Como eu já disse no artigo anterior, a GDPR (General Protection Data Regulation) é uma lei que entrou em vigor em maio de 2018, na Europa, e tem como objetivo proteger os dados pessoais dos cidadão europeus.
Um dos impactos da GDPR foi a Lei Geral de Proteção de Dados, sancionada em agosto pelo presidente da república e que entrará em vigor em fevereiro de 2020.
O Brasil é tão pop que tem a sua própria versão da GDPR! Na minha opinião muito mais dura do que a original.
Não estamos indo na contramão do mundo; países como Chile, Argentina e Uruguai têm leis parecidas. O que me preocupa são alguns desdobros da lei e infelizmente sou pessimista!
Vamos começar conversando sobre alguns conceitos importantes da LGPD:
Conceito de dados pessoais: dado pessoal é um conceito bem amplo! Qualquer informação relacionada à pessoa natural identificada ou identificável. Ou seja, qualquer dado, que isoladamente ou agregado a outro possa permitir a identificação de uma pessoa natural (se você usa o atributo CPF como chave primária nas suas tabelas, comece a chorar).
Vamos desdobrar um pouco as afirmações: hoje temos algoritmos fantásticos para analisar dados, ou seja, podemos fazer a correlação rápida de grandes bases de dados, estruturadas e não estruturadas. Sendo assim, quase todo dado que temos disponível pode vir a ser considerado pessoal, portanto, sujeito aos ditames da lei.
Na minha opinião o primeiro conceito já complica a nossa vida! Se tudo é dado pessoal, precisarei estudar, melhorar e adaptar todas as minhas bases de dados? Sim! E tenho dois anos para isso!
Como serão as auditorias? Sua empresa tem verba para alterar todas as bases de dados?
Nesta primeira análise da lei, acho que a maioria das empresas (e nós, os funcionários, que trabalhamos com dados), estão enrolados!
Conceito de dados pessoais sensíveis: além de termos os dados pessoais, temos também os dados pessoais sensíveis, que são aqueles que pela sua própria natureza podem sujeitar o seu titular a práticas discriminatórias, tais como dados sobre a origem racial ou étnica, convicção religiosa, a opinião política, dado referente à saúde ou à vida sexual; ou permitir a sua identificação de forma inequívoca e persistente, tais como dado genético ou biométrico. Tais dados devem ser tratados de forma diferenciada, com camadas de segurança adicionais, e com o consentimento expresso do titular.
Camadas de segurança adicionais implicam em impactos na usabilidade e desempenho. Se você tem um cadastro com estes dados, precisará de mais um consentimento do seu usuário, o que pode complicar a usabilidade, e camadas de segurança no banco de dados e aplicação impactam o desempenho. Estes tradeoffs estão previstos no seu projeto?
Dados anonimizados: dados anonimizados são aqueles em que um titular que não pode ser identificado, considerando a utilização de meios técnicos (como machine learning). Desta forma estariam fora do escopo de aplicação da lei. Uma exceção é se o processo de anonimização puder ser revertido ou se estes forem utilizados na formação de perfis comportamentais.
Vamos lá, amigos. Não estamos falando de ferramentas caseiras que trocam a letra “A” pelo número 1. Tenha cuidado com a simplificação!
A LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, exigindo mais segurança e governança de dados e trazendo multas pesadas para o não cumprimento.
A lei precisa ser estudada intensamente (prometo ler mais umas 10 vezes para tentar ser mais otimista), mas eu gostaria de destacar os seguinte pontos:
Escopo
Para nós a lei será pesada, uma vez que ela será aplicável a todos os setores da economia, tanto no âmbito público quanto privado, online e offline. Não chore, a lei tem algumas (poucas) exceções, mas o fato é que toda e qualquer prática que usar dados pessoais estará sujeita à lei.
Dados dentro e fora do Brasil
Imitando a GDPR, a LGPD será aplicável em todos os locais onde existam dados de cidadãos brasileiros. Já imagino o auditor brasileiro, chegando em qualquer país pedindo para verificar se o BD está de acordo com as nossas leis. Vocês acham que será possível? Me perdoem a reflexão (não sei se ela viável), mas ainda não consigo entender como multaremos (nós, Brasil) empresas estrangeiras.
Independentemente de como será a auditoria, e se ela existirá, o fato é que toda empresa estrangeira que tiver filial no Brasil, ou oferecer serviços ao mercado nacional e coletar e tratar dados de cidadãos brasileiros estará sujeita a lei.
Dados públicos
Mas e os dados que eu publico no Facebook? E os dados de cartórios? Dados do diário oficial?
A LGPD fala deles também! Mas são tratados de forma especial, limitando o seu uso às finalidades que motivaram a publicação dos dados. Ou seja, nada de sair usando dados do Facebook alheio sem autorização!
Consentimento
Os dados devem ser coletados somente com o consentimento do titular.
Princípios gerais de proteção de dados:
Temos alguns princípios gerais para a proteção de dados, tais como o da finalidade, necessidade, transparência, segurança, não discriminação, responsabilização e prestação de contas, sendo que os últimos obrigam o responsável pelo tratamento dos dados a demonstrar de forma e transparente a adoção de medidas eficazes e capazes de cumprir a lei. Ou seja, sabe os documentos de governança que você odeia? São indispensáveis agora. E não adianta ter só documentos e lábia. Muitos processos da sua empresa precisarão mudar, precisarão de novos controles, automatização e metodologia.
