Tag: LGPD

Publicado em por

ANPD ATUALIZA GLOSSÁRIO DE PROTEÇÃO DE DADOS COM NOVOS TERMOS E ACESSO INTERATIVO

A Autoridade Nacional de Proteção de Dados (ANPD) lançou uma versão revisada do Glossário de Proteção de Dados e Privacidade. Com a adição de novos termos, esta nova edição está acessível de forma interativa no site da Autarquia, melhorando a facilidade de acesso ao conteúdo.

O objetivo do glossário é consolidar, em um único documento, os conceitos que antes estavam espalhados por diversos atos normativos e orientações da ANPD. Isso facilita o acesso e a compreensão de termos jurídicos e técnicos essenciais para a interpretação e aplicação da Lei Geral de Proteção de Dados (LGPD), tornando a atualização desses conceitos mais simples.

Desenvolvido pela Coordenação-Geral de Normatização (CGN), o glossário é um documento dinâmico, que será atualizado conforme surgirem novas tendências no setor. Essa iniciativa promove a disseminação do conhecimento sobre a proteção de dados pessoais e padroniza procedimentos, facilitando o controle dos dados pessoais pelos titulares.

Publicado em por

SEGURANÇA DE DADOS EM FOCO NA ERA DA LGPD

Em 2015, o vazamento de dados do site Ashley Madison, conhecido por facilitar relacionamentos extraconjugais, expôs a fragilidade das empresas na proteção de informações sensíveis de seus usuários. Caso esse incidente ocorresse hoje, a LGPD (Lei Geral de Proteção de Dados) transformaria completamente a abordagem e a resposta a essa situação, tanto em relação aos direitos dos titulares dos dados quanto às responsabilidades das empresas envolvidas.

A LGPD impõe que as empresas adotem medidas de segurança rigorosas para proteger os dados pessoais. No caso de Ashley Madison, a ausência dessas medidas resultou em consequências devastadoras para milhões de usuários. Sob a vigência da LGPD, a empresa seria legalmente obrigada a implementar práticas robustas de proteção de dados e a demonstrar conformidade contínua com essas práticas.

Os titulares dos dados têm direitos claramente definidos pela LGPD. Eles podem exigir transparência no uso de seus dados, correção de informações incorretas, exclusão de dados desnecessários ou tratados de forma inadequada, e portabilidade de seus dados para outros fornecedores. Esses direitos fortalecem os usuários e impõem uma maior responsabilidade sobre as empresas.

A LGPD também estabelece que, em caso de vazamento, as empresas devem notificar imediatamente a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares dos dados afetados. Além disso, as empresas podem enfrentar multas significativas e outras sanções administrativas. No contexto do Ashley Madison, isso resultaria em maior responsabilização e incentivos para a adoção de medidas preventivas.

O incidente do Ashley Madison serve como um alerta sobre a importância da proteção de dados e da conformidade com a legislação vigente. A LGPD não só protege os direitos dos titulares, mas também promove uma cultura de transparência e responsabilidade dentro das organizações. Empresas que lidam com dados pessoais devem tratar a segurança da informação como uma prioridade estratégica, evitando consequências legais e danos à reputação.

A reflexão sobre o caso Ashley Madison, à luz da LGPD, destaca a evolução necessária nas práticas de segurança da informação. As empresas precisam estar atentas e comprometidas com a proteção de dados, reconhecendo que a negligência pode ter impactos devastadores para seus usuários e para sua própria sobrevivência no mercado.

Publicado em por

COMO A VENDA DE INFORMAÇÕES SENSÍVEIS AFETA OS CONSUMIDORES

A prática de vender dados sensíveis de consumidores para multinacionais de pesquisa de mercado tem gerado crescente preocupação entre especialistas em direitos do consumidor, especialmente no contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil. Empresas estão utilizando o CPF dos consumidores para obter informações detalhadas sobre suas prescrições médicas, que são depois repassadas para empresas privadas, possibilitando que estas tenham acesso a dados como o tipo de medicamento, classe terapêutica, dosagem, e muito mais.

Esse conjunto de informações é transformado em relatórios que ajudam as indústrias farmacêuticas a otimizar suas estratégias de vendas, marketing, e até mesmo identificar oportunidades para novos lançamentos de produtos. Ao fornecer o CPF nas farmácias para obter descontos, os consumidores, muitas vezes sem saber, estão contribuindo para a criação de um histórico de compras que é vendido para empresas de pesquisa de mercado.

Atualmente, algumas redes privadas possuem dados de milhões de brasileiros, uma quantidade significativamente maior do que a de programas governamentais. Isso ocorre porque os dados pessoais, especialmente os sensíveis, são extremamente valiosos para as empresas. Esses dados permitem a criação de propagandas direcionadas e outras estratégias de marketing altamente eficazes.

