Arquivos Privacidade de Dados - Página 4 de 4

Publicado em novembro 13, 2023novembro 13, 2023 por securitylgpd — Deixe um comentário

SEGURANÇA DE DADOS NAS EMPRESAS: A IMPORTÂNCIA DA GESTÃO DE ACESSOS E CONFORMIDADE COM A LGPD

O panorama da segurança da informação em empresas modernas é extremamente complexo e delicado, especialmente considerando o alto valor dos dados estratégicos, de clientes e de funcionários. A exposição dessas informações cruciais não só acarreta em perdas financeiras significativas, mas também em danos à reputação e consequências legais severas. A violação cibernética, uma das ameaças tecnológicas mais críticas atualmente, frequentemente facilita esses vazamentos de dados, tanto através de ataques externos quanto por ações internas de indivíduos mal-intencionados buscando benefícios pessoais.

Diante desse cenário, o valor dos dados pessoais tem crescido exponencialmente, já que possibilitam às empresas maior precisão ao direcionar produtos e serviços aos consumidores mais propensos a adquiri-los. Essa realidade aumenta o interesse de agentes internos em acessar e, possivelmente, vazar esses dados. Como resposta a esses desafios, importantes regulamentações foram implementadas. Na Europa, temos a GDPR (General Data Protection Regulation), e no Brasil, a Lei Geral de Proteção de Dados (LGPD) foi estabelecida em setembro de 2020. Ambas as legislações visam proteger dados pessoais através de regulamentos rigorosos, incluindo sanções diversas, que vão desde advertências e multas até a proibição de atividades relacionadas ao tratamento de dados.

Essas medidas resultaram em processos mais rigorosos dentro das empresas, que passaram a adotar controles de acesso mais estritos para prevenir vazamentos. As práticas recomendadas incluem a atualização constante de softwares e sistemas, a definição de políticas de segurança robustas, a proibição do uso de softwares piratas ou não confiáveis, além do monitoramento contínuo da infraestrutura, dos e-mails e documentos.

A Gestão de Acessos surge como um aspecto crucial nesse contexto. Muitas vezes, o acesso a informações sensíveis é concedido sem uma análise apropriada das funções dos profissionais, levando a permissões que não correspondem às suas responsabilidades reais. Isso aumenta o risco de uso indevido dos dados. Portanto, a aderência à LGPD e outras regulamentações relevantes exige mais do que políticas de privacidade adequadas; é essencial que as empresas implementem controles internos efetivos, incluindo a gestão de acessos e a segregação de funções (SoD).

Em conclusão, a integração efetiva entre a SoD e a LGPD é fundamental para a proteção de dados sensíveis nas organizações. Esta abordagem não apenas assegura a conformidade legal, mas também fortalece a segurança dos dados, aumenta a confiança de clientes e parceiros, protege a reputação da empresa e demonstra um compromisso genuíno com a proteção da privacidade das informações, oferecendo uma vantagem competitiva no mercado regulamentado.

Publicado em outubro 31, 2023outubro 31, 2023 por securitylgpd — Deixe um comentário

OS DESAFIOS DA PROPRIEDADE INTELECTUAL NA ERA DA IA: REFLEXÕES SOBRE A POLÍTICA DA REDE SOCIAL X

A rede social X, anteriormente conhecida como Twitter, recentemente introduziu uma nova política de privacidade que tem gerado um debate sobre a interseção entre propriedade intelectual e plataformas digitais. Essa política estabelece que os dados compartilhados pelos usuários serão utilizados para o treinamento de modelos de inteligência artificial (IA). Em outras palavras, criações intelectuais e artísticas humanas, incluindo direitos autorais, marcas e patentes, passam a estar à disposição da nona maior rede social do mundo, que possui 556 milhões de usuários.

A implementação dessa nova política representa um risco real de desvalorização da criatividade. Se as plataformas podem empregar o conteúdo dos usuários para aprimorar seus modelos de IA sem compensação adequada, é natural que os criadores se sintam desencorajados a produzir e compartilhar suas obras. Afinal, por que investir tempo e energia na criação de algo original se isso será usado para enriquecer terceiros sem nenhum benefício tangível para o criador?

Quando um usuário decide ingressar em uma rede social, é confrontado com os termos de serviço e, na maioria das vezes, os aceita sem uma leitura cuidadosa. Ao fazer isso, ele concede uma licença gratuita e não exclusiva para o uso do conteúdo que irá produzir. Geralmente, essa permissão se limita à operação, promoção e melhoria dos serviços oferecidos pela própria plataforma. A questão que emerge agora é a extensão dessa licença.