Direitos básicos dos titulares:
A lei garante que os direitos aos dados devem ser garantidos, e explicados de forma acessível e eficaz.
Existem alguns direitos listados como:
- Acesso aos dados
- Retificação
- Cancelamento ou exclusão
- Explicação sobre o uso dos dados
- Portabilidade dos dados (similar ao o que pode ser feito entre diferentes empresas de telefonia e bancos)
- Requisição de uma cópia da integralidade dos seus dados
Acho fantásticos os direitos. Eu tento compreendê-los e fazer uso deles, mas eu moro no Brasil, que é um país de terceiro mundo, pobre e desigual. Não entendo bem o que é ser acessível aqui.
Ter os direitos será suficiente? Porque hoje as crianças têm direito à escola, e mesmo assim temos crianças trabalhando em lixões. Entende a minha aflição?
Imagino as empresas que controlam os dados ligando para a minha avó e perguntando se ela quer trocar de serviço – se quer um mais caro, um mais barato, se quer receber X reais pelo direito aos seus dados.
- Quanto aos direitos básicos eu imagino alguns pontos complicados para os arquitetos de dados e DBAs:
A característica dos sistemas existentes pode mudar. Por exemplo, dados que eram somente incluídos poderão ser consultados também.
- Seu sistema suporta essa mudança?
- Os dados poderão ser alterados. E os impactos nos índices, por exemplo?
- Qual o formato padrão para conceder a cópia dos dados? Serão disponibilizados em um arquivo? E o custo para armazenar o arquivo?
- Sobre as explicações para os dados: elas serão adequadas para mim e para minha avó?
- Quem regulamentará os prestadores de serviços?
Responsabilidade dos agentes de tratamento:
- O controlador e o operador podem ser responsabilizados por:
- Incidentes de segurança,
- Uso indevido e não autorizado dos dados,
- Não conformidade com a lei.
No caso do operador (só para lembrar: é aquele que faz o tratamento de dados em nome e a mando do controlador), a responsabilização pode ser limitada às suas obrigações contratuais e de segurança da informação.
- Notificação obrigatória de incidentes:
Assim como na GDPR, se ocorrer algum incidente com os dados, a notificação sobre a ocorrência é obrigatória, e deve acontecer em 72 horas.
- Data Protection Officer (DPO):
É uma pessoa indicada pelo controlador e que atua como canal de comunicação entre o controlador e os titulares. Resumidamente será o “vigia”! Ele deve ser o responsável na empresa pela supervisão do cumprimento das regras.
- Transferência internacional de dados:
Dados pessoais podem ser transferidos para outros países, mas a transferência precisa ser autorizada pelo titular.
- Padrões de Segurança da Informação:
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.
- Relatório de impacto à privacidade – Data Protection Impact Assessment (DPIA):
É um documento que precisa ser vivo, e contém a descrição de todos os processos de tratamento de dados pessoais e que podem gerar riscos para os titulares. Este documento contém também as medidas, garantias e mecanismos para mitigar os riscos.
“A metodologia do DPIA é amplamente adotada pela GDPR e permite, além do mapeamento dos riscos, uma efetiva fotografia do status da conformidade regulatória da entidade.”
- Registro das atividades de tratamento:
Em outras palavras, LOG. Toda atividade que manipule dados pessoais deve ser logada.
Você precisará fazer o mapeamento dos dados pessoais, uma vez que é importante saber por quem, quando, onde e porque os dados foram manipulados/acessados.
Criar mais logs é simples, certo? Errado! Criar mais logs pode impactar negativamente na sua aplicação, e o hardware precisará ser adequado também. Pensando de forma bem grosseira, onde estes logs serão armazenados? Como serão acessados? Com qual frequência?
Qual será formato padrão? Por quanto tempo estes logs precisam ser mantidos?
Como vocês podem ver, um log pode não ser tão simples como parece.
- Privacy by Design e by Default:
Fazer certo desde o começo agora está na lei! A segurança e a privacidade precisam ser pensadas desde o começo dos projetos. “Os princípios gerais da LGPD e os padrões de segurança devem ser observados desde a concepção até a execução e oferecimento do produto e serviço”.
Os padrões tendem a ser nossos maiores aliados, mas até que cheguem, os novos projetos tendem a demorar mais para ficarem prontos.
Conclusão
Temos grandes desafios, grandes responsabilidades e pouco tempo!
Meus próximos cursos
No mês de dezembro estarei em BH ministrando um treinamento sobre SQL Server (módulo 1), e em vários momentos falaremos sobre a GDPR e a LGPD.
Para quem quer conhecer as duas leis mais profundamente, em janeiro ministrarei um treinamento sobre elas.
Referências
- https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/lgpd-analise-detalhada-14072018
- https://www.conjur.com.br/2018-jul-17/leia-redacao-final-projeto-lei-protecao-dados
- https://www12.senado.leg.br/noticias/materias/2018/08/15/sancionada-com-vetos-lei-geral-de-protecao-de-dados-pessoais