A LGPD exige que as empresas sejam transparentes sobre suas políticas de compartilhamento de dados, mas a realidade é que nem todas seguem essas diretrizes de forma adequada. Farmácias e outras empresas devem informar claramente como os dados dos consumidores serão usados e garantir que o consentimento seja obtido de forma explícita.

Uma questão comum é se os consumidores perdem os descontos se não fornecerem o CPF. A resposta é não. As farmácias podem e devem conceder o desconto mesmo que o cliente se recuse a fornecer seus dados pessoais. Se a farmácia negar o desconto sem o CPF, o consumidor tem o direito de denunciar ao Procon. É aconselhável sempre perguntar o preço do produto com e sem o desconto antes de fornecer qualquer informação pessoal.

Para aqueles preocupados com o uso indevido de seus dados, é possível consultar algumas das principais redes de farmácias para verificar quais informações elas possuem. Essa prática de solicitar o CPF para descontos pode ser considerada abusiva sob a LGPD, que exige consentimento explícito e transparência no compartilhamento de informações pessoais.

A Agência Nacional de Proteção de Dados (ANPD) tem monitorado essas práticas desde 2020, e o Instituto Brasileiro de Defesa do Consumidor (Idec) alerta para os riscos associados ao vazamento e uso indevido desses dados. O desconto em medicamentos não deve comprometer a liberdade do consumidor de decidir sobre o compartilhamento de suas informações.

Ademais, a Agência Nacional de Vigilância Sanitária (Anvisa) estabelece que farmácias e drogarias não devem ultrapassar o preço máximo permitido pela Câmara de Regulação do Mercado de Medicamentos (CMED), cujo preço máximo pode ser verificado no site da Anvisa. É fundamental que os consumidores estejam cientes de seus direitos e das práticas de proteção de dados para tomar decisões informadas sobre o compartilhamento de suas informações pessoais.

Publicado em por

“Invasão Digital: Facebook da Prefeitura no Espírito Santo Exibe Conteúdo Sexual Após Ser Hackeado”

A Prefeitura de Castelo, localizada no sul do Espírito Santo, sofreu um ataque cibernético em seu perfil oficial do Facebook. A partir do dia 6 de maio, conteúdos de natureza sexual começaram a ser divulgados indevidamente pelos hackers.

Até a presente data, 25 de maio, as publicações inapropriadas continuam sendo feitas. Em resposta ao incidente, dois dias após o início das postagens indevidas, a administração municipal emitiu um comunicado por meio do Instagram. No aviso, informaram que o perfil havia sido comprometido e solicitaram desculpas pelo ocorrido.

Além disso, a Prefeitura de Castelo apelou à população para que ajudasse a combater a violação reportando a conta hackeada.

www.securitylgpd.com

PROTEJA SUAS REDES SOCIAIS

Proteger sua conta do Facebook de ataques cibernéticos é crucial para manter sua segurança digital. Aqui estão algumas dicas práticas para ajudar a evitar que sua conta seja hackeada:

  1. Use uma senha forte e única: Evite senhas simples ou que já tenham sido usadas em outras contas. Combine letras maiúsculas e minúsculas, números e símbolos para criar uma senha complexa.
  2. Ative a autenticação de dois fatores (A2F): Essa é uma das medidas de segurança mais eficazes. Mesmo que alguém consiga sua senha, ainda precisará de um código de acesso enviado ao seu telefone para entrar na conta.
  3. Mantenha seu e-mail seguro: Garanta que o e-mail associado à sua conta do Facebook também esteja protegido, pois é um ponto de entrada para redefinir sua senha.
  4. Revise as configurações de segurança e login: Regularmente, verifique as configurações de segurança do Facebook para qualquer atividade suspeita e assegure-se de que apenas dispositivos e sessões reconhecidos estão conectados à sua conta.
  5. Evite clicar em links suspeitos: Hackers frequentemente usam links que parecem legítimos para roubar suas informações. Verifique sempre a URL antes de clicar e não insira seus dados em sites que não pareçam confiáveis.
  6. Atualize seu software regularmente: Mantenha seu sistema operacional e aplicativos, incluindo o aplicativo do Facebook, atualizados para proteger-se contra vulnerabilidades de segurança.
  7. Use um gerenciador de senhas: Para ajudar a gerenciar e proteger suas senhas, considere o uso de um gerenciador de senhas confiável.
  8. Eduque-se sobre phishing: Esteja ciente de técnicas de phishing que podem tentar enganá-lo para que você revele informações pessoais ou de login. Desconfie de mensagens ou e-mails que solicitam informações confidenciais.
  9. Limite as informações compartilhadas online: Quanto menos informações pessoais você compartilhar, menor será o risco de ser alvo de hackers.