No Brasil, a LGPD está em vigor desde setembro de 2020, regulando a proteção de dados pessoais em meios físicos e digitais. A LGPD define dados pessoais como qualquer informação relacionada a uma pessoa identificada ou identificável e destaca a importância do consentimento do titular dos dados para o tratamento dessas informações.

Além do Brasil, países como Japão, Argentina e os Estados-membros da União Europeia têm suas próprias leis de proteção de dados pessoais. A mudança nos termos da rede social X é global, o que implica que cada jurisdição deve examinar como as questões normativas se aplicam em sua área geográfica. Por exemplo, o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia estabelece padrões rigorosos para a proteção da privacidade e impõe penalidades substanciais por violações. Tanto a LGPD quanto o GDPR enfatizam o consentimento informado e a transparência no tratamento de dados.

Embora os termos de uso frequentemente concedam amplas licenças às plataformas, a expansão dessas licenças para incluir o treinamento de IA pode ultrapassar o que foi originalmente acordado ou mesmo o que é ético.

É importante considerar que os modelos de IA podem, em certa medida, reproduzir o conteúdo original em seus resultados, levando a preocupações sobre a apropriação não autorizada. Esse é um terreno legal que está apenas começando a ser explorado, mas as bases estão lançadas.

Criadores e defensores dos direitos de propriedade intelectual devem estar cientes de que as implicações da nova política da rede social X são apenas a superfície de um problema maior. Por outro lado, advogados especializados em propriedade intelectual têm o dever de esclarecer esse caminho e proteger os direitos fundamentais dos indivíduos.

As plataformas online também enfrentam o desafio de encontrar soluções que atendam tanto aos interesses dos criadores de conteúdo quanto à privacidade e segurança dos usuários. À medida que a IA se torna cada vez mais presente em nossas vidas, a proteção adequada da propriedade intelectual se torna necessária. A rede social X lançou um alerta importante para uma questão urgente.

A comunidade global deve se unir para garantir que o avanço tecnológico não seja alcançado às custas dos direitos fundamentais dos indivíduos. É essencial que as redes sociais reavaliem suas políticas, garantindo que os direitos dos criadores sejam protegidos e respeitados. Simultaneamente, os usuários precisam estar cientes de seus direitos e das licenças que estão concedendo às plataformas.

Publicado em outubro 24, 2023novembro 10, 2023 por securitylgpd — Deixe um comentário

LGPD NO BRASIL: REAQUECIMENTO DO MERCADO DE PROTEÇÃO DE DADOS

O mercado de adequação à Lei Geral de Proteção de Dados no Brasil está atualmente em seu ponto mais baixo desde que a legislação entrou em vigor. Notavelmente, as empresas privadas se anteciparam na conformidade com a LGPD, prevendo um cenário de rigor extremo na aplicação de multas e outras sanções pela Autoridade Nacional de Proteção de Dados (ANPD). No entanto, esse rigor não se materializou imediatamente.

A LGPD foi aprovada em 2018 e entrou em vigor em setembro de 2020, mas a primeira punição só foi aplicada em julho deste ano. Isso se deve ao fato de que o regulamento da ANPD com as diretrizes para sanções foi divulgado apenas em fevereiro deste ano.

A primeira penalização foi aplicada a uma empresa de telemarketing, acusada de violar diversas disposições da LGPD. Embora as sanções iniciais tenham sido relativamente baixas, especialistas acreditam que as recentes ações da ANPD são fundamentais para um possível reaquecimento do setor, especialmente no âmbito público.

A retração nos investimentos em proteção de dados pessoais resultou em uma “juniorização” dos profissionais da área, menos investimentos em treinamento e, em alguns casos, a interrupção dos esforços de conformidade.

A percepção de risco diminuiu nos últimos anos em relação à proteção de dados e à LGPD. Com a ANPD começando a aplicar sanções e a fiscalização se intensificando, é provável que o mercado cresça novamente, especialmente no setor público.

Um fator impulsionador é o receio de responsabilização por improbidade administrativa no caso de irregularidades no setor público. Além disso, a tendência de “gestão de terceiros” está emergindo, com grandes empresas que cumpriram as normas da LGPD exigindo que seus fornecedores também estejam em conformidade, criando um efeito cascata.

A lista de investigações em andamento da ANPD inclui tanto empresas privadas quanto órgãos públicos, indicando que o setor público está se movimentando para cumprir a LGPD. O recente veredito do Supremo Tribunal Federal (STF) reforçou a importância da LGPD, afirmando que o compartilhamento de dados no setor público deve estar alinhado com os requisitos da legislação.

Além disso, a regulação digital está ganhando destaque, com a LGPD desempenhando um papel fundamental. Especialistas acreditam que a LGPD se tornará um dos pilares da regulação digital no Brasil, juntamente com outras iniciativas, como a Política Nacional de Cibersegurança e o projeto de lei de regulamentação de inteligência artificial.

