Painelista no 1º Encontro do Fórum de GR, o especialista em Segurança da Informação Edison Fontes falou no evento sobre como as empresas devem se adequar à nova legislação que regula o tratamento de dados pessoais.
O assunto de grande relevância despertou a atenção do público e então o Fórum de GR separou algumas perguntas feitas pelos participantes do evento para que o consultor pudesse contribuir com mais informações.
Confira abaixo!
Fórum de GR:
Como fica a questão do cadastro e pesquisa de motoristas, veículos e proprietários comumente realizado pelas gerenciadoras de risco, onde não há anuência dos consultados?
Edison Fontes:
Qualquer tratamento de Dados Pessoais precisa estar amparado em uma das 10 (dez) opções de Base Legal descritas na lei. Duas delas são as mais comuns:
a. Consentimento. A organização terá que pedir consentimento explícito para a pessoa natural. Este consentimento pode ser por escrito, pode ser por pagina da internet, por qualquer meio que garanta que aquela pessoa é realmente aquela pessoa e que ela autoriza o uso dos dados dela para uso pela organização com uma determinada finalidade.
b. Cumprimento de contrato. Se você tem um contrato com estes motoristas ou proprietários, é necessário ajustar os termos do contrato para citar que Dados Pessoais serão utilizados para a realização do contrato. Exclusivamente para este fim.
Qualquer que seja a opção de Base legal utilizada, ela precisa ser aplicada também às informações passadas. Isto é, por exemplo, os contratos antigos precisam ser atualizados.
"Minha sugestão é que a organização se prepare e se estruture. Como Gestor, você tem essa responsabilidade"
Fórum de GR:
Como acredita que será feita a auditoria no caso de não cumprimento, auditoras frequentes? Em base de reclamações? Em base de processos? Edison Fontes:
A Autoridade Nacional de proteção de Dados poderá receber reclamação de pessoas e a Autoridade pode fazer uma auditoria na organização ou uma simples consulta a organização, tipo: envie esta informação, etc.. etc.. E entendo que não é conveniente mentir para a Autoridade Nacional de Proteção de Dados.
Esta questão é uma dúvida, porque com certeza a Autoridade não vai ter folego para atender a uma possível demanda. Imagino que em função disso as primeiras ações da Autoridade será de lembrar e conscientizar as empresas por alguns meses. Porém com certeza umas multas exemplares serão aplicadas, assim entendo.
É necessário lembrar que o que falamos acima se refere a multas da Autoridade. Porém o Titular (pessoa) pode entrar com uma ação cível pedindo indenização por danos morais. Nesta semana saiu a notícia que uma pessoa entrou na justiça por danos morais contra uma construtora, pois após comprar um imóvel começou a receber emails e telefonemas de vendedores de cozinha, pintores e similar. Pediu R$ 60 mil e o juiz já deu uma liminar. Cabe recurso.
Minha sugestão é que a organização se prepare e se estruture. Como Gestor, você tem essa responsabilidade.
Lembro o exemplo que deu na apresentação do hospital em Portugal. Multa: EU 150 mil. Tinham 900 identificações (logins) de médicos e só tinham 300 médicos ativos. Foi uma denúncia. Não ocorreu fraude, não ocorreu vazamento. Apenas negligência organizacional
Fórum de GR:
Caso o vazamento de dados seja fruto de um ataque cibernético, mesmo assim é considerada a culpabilidade da empresa? Edison Fontes:
A empresa é responsável pela proteção dos dados pessoais sob sua responsabilidade. Ela tem que demostrar que tomou e toma as medidas necessárias e adequadas de proteção. E adequadas ao negócio e porte.
É um entendimento comum que a Autoridade Nacional de Proteção de Dados, quando analisar qualquer caso, irá considerar alguns critérios que poderão servir de atenuantes. Por exemplo:
- Controles preventivos funcionando.
- Segurança da informação – Mecanismos de proteção. Implantados
- Existência de Políticas e normas de boas práticas
- Evidências de implementação e sustentabilidade da proteção de dados
- Reincidência de problemas e falhas. Demonstra negligencia.
- Boa fé
- Condição econômica
- Proporcionalidade do caso e das proteções existentes.
- Adoção de medidas corretivas
- Grau do dano, gravidade, ou possibilidade.
"A empresa precisa ter uma proteção adequada ao seu porte e tipo de negócio"
Fórum de GR:
Se mesmo sistemas como o da NASA e FBI são invadidos por hackers mais sofisticados, como uma empresa de pequeno e/ou médio porte, no Brasil, pode ou deve trabalhar no sentido da proteção? Não seria um dever público garantir a segurança? Edison Fontes:
Como descrito na resposta anterior, existe o conceito da proporcionalidade. Espera-se que a Autoridade Nacional de Proteção de Dados defina algumas regras mais explícitas. Mas isso não impede o cumprimento da lei.
Vamos a um exemplo simples. Uma empresa média ou pequena, coloca os dados pessoais de clientes ou funcionários em um pendrive sem criptografia e perde este pendrive. Hoje qualquer empresa pode criptografar pendrive com softwares bons que possuem verão gratuita. Ele não precisa criptografar com o algoritmo da NASA.
Um médico que ainda tem fichas em papel, pode guardar estas fichas em um armário com chave ou cadeado. Deixar aberto sem uma proteção mínima é negligência.
A empresa precisa ter uma proteção adequada ao seu porte e tipo de negócio. Pode ser pequena, mas transporta resultado de exames de saúde. Tem que proteger.
Fórum de GR:
Você acredita que o Brasil já tem mecanismos de fiscalização para tal lei?
Edison Fontes:
Evidentemente a fiscalização, como qualquer outra lei, não será completa. Mas, entendo que as empresas que forem autuadas, aleatórias, por denúncia ou por tipo de negócio, essas serão bem fiscalizadas. E a Autoridade vai querer demonstrar que todas as organizações devem cumprir a lei.
Entendo que a organização tem que se preocupar em ter a proteção adequada. Até porque a lei só cobre os Dados Pessoais, porém a empresa possui outras informações (faturamento, estratégia, financeiro, etc...) que são tão importantes que um vazamento para pessoas não autorizadas pode causar um grande impacto financeiro ou de reputação.
No quadro abaixo, é possível o entendimento dos níveis de proteção e uso da informação dentro das camadas de gestão:
O Entrevistado
Edison Fontes, CISM, CISA, CRISC.
Gestor e Consultor em Segurança da Informação, Gestão da Continuidade, Proteção de Dados Pessoais e Combate a Roubo e Fraude.
Autor do livro: Políticas e Normas para a Segurança da Informação