Implementando essas medidas, você aumentará significativamente a segurança da sua conta no Facebook e reduzirá o risco de invasões indesejadas.

www.securitylgpd.com

Publicado em por

ENTENDA AS NOVAS DIRETRIZES E DESAFIOS COM O GUIA DA ANPD

Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) lançou o “Guia Orientativo – Hipóteses legais de tratamento de dados pessoais – Legítimo Interesse”, que aprofunda o entendimento sobre a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD). Este guia detalha o legítimo interesse (LI), uma base legal que autoriza o tratamento de dados pessoais (não sensíveis) para atender interesses legítimos do controlador ou de terceiros, desde que esses interesses não violem os direitos e liberdades fundamentais dos titulares dos dados.

O guia apresenta interpretações da ANPD sobre o uso do LI, incluindo exemplos práticos e um modelo de teste de balanceamento. Este teste é crucial para que as empresas possam demonstrar um equilíbrio adequado entre os interesses envolvidos, garantindo que o tratamento dos dados seja proporcional e seguro.

A adoção da base do legítimo interesse representa um desafio para as empresas, que precisam realizar o teste de balanceamento para assegurar a proporcionalidade e a segurança no tratamento dos dados pessoais. Apesar de a minuta inicial do documento sugerir a obrigatoriedade do registro do teste, a versão final do guia não confirma essa exigência, mas indica que o registro contribui para a transparência e a prestação de contas, além de permitir a avaliação da conformidade pela ANPD.

O guia ressalta que os controladores devem avaliar os riscos e a necessidade de registrar o teste de balanceamento caso a caso, sendo obrigatório apenas no tratamento de dados de crianças e adolescentes baseado no legítimo interesse.

O documento também detalha os passos que o agente de tratamento deve seguir, desde a identificação da natureza dos dados até a avaliação dos interesses do controlador ou de terceiros. A ANPD considera a coletividade como um terceiro relevante, permitindo a aplicação do conceito de legítimo interesse em situações que beneficiem a sociedade como um todo, desde que respeitados os preceitos legais.

Para que o legítimo interesse seja válido, o controlador deve identificar e justificar o interesse, garantindo sua compatibilidade com as regras jurídicas, evitando situações especulativas ou futuras, e vinculando-o a finalidades legítimas e explícitas. O guia exemplifica a aplicação do legítimo interesse, permitindo que instituições de ensino enviem promoções aos seus alunos e professores, desde que observadas as disposições legais.

Apesar da clareza do guia, a aplicação do legítimo interesse é passível de questionamento, tanto pela ANPD quanto pelos titulares dos dados. Portanto, é essencial que os controladores sigam rigorosamente as orientações do guia, assegurando transparência e mecanismos que permitam aos titulares exercerem seus direitos.

O “Guia Orientativo – Hipóteses legais de tratamento de dados pessoais – Legítimo Interesse” da ANPD é um marco importante na regulamentação do tratamento de dados pessoais no Brasil, trazendo clareza e novos desafios para as empresas na implementação da LGPD.

Publicado em por

RISCOS E IMPLICAÇÕES DO TRATAMENTO DE DADOS MÉDICOS

A proteção de dados pessoais é um tema central quando se fala em prescrição médica, especialmente porque as informações contidas nesses documentos são consideradas dados pessoais sensíveis, conforme a Lei Geral de Proteção de Dados (LGPD), Lei Nº 13.709/18. A recente revelação de que a indústria farmacêutica monitora receitas médicas sem consentimento coloca em evidência uma possível violação sistemática do direito à proteção de dados dos médicos.

Conforme noticiado, o procedimento envolve a captura e comercialização de dados de receitas médicas pelas indústrias farmacêuticas. Quando uma receita é registrada no sistema da farmácia, empresas especializadas acessam esses registros, processam as informações e as vendem para as farmacêuticas. Com esses dados, é possível traçar um perfil dos médicos e influenciá-los a prescrever os medicamentos produzidos por essas indústrias. Esse ciclo se repete quando a prescrição influenciada é registrada na farmácia, que é remunerada pelo fornecimento dos dados. Estima-se que pelo menos 250 milhões de receitas sejam processadas anualmente desta forma.

Esse tipo de atividade representa um significativo tratamento de dados pessoais. Segundo a LGPD, dado pessoal é qualquer informação relacionada a uma pessoa identificada ou identificável. Assim, o medicamento prescrito em uma receita médica torna-se um dado pessoal quando associado ao nome e CRM do médico.

