Dados Pessoais, Privacy by Design e Privacy by Default

17 views
4 mins read

Introdução

Antes de tudo, vamos entender o que é um dado pessoal.

Em poucas palavras: Dado pessoal é qualquer informação que possa te identificar, direta ou indiretamenteisso é muito importante e pode passar despercebido em alguns cenários. É como um quebra-cabeça: algumas peças sozinhas podem não dizer muito sobre uma pessoa, mas juntas podem formar a sua imagem completa.


Exemplos de dados pessoais:

  • Dados óbvios: Nome completo, CPF, RG, endereço, telefone, e-mail.
  • Menos óbvios: Fotos, vídeos, voz, digitais, hábitos de consumo, histórico médico, localização geográfica, endereço IP, cookies.

Os dados acima são os mais fáceis de serem mapeados em um projeto para atender requisitos tanto da LGPD quanto do GDPR, por exemplo.

E não, você copiando uma política de privacidade e política de cookies e colocando um banner avisando no seu site sobre, você não estará de acordo com as leis de privacidade.


Dados pessoais em ambientes industriais

Lembra do que disse acima, que dado pessoal é um dado que possa identificar DIRETA ou INDIRETAMENTE um indivíduo?

Vamos olhar alguns exemplos para explicar um pouco essa parte.

Dados com mapeamento fácil:

  • Cartões de identificação: Muito fácil de mapear, correto?
  • Logs de acesso: Registram todas as tentativas de acesso a ambientes, incluindo data, hora, local e identificação do usuário.
  • Dados de sistemas de gestão de saúde e segurança do trabalho: Prontuários médicos, comunicação de acidentes e monitoramento de riscos.
  • Dados de sistemas de vídeo vigilância: Imagens, vídeos, reconhecimento facial e áudio.

Dados mais complexos de mapear:

  • Logs de operação: Registros de atividades das máquinas, incluindo horários de funcionamento, produção, paradas, falhas, consumo de energia, que podem ser associados a funcionários responsáveis pela operação ou manutenção do equipamento.
  • Dados de sensores: Informações coletadas por sensores instalados nas máquinas, como temperatura, pressão, vibração, que podem ser utilizadas para monitorar o desempenho dos equipamentos e prever manutenções, mas também podem revelar padrões de uso e identificar operadores.
  • Termostato: Dependendo de como é utilizado e das informações coletadas pelo dispositivo, ele pode gerar dados pessoais que podem ser vinculados a um indivíduo, seja por meio de um sistema de controle de acesso ou por registros de uso.

Mas sou apenas uma software house, eu não preciso me preocupar com dados pessoais!

Mesmo sendo “apenas” uma software house, você definitivamente precisa se preocupar com a LGPD e a GDPR. É comum pensar que apenas empresas que lidam diretamente com o público precisam se preocupar com dados pessoais, mas a realidade é que tanto a LGPD quanto a GDPR se aplicam a qualquer empresa que realize o tratamento de dados pessoais, seja de seus funcionários, clientes ou de terceiros.

Como software house, você provavelmente desenvolve sistemas e aplicativos que coletam, armazenam e processam dados de usuários, o que te torna um processador de dados na cadeia da LGPD e da GDPR. Isso significa que você tem responsabilidades e obrigações legais em relação à proteção desses dados, mesmo que o controlador (a empresa que detém os dados) seja outra.

E se a empresa controladora dos dados pessoais possuir em seu ambiente um programa de privacidade, você se encaixaria como Processador (RGPD) ou Operador (LGPD)

  • De acordo com o Regulamento Geral de Proteção de Dados (GDPR), um processador de dados é uma entidade que processa dados pessoais, geralmente em nome de um controlador de dados. 
  • De acordo com a LGPD: O operador de dados é a pessoa ou empresa que processa e trata dados pessoais em nome do controlador, de acordo com as suas ordens e instruções. 

Privacy by Design e Privacy by Default.

  • Privacy by default: É como ter a configuração de privacidade mais alta ativada automaticamente em um aplicativo ou site. Os dados pessoais são protegidos por padrão. Nesse caso, seria como pensar em todos os controles de segurança para os dados pessoais já por padrão. Seja firewalls, IDS, IPS, DLP e um sistema de SIEM para proteger um sistema de informação onde há um banco de dados em produção com dados de clientes, por exemplo. Outro exemplo seria um controle de acesso baseado em cara crachá + um cadeado em um armário onde são armazenados prontuários médicos.
  • Privacy by design: É pensar na privacidade desde o início do desenvolvimento de um produto ou serviço. Todas as decisões são tomadas com a proteção dos dados pessoais em mente. Quando estiver trabalhando em um projeto, ter esse pensamento desde a primeira linha de código (ou mesmo uma planilha de excell/gdocs) é essencial para a implementação e manutenção de um Programa de Privacidade. Não deixe ou pense em adaptar o projeto com passar do tempo, faça isso desde a fase embrionária. Realize o mapeamento de todas as fontes de dados pessoais, sempre atualizando quando existir novas fontes e assim, implemente os controles de segurança adequados para cada uma dessas fontes. Seja um banco de dados, seja um servidor de logs ou simplesmente um armário com vários documentos com informações de clientes ou funcionários.

Esses dias me deparei com um cenário que deve ser cotidiano para todos. Fui com minha esposa em uma loja comprar algumas roupas, e na loja tinha alguns computadores ligados. Sem nenhum tipo de controle de acesso. Simplesmente tinha o programa que gerencia as vendas aberto e acessível para qualquer pessoa. Foto do cliente, endereço, débitos e renda média mensal, ali, na minha frente. Bastava tirar algumas fotos para ter uma exposição de dados. O que poderíamos fazer aqui nesse cenário? O controle mais simples seria bloquear a tela do computador a cada X segundos de inatividade e um treinamento para o funcionário + política onde caso o vendedor se ausente do PC, faça o bloqueio manual da tela.


Finalizando

Lembre-se de que Segurança da Informação e, consequentemente, Proteção e Privacidade dos Dados é um processo de melhoria contínua.

  • Não existe bala de prata que faça a implementação em poucos cliques.
  • Não existe ferramenta ou software milagroso.

Tive aulas em que um grande mestre na área mostrava como era possível mapear os dados pessoais e dar o pontapé inicial de um Programa de Privacidade usando simplesmente um editor de planilhas.

Sou um profissional apaixonado pela área de Segurança da Informação. Sou certificado em ISO 27001, ISO 27005, LGPD e GDPR, o que me torna um Data Protection Officer (DPO) certificado. Também sou certificado CC e SSCP pelo (ISC)², bem como um AWS Practitioner. Além do meu trabalho, sou um orgulhoso pai de três filhos, um nerd, um cinéfilo, um leitor voraz e um eterno aprendiz.

Deixe um comentário

Your email address will not be published.

Previous Story

Zabbix SQLi