Em resumo, embora o mercado de adequação à LGPD no Brasil tenha passado por uma desaceleração, a tendência é que ele se aqueça novamente, com o setor público desempenhando um papel cada vez mais importante na conformidade com a legislação. A LGPD está se consolidando como um dos principais pilares da regulação digital no país, à medida que as empresas reconhecem a importância da proteção de dados e da conformidade com as normas.

Publicado em outubro 10, 2023outubro 10, 2023 por securitylgpd — Deixe um comentário

CRESCIMENTO E ESPECIALIZAÇÃO: TENDÊNCIAS NA ADVOCACIA EMPRESARIAL BRASILEIRA

O panorama da advocacia empresarial no Brasil tem passado por transformações marcantes nos últimos anos. Entre 2021 e 2022, quase 40% dos escritórios especializados em Direito Empresarial expandiram suas áreas de atuação para atender ao crescimento do escopo, conforme apontam dados do conceituado Análise Advocacia 2022. A pesquisa, que ouviu mais de 1.000 líderes de departamentos jurídicos de empresas e representantes de escritórios de advocacia, oferece insights valiosos sobre as mudanças e desafios que estão moldando a prática do Direito Empresarial no país.

A LGPD, em vigor desde 2021, surge como um catalisador central das novas demandas das empresas para os profissionais de Direito. A proteção e privacidade de dados se tornaram prioridades para uma parcela substancial de diretores jurídicos entrevistados. Além disso, a governança corporativa e o papel do setor de compliance na garantia de boas práticas internas nas empresas têm adquirido destaque significativo, refletido nos comentários dos diretores jurídicos.

A diversificação das demandas abrange várias áreas em 2023, incluindo Direito Ambiental, Direito Regulatório, Direito Tributário, Direito do Trabalho, Direito Societário e ESG – Governança Ambiental, Social e Corporativa. A tendência de especialização crescente dos escritórios reflete uma abordagem mais alinhada a modelos internacionais, onde áreas altamente especializadas colaboram sinergicamente para oferecer soluções globais e integradas aos clientes.

Os escritórios pesquisados adotam diferentes abordagens, com alguns optando por especialização em uma área específica do Direito Empresarial, enquanto outros mantêm uma abordagem mais ampla, priorizando uma área, mas também atendendo a outros ramos jurídicos. Esta diversidade de atuação reflete uma adaptação dinâmica às necessidades do mercado.

Além da especialização, os escritórios enfrentam o desafio de incorporar tecnologia em sua prática. A inteligência artificial, por exemplo, tem o potencial de automatizar tarefas rotineiras, ao mesmo tempo que levanta questões legais novas sobre responsabilidade e ética. Essa dinâmica exige uma constante atualização e aprimoramento dos advogados empresariais para compreender o impacto das tecnologias no ambiente empresarial e nas leis que o regulamentam.

A proteção dos dados pessoais dos clientes, em conformidade com regulamentações como o Regulamento Geral sobre a Proteção de Dados da União Europeia, representa outro desafio importante. Apesar dessas complexidades, os escritórios brasileiros são amplamente reconhecidos e respeitados internacionalmente, evidenciando sua excelência na prestação de serviços em operações complexas.

Os profissionais do setor percebem que a expansão das áreas de atuação das bancas empresariais tem permitido uma concentração mais eficiente das demandas das empresas em um número menor de escritórios. Isso facilita a interação entre os jurídicos internos e os profissionais, possibilitando soluções mais alinhadas com as necessidades individuais de cada negócio.

O mercado brasileiro de advocacia empresarial está em constante amadurecimento, embora ainda em estágio inicial em comparação com mercados mais maduros. Este cenário reflete a necessidade de continuar avançando e se equiparando às melhores práticas internacionais, em busca de excelência e sofisticação na prestação de serviços jurídicos empresariais.

Publicado em setembro 12, 2023setembro 12, 2023 por securitylgpd — Deixe um comentário

IA EM ASCENSÃO: ENTRE AVANÇOS TECNOLÓGICOS E A BUSCA PELA ÉTICA EM 2023

2023 tem sido um marco para a Inteligência Artificial (IA). À medida que os gigantes tecnológicos competem para desenvolver ferramentas inovadoras, a sociedade civil e especialistas alertam sobre os cuidados necessários na utilização desta tecnologia emergente.

A ascensão de chatbots generativos, como o renomado ChatGPT da OpenAI, redefine o nosso relacionamento com a tecnologia. Com sua quarta versão lançada recentemente, tornou-se um instrumento não apenas para especialistas, mas também para o público em geral. A explosão de aplicativos de chatbot baseados em IA no primeiro trimestre de 2023, evidencia o