As operações de coleta, armazenamento, compartilhamento, classificação e criação de perfis de médicos devem estar em conformidade com a LGPD, ou seja, baseadas em uma das hipóteses legais para o tratamento de dados pessoais, com finalidades legítimas e informadas aos titulares dos dados. Os dados coletados devem ser adequados, necessários e relevantes para as finalidades especificadas, e as operações devem ser transparentes, evitando discriminações e garantindo a prestação de contas.

Os médicos devem ser informados sobre seus direitos garantidos pela LGPD, incluindo o livre acesso aos dados, a forma de tratamento, a duração desse tratamento, a identidade do responsável pelo tratamento, o uso compartilhado dos dados, e a finalidade do compartilhamento. Eles têm o direito de solicitar às farmácias, laboratórios ou empresas intermediárias uma declaração completa que indique a origem dos dados, os critérios utilizados e as finalidades do tratamento.

Além disso, o uso posterior dos dados pessoais para fins diferentes da finalidade original não é permitido sem a devida conformidade com a LGPD. A finalidade original das informações constantes da prescrição é a aquisição do medicamento pelo paciente na farmácia, e qualquer uso diverso disso deve ser devidamente justificado e conforme a lei.

No que diz respeito aos compartilhamentos, tanto farmácias quanto empresas intermediárias e indústrias farmacêuticas devem ser capazes de justificar a base legal para o tratamento de dados e garantir que esse tratamento seja legítimo, específico e informado aos titulares dos dados.

Essa atividade de tratamento de dados é de alto risco devido ao volume e à escala dos dados pessoais envolvidos, ao monitoramento dos titulares e à tomada de decisões automatizadas para criar perfis de médicos. O objetivo final de influenciar as prescrições médicas é particularmente problemático, pois pode levar a decisões que não refletem a melhor opção de tratamento para o paciente, mas sim a influência comercial sobre o médico.

Segmentar médicos por especialidade e média de preço dos medicamentos que prescrevem, e usar essas informações para abordagens comerciais, pode comprometer a autonomia dos médicos e representar uma significativa limitação do exercício de direitos. Isso caracteriza infrações graves à LGPD, especialmente quando há intenção de vantagem econômica, ausência de base legal para o tratamento de dados, e tratamento com efeitos discriminatórios.

O direito à proteção de dados inclui a liberdade e a autonomia na tomada de decisões, e o princípio da transparência é fundamental para equilibrar a relação entre agentes de tratamento e titulares dos dados. Influenciar decisões de maneira furtiva, sem o conhecimento do titular, contraria os princípios de boa fé e lealdade.

O princípio da transparência, vinculado aos princípios de boa fé e “accountability”, deve ser observado durante todo o ciclo de vida do tratamento de dados. Ele garante que o titular dos dados esteja ciente do uso de suas informações e possibilita o controle sobre o uso dos dados, bem como a responsabilização dos agentes de tratamento em casos de abuso ou uso ilícito. A proteção de dados não é apenas uma questão de conformidade legal, mas um imperativo ético para assegurar a confiança e a integridade na relação entre médicos, pacientes e a indústria farmacêutica.

Publicado em por

LIMINARES PROTEGEM PRIVACIDADE DE DADOS TRABALHISTAS EM DROGARIAS

Recentemente, duas grandes redes de drogarias obtiveram decisões judiciais que as eximem de fornecer ao governo informações trabalhistas e salariais dos funcionários para o Portal Emprega Brasil. Elas também não precisarão publicar o relatório de transparência salarial elaborado pelo Ministério do Trabalho e Emprego (MTE) em seus sites e redes sociais. Essas exigências, estabelecidas pela nova lei de igualdade salarial, foram questionadas pelas empresas, que obtiveram liminares favoráveis em tribunais federais do Rio de Janeiro e São Paulo.

A Lei 14.611/23, sancionada em julho do ano passado, visa promover a igualdade salarial e de critérios remuneratórios entre homens e mulheres, além de garantir a transparência na remuneração de profissionais em cargos equivalentes. Posteriormente, o Decreto 11.795/23 e a Portaria MTE 3.714/23 regulamentaram a forma como essa transparência deve ser implementada. De acordo com a legislação, empresas com 100 ou mais empregados devem, semestralmente, confirmar os dados informados pelo eSocial sobre salários e ocupações, fornecendo informações adicionais pelo Portal Emprega Brasil. Essas informações são usadas pelo MTE para elaborar um relatório sobre disparidades de gênero, que deve ser publicado pelas empresas em seus sites e redes sociais.

Contudo, as redes de drogarias argumentaram que tais exigências criam novas obrigações não previstas pela lei original, violando princípios constitucionais como o direito à privacidade, intimidade e livre concorrência. As juízas que concederam as liminares concordaram com esses argumentos. Em sua decisão, a juíza da 26ª Vara Federal do Rio de Janeiro ressaltou que a fiscalização da igualdade salarial poderia ser realizada através de bancos de dados mais precisos e sigilosos, como o eSocial, FGTS e CNIS, sem a necessidade de publicização de dados sensíveis em redes sociais e sites empresariais.

