sendo a mesma de forma clara, objetiva e não extensa, para que o consentimento do usuário seja por medida coerente ao solicitado pela lei e não simplesmente por impulso. Nesse termo deverá conter como os dados serão utilizados e que os mesmos não poderão ser usados de forma comercial, ou seja, não poderá ser repassado a terceiros, uma vez que a principal utilidade desse aplicativo é para cidadania. O usuário deverá ter a certeza de como serão utilizados seus dados e autorizar o uso deles.
Os dados armazenados pelo aplicativo não poderão ser repassados para empresas que poderiam se beneficiar de tais dados, como por exemplo operadoras de planos de saúde, clínicas médicas, indústrias farmacêuticas. Dados sobre a vacinação das pessoas é muito sensível e poderia dar uma vantagem competitiva para tais empresas, o que não convém com a proposta do mesmo.
Para impedir vazamento dos dados, deve-se tomar medidas e práticas de segurança da informação, colocando a aplicação backend[footnoteRef:7] em um servidor seguro, com acessos restritos somente a pessoas chaves, e limitando o acesso as máquinas através do IP das pessoas chaves. Aplicações, ferramentas ou serviços de terceiros devem ser previamente testados para verificar sua eficácia contra ataques hacker, sabendo que não existe ferramentas 100% isentas de ataques, mas procurar minimizar as brechas e corrigi-las o mais rápido possível. Verificar se o fornecedor dessas ferramentas também está comprometido com essa criticidade. [7: Aplicação Backend: Em aplicação cliente servidor, é a aplicação que roda do lado do servidor.] 
 Boas práticas de programação devem ser utilizadas, como testes unitários, para assegurar de que as rotinas estão funcionando perfeitamente e sem brechas no sistema, bem como registro de log das operações realizadas na aplicação para monitoramento da saúde da aplicação. 
Deve ser elaborado um “Relatório de Impacto à Proteção de Dados Pessoais” que deverá conter algumas informações como descrição do tipo de dado coletado, qual a finalidade do mesmo, metodologia utilizada na coleta desses dados e garantia da segurança da informação. Também deverá conter as ações preventivas criadas para mitigar os riscos de vazamento dos dados.
4. Conclusão
O caso de vazamento dedados no Facebook é um sinal de alerta para o que tem acontecido no âmbito da internet, onde o bem mais valioso são os dados e informações pessoais para vantagem competitiva em diversas áreas. A disputa por esses dados é brutal, como exposto em tal caso, onde uma massa de dados adquirida de forma antiética foi usada para analisar tendências de voto dos eleitores americanos.
Mas não somente com relação a vazamento de dados. Atualmente, diversos dados pessoais são coletados ao realizar uma busca no Google, usar um smartphone, uma pesquisa por voz, uma imagem coletada ao entrar em um prédio, tudo isso é valioso, e quanto falamos na área da saúde, não é por menos. Como tratado o artigo, diversas empresas do ramo da saúde poderiam ter extrema vantagem competitiva com o vazamento ou coleta de dados de forma antiética relacionados a saúde como prontuário de um paciente, agenda de vacinação, lista de remédios comprados etc. São dados extremamente críticos.
Concluímos este artigo, compreendendo que a lei nº 13.709, que compreende a Lei Geral de Proteção aos Dados Pessoais é de suma importância, balizando e regulamentando um mercado onde as práticas estavam cada vez mais brutais e determinando os responsáveis por tal, dando suporte aos usuários a não se sentirem violados com relação as suas informações. Isso leva a uma revolução nas empresas e na maneira de se comportarem, respeitando seus usuários. 
Referências Bibliográficas
LARA, Rodrigo Diniz; GOSLING, Marlusa; RODRIGUES, Izabela França. Mobile government: uma análise dos aplicativos estaduais como mediadores do relacionamento entre os cidadãos e os governos estaduais. 2018.
SERPRO. CNH Digital, a sua versão eletrônica da sua habilitação. Disponível em: <https://servicos.serpro.gov.br/cnh-digital/> Acesso em: 03 de outubro de 2018
TSE. Aplicativo E-Titulo. Disponível em: http://www.tse.jus.br/eleitor/servicos/aplicativo-e-titulo/ Acesso em: 03 de outubro de 2018
Portal Ministério da Saúde. Estratégia de Saúde Digital (e-Saúde) para o Brasil: digiSUS. Disponível em http://portalms.saude.gov.br/acoes-e-programas/digisus/ Acesso em: 04 de outubro de 2018
DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Espaço Jurídico Journal of Law [EJJL], v. 12, n. 2, p. 91-108, 2011.
LIMA, Caio Cesar Carvalho; MONTEIRO, Renato Leite. Panorama brasileiro sobre a proteção de dados pessoais: discussão e análise comparada. AtoZ: novas práticas em informação e conhecimento, v. 2, n. 1, p. 60-76, 2013.
Revista Exame. O escândalo de vazamento de dados do Facebook é muito pior do que parecia. Disponível em https://exame.abril.com.br/tecnologia/o-escandalo-de-vazamento-de-dados-do-facebook-e-muito-pior-do-que-parecia/ Acessado em 04 de outubro de 2018.
Agência Brasil. Lei de Proteção de Dados trará impactos a pessoas, empresas e governos. Disponível em <http://agenciabrasil.ebc.com.br/geral/noticia/2018-08/lei-de-protecao-de-dados-trara-impactos-pessoas-empresas-e-governos>. Acesso em 02 de outubro de 2018
BRASILIA, Senado Federal, PLC 53/2018. Disponível em https://legis.senado.leg.br/sdleg-getter/documento?dm=7738646&ts=1538690043950&disposition=inline&ts=1538690043950. Acessado em: 27 de outubro de 2018.
BRASILIA. Anatel. Agência Nacional de Telecomunicações. Relatório anual: 2017. 106 p., 107 p.
BRASILIA. Planalto. Lei Nª 13.709, de 14 de agosto de 2018. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acessado em: 27 de outubro de 2018.
BARRA, Daniela Couto Carvalho et al. Métodos para desenvolvimento de aplicativos móveis em saúde: revisão integrativa da literatura. Texto & Contexto-Enfermagem, v. 26, n. 4, 2017.
LIMA, Pedro Calixto Alves de; RIBEIRO, Thiago Thales. Mobile government: utilização de dispositivos móveis para aproximação do cidadão e governo. 2012.