A decisão também apontou que a exigência de publicação de dados poderia contradizer a garantia de anonimato e sigilo prevista na Lei Geral de Proteção de Dados (LGPD). A juíza da 26ª Vara Cível Federal de São Paulo, ao deferir a tutela antecipada, destacou que a portaria do MTE extrapolou os limites estabelecidos pela lei, impondo obrigações adicionais que não possuem respaldo legal.

Essas decisões abriram precedentes para que outras empresas busquem apoio jurídico contra o envio dessas informações e a subsequente publicação dos relatórios. Argumenta-se que a exposição das políticas salariais e remunerações pode impactar negativamente a livre concorrência, a liberdade econômica e o direito à imagem das empresas, além de comprometer a privacidade dos trabalhadores.

Embora a importância da isonomia salarial entre homens e mulheres não esteja em debate, as inconstitucionalidades e ilegalidades identificadas no Decreto 11.795/23 e na Portaria MTE 3.714/23 levantam preocupações legítimas. A maneira como o MTE pretende utilizar e publicizar os dados das empresas pode gerar relatórios que não refletem com precisão a realidade remuneratória, potencialmente prejudicando a imagem e a competitividade das companhias envolvidas.

Portanto, é importante que a implementação de medidas de transparência salarial seja equilibrada com a proteção dos direitos à privacidade e à livre concorrência, garantindo que as empresas não sejam penalizadas indevidamente por práticas que, na verdade, podem estar em total conformidade com a lei e a Constituição.

Publicado em por

PROTEÇÃO DE DADOS: MULTA E REPERCUSSÕES PARA COLETA INDEVIDA DE BIOMETRIA

O TikTok, famoso aplicativo de vídeos curtos, foi recentemente multado em R$ 23 milhões pela Justiça brasileira por práticas que violam a Lei Geral de Proteção de Dados (LGPD) e o Marco Civil da Internet. A decisão, proferida em 7 de março por um juiz do Maranhão, condena a rede social por coletar, armazenar e compartilhar indevidamente dados biométricos dos usuários.

Cada usuário afetado deverá receber uma indenização de R$ 500, conforme a sentença. No contexto digital atual, os dados se tornaram uma mercadoria de enorme valor, frequentemente comercializada de maneira ilícita por empresas. Essas informações são usadas, entre outras finalidades, para direcionamento de publicidade. No caso específico do TikTok, a coleta de dados biométricos faciais agrava a situação, pois envolve o uso de câmeras de smartphones para capturar dados sensíveis que deveriam ser mantidos em sigilo.

A ação foi movida pelo Instituto Brasileiro de Defesa do Consumidor (IBEDEC/MA), que acusou o TikTok de utilizar ferramentas de inteligência artificial para capturar biometria sem o consentimento dos usuários entre 2020 e 2021. Tal prática infringe tanto a LGPD quanto o Marco Civil da Internet. A decisão judicial busca não apenas punir o aplicativo, mas também reparar os danos causados aos consumidores.

É importante destacar que a multa de R$ 500 por usuário pode parecer modesta quando comparada a punições em outras jurisdições, como na União Europeia, onde o TikTok já enfrentou uma multa de 345 milhões de euros por violações semelhantes.

Os usuários que conseguirem comprovar que utilizaram o TikTok até junho de 2021 terão direito a receber a indenização. No entanto, é necessário aguardar a conclusão do processo para que o Tribunal de Justiça do Maranhão divulgue o procedimento para o recebimento dos valores.

Vale lembrar que, no Brasil, o sequestro de dados nas redes digitais não só resulta em multas, mas também é considerado crime desde maio de 2021. A invasão de dispositivos eletrônicos e o roubo de dados podem levar à condenação de até 4 anos de prisão.

Esta decisão serve como um alerta para as empresas que operam no espaço digital, destacando a importância do respeito às legislações de proteção de dados e à privacidade dos usuários.

Publicado em por

TRANSFORMANDO A GESTÃO DOCUMENTAL E PROTEÇÃO DE DADOS NO BRASIL

Na busca contínua por fortalecer operações empresariais, uma empresa de serviços tecnológicos, especializada no gerenciamento de fornecedores e terceiros, introduziu a plataforma SerCAE. Esta ferramenta auxilia na gestão documental, minimizando riscos associados à subcontratação, oferecendo soluções para empresas de todos os portes. Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), as empresas enfrentam uma pressão ainda maior para proteger os dados pessoais de clientes e funcionários. O não cumprimento das regulamentações pode acarretar penalidades significativas e danos à reputação.

Pesquisas indicam que 40% das empresas brasileiras já contrataram funcionários dedicados exclusivamente à proteção de dados pessoais. Nesse cenário, a tecnologia torna-se um aliado crucial para que as organizações naveguem com segurança no complexo ambiente de privacidade de dados e reforcem sua posição como líderes responsáveis em seus setores.

A plataforma SerCAE permite a implementação de controles eficazes e demonstra a conformidade com as regulamentações vigentes, integrando práticas robustas de auditoria e governança de dados. As empresas enfrentam desafios significativos para garantir a segurança e a privacidade dos dados, especialmente diante do crescente processo regulatório. Não se trata apenas de analisar e armazenar dados, mas de ter controle sobre pessoas e processos envolvidos. A tecnologia, portanto, desempenha um papel essencial na construção de uma cultura corporativa que valoriza a proteção de dados, contribuindo para a sustentabilidade e a reputação das empresas no mercado.

Publicado em por

ESTRATÉGIAS ESSENCIAIS PARA PRESERVAR A PRIVACIDADE DOS DADOS PESSOAIS

A medida que a digitalização se consolida como uma força onipresente em todas as esferas da vida contemporânea, a proteção da privacidade dos dados pessoais emerge como uma preocupação de destaque. Este imperativo se reflete especialmente na esteira da implementação de legislações como a Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, impondo às empresas e organizações a responsabilidade de salvaguardar os dados pessoais dos usuários, garantindo sua coleta, processamento e armazenamento de forma segura e ética.

Neste contexto, a gestão de acessos desempenha um papel crucial na salvaguarda da privacidade e segurança dessas informações sensíveis. Esta prática consiste no controle e administração das permissões dos usuários em relação a sistemas, aplicativos e dados, atuando como uma barreira contra acessos não autorizados e minimizando os riscos associados à exposição indevida de informações sensíveis.

A capacidade de auditar e rastrear atividades de acesso também se destaca, possibilitando uma resposta ágil a qualquer comportamento suspeito e reforçando a postura de segurança das organizações.

Outro aspecto positivo dessa abordagem é sua contribuição para a conformidade com regulamentações de privacidade, como a LGPD, facilitando o cumprimento das normativas e mitigando potenciais penalidades, além de preservar a reputação da organização. Além disso, a confiança dos usuários é solidificada quando a empresa demonstra um compromisso palpável com a proteção de seus dados pessoais.

Entretanto, a gestão de acessos, embora essencial para a proteção da privacidade de dados, requer atenção meticulosa em diversos pontos críticos. Uma das recomendações fundamentais é o estabelecimento de políticas de acesso claras, garantindo que as permissões dos usuários estejam estritamente alinhadas com suas responsabilidades, evitando concessões excessivas que possam resultar em potenciais violações de privacidade.

A educação e conscientização dos usuários sobre práticas seguras também se mostram vitais, uma vez que a negligência por parte dos colaboradores pode comprometer a eficácia do sistema de gestão de acessos. A adoção de soluções tecnológicas, como sistemas avançados de gerenciamento de identidade e acesso (IAM), permite a atribuição granular de permissões, garantindo que os usuários tenham acesso apenas às informações necessárias para suas funções específicas.

A autenticação multifator (MFA) reforça a segurança, exigindo múltiplos métodos de verificação de identidade e reduzindo significativamente o risco de acessos não autorizados. Além disso, ferramentas de monitoramento contínuo e análise de comportamento de usuários ajudam a identificar atividades suspeitas em tempo real, permitindo uma resposta imediata a potenciais ameaças. A criptografia robusta de dados pessoais durante o armazenamento e a transmissão também adiciona uma camada adicional de proteção.

Por outro lado, uma gestão inadequada de acessos pode representar um terreno fértil para uma série de riscos que podem impactar significativamente a privacidade de dados pessoais. A concessão excessiva de permissões, por exemplo, abre portas para acessos não autorizados e potencialmente maliciosos, resultando em vazamentos de informações sensíveis e comprometendo a integridade e confidencialidade dos dados armazenados.

A ausência de monitoramento adequado pode permitir a persistência de acessos indevidos, prolongando o tempo de exposição e aumentando os danos. A falta de políticas claras de revogação de acessos quando um funcionário deixa a organização também apresenta riscos, podendo resultar em acessos não autorizados pós-emprego.

Em última análise, esses riscos podem desencadear violações de privacidade, acarretando em penalidades legais, danos à reputação da empresa e, acima de tudo, uma perda irreparável da confiança dos usuários. Portanto, uma gestão de acessos inadequada não apenas compromete a segurança dos dados, mas também lança uma sombra ameaçadora sobre a essência da privacidade de dados pessoais.

Diante dessas considerações, fica evidente que a gestão de acessos desempenha um papel vital na preservação da privacidade de dados pessoais em um mundo digitalizado. Os benefícios são vastos, desde a minimização de riscos até o aumento da confiança do usuário. No entanto, os desafios demandam uma abordagem cuidadosa e abrangente.

Ao priorizar a gestão de acessos como parte integrante das estratégias de segurança da informação, as organizações não apenas cumprem regulamentações, mas também constroem uma base sólida para a confiança e lealdade dos usuários.

Publicado em por

A EVOLUÇÃO E A IMPORTÂNCIA DOS DATA CENTERS NA ERA DIGITAL

Nas últimas décadas, o crescimento exponencial no volume de dados catalisou a ampla adoção de data centers por diversos setores, tornando-os essenciais para o armazenamento, processamento e distribuição de vastas quantidades de informações. Estas instalações, que hospedam servidores, roteadores, firewalls, switches e sistemas de armazenamento, consolidaram-se como a espinha dorsal da nova economia digital. Para garantir a operação adequada, os data centers incorporam uma infraestrutura de suporte robusta, incluindo subsistemas de energia, geradores de reserva e equipamentos de ventilação e arrefecimento, prevenindo o superaquecimento dos equipamentos.

Tipos de Data Centers e Modelos Operacionais

Embora exista uma estrutura geral comum aos data centers, suas operações podem variar significativamente. Existem três principais modelos operacionais, cada um com regras distintas de responsabilização:

  1. On-Premise: Neste modelo tradicional, a infraestrutura do data center é mantida dentro da própria empresa, sendo de uso exclusivo. Isso proporciona maior controle sobre as operações e processos de segurança da informação.
  2. Hyperscale: Construídos e gerenciados por gigantes como Google, Apple e Microsoft, esses data centers possuem enorme capacidade de armazenamento e processamento. Eles são caracterizados por infraestrutura de ponta e equipamentos robustos.
  3. Colocation: Aqui, a gestão é descentralizada; as empresas alugam espaço físico em instalações gerenciadas por provedores especializados. Enquanto o provedor cuida da manutenção, segurança física e conectividade, os clientes são responsáveis pela proteção contra ameaças virtuais e pelo conteúdo armazenado.

Privacidade e Segurança de Dados

Os data centers desempenham um papel fundamental na infraestrutura de TI, o que levanta preocupações significativas quanto à privacidade e segurança dos dados. Muitos dados armazenados são informações pessoais, exigindo conformidade com diversos padrões e regulamentações de proteção de dados em diferentes jurisdições.

Regulamento Geral de Proteção de Dados (GDPR)

Na União Europeia, o GDPR estabelece obrigações rigorosas para a proteção de dados pessoais. Este regulamento aplica-se tanto a organizações dentro da UE quanto àquelas fora dela que processem dados de residentes da UE. O GDPR estipula que a transferência internacional de dados só pode ocorrer se o nível de proteção dos dados não for comprometido. Isso pode ser garantido através de decisões de adequação da Comissão Europeia ou por meio de cláusulas contratuais-tipo (SCCs).

Responsabilização e Modelos de Serviço

A responsabilidade nos data centers depende do modelo operacional e do papel das partes envolvidas. Nos artigos 4(7) e 4(8) do GDPR, define-se que os controladores determinam as finalidades e os meios de tratamento dos dados pessoais, enquanto os processadores tratam dos dados em nome dos controladores. No modelo de colocation, por exemplo, o provedor do data center é responsável pela infraestrutura física, enquanto o cliente gerencia a segurança dos dados.

Normas de Segurança

Além das regulamentações de privacidade, existem padrões específicos que regem a segurança e a operação dos data centers. Entre eles, destacam-se:

  • ANSI/TIA-942: Este padrão classifica os data centers em quatro níveis (Tiers), de acordo com a redundância e a tolerância a falhas.
  • EN 50600: Focado na segurança física dos data centers, aborda desde a infraestrutura de telecomunicações até a gestão de energia.
  • ISO 27001 e ISO 9001: Estes padrões globais estabelecem requisitos para a gestão da segurança da informação e da qualidade.

Sustentabilidade e Impacto Ambiental

Os data centers consomem uma quantidade significativa de energia, representando cerca de 1,3% da demanda global de eletricidade, segundo a Agência Internacional de Energia (IEA). Com o aumento da digitalização, espera-se que este consumo cresça exponencialmente.

Iniciativas de Eficiência Energética

Na União Europeia, o Código de Conduta para Data Centers (EU DC CoC) oferece diretrizes para reduzir o consumo de energia sem comprometer a funcionalidade. Nos Estados Unidos, a Agência de Proteção Ambiental (EPA) promove um programa voluntário focado na eficiência energética dos data centers.

O Cenário no Brasil

O Brasil busca se posicionar como um hub global de data centers. Para isso, a Anatel, em parceria com a ANPD, deve estabelecer regulamentações que garantam infraestrutura segura, eficiência energética e conformidade com a Lei Geral de Proteção de Dados (LGPD). Isso inclui definir modelos de responsabilização, padrões de segurança e incentivar práticas sustentáveis alinhadas às diretrizes internacionais.

Conforme os data centers expandem, é crucial que políticas de segurança e práticas sustentáveis sejam adotadas para assegurar a confidencialidade, integridade e disponibilidade dos dados, além de mitigar impactos ambientais.

Publicado em por

WORLDCOIN: COLETA DE DADOS BIOMÉTRICOS E PROTEÇÃO DE DADOS

Em 2019, uma inovadora empresa no setor de inteligência artificial lançou um projeto ambicioso conhecido como Worldcoin. O objetivo principal deste projeto é coletar imagens digitais da íris das pessoas que consentem voluntariamente, oferecendo em troca um pagamento em criptomoedas equivalente a cerca de 70 euros. Este esforço tem sido implementado em vários países, inclusive na União Europeia, onde a legislação de proteção de dados pessoais é notoriamente rigorosa.

Diante das denúncias recebidas, a Autoridade de Proteção de Dados da Espanha iniciou uma investigação em fevereiro de 2024. Em março, foi emitida uma ordem cautelar para suspender as atividades de coleta e tratamento de dados pessoais da empresa no país, além de bloquear os dados já coletados. Estima-se que cerca de 400 mil pessoas tenham tido seus dados coletados.

A Lei Geral de Proteção de Dados (LGPD) do Brasil, fortemente inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, também prevê medidas semelhantes. Qualquer empresa que colete e trate dados pessoais no Brasil, expondo os titulares a riscos desproporcionais, está sujeita a medidas rigorosas, semelhantes às tomadas pela autoridade espanhola no caso do Worldcoin.

A empresa por trás do projeto Worldcoin afirma que todas as informações coletadas são anônimas e que os indivíduos mantêm controle sobre seus dados. No entanto, as denúncias dirigidas à Autoridade de Proteção de Dados da Espanha alegam insuficiência de informações fornecidas, coleta de dados de menores e impossibilidade de retirada do consentimento dado.

A imagem digital da íris é considerada um dado biométrico e recebe proteção especial tanto pelo GDPR quanto pela LGPD. Este tipo de dado é classificado como sensível devido ao elevado risco que seu tratamento representa para os direitos e liberdades dos titulares, incluindo a possibilidade de usurpação de identidade.

A decisão da autoridade espanhola, embora preliminar, foi tomada com base em circunstâncias excepcionais, sendo considerada necessária e proporcional como medida preventiva para evitar a cessão dos dados a terceiros e salvaguardar o direito fundamental à proteção de dados pessoais.

No Brasil, o direito à proteção de dados é também um direito fundamental, garantido pela Constituição Federal. As autoridades brasileiras, portanto, possuem um amplo espectro de medidas à disposição para proteger este direito.

A LGPD exige o consentimento do titular para o tratamento de dados biométricos, salvo em circunstâncias específicas. O consentimento deve ser livre, expresso, específico, inequívoco e informado. Qualquer consentimento obtido de forma viciada, mediante informações genéricas ou enganosas, é considerado nulo.

O Supremo Tribunal Federal (STF) já declarou que a permissão para tratamento de dados pessoais é uma relativização do direito fundamental à proteção de dados. Assim, a transparência e clareza das informações fornecidas para a obtenção do consentimento são essenciais para garantir que os titulares compreendam plenamente o uso de suas informações.

Além disso, mesmo que o tratamento de dados pessoais seja baseado em uma base legal, ele deve ser realizado dentro de uma atividade lícita. Se a atividade principal for ilícita, o tratamento de dados também será considerado ilícito, independentemente da base legal formal utilizada.

As regras da LGPD visam reduzir o desequilíbrio entre o agente de tratamento e o titular dos dados, exigindo lealdade, transparência e informação. A não observância desses princípios ou a ausência de fundamento legal desequilibra a relação e configura uma conduta abusiva.

No Brasil, qualquer empresa que atue de maneira semelhante ao projeto Worldcoin, coletando e tratando dados pessoais que possam colocar em risco os direitos e liberdades das pessoas, viola os fundamentos do regime de proteção de dados e o direito fundamental à proteção de dados. Consequentemente, está sujeita à fiscalização e repressão da Autoridade Nacional de Proteção de Dados (ANPD) e pode ter suas atividades suspensas judicialmente desde a fase de coleta, em ações propostas pelo Ministério Público ou outros legitimados para a Ação Civil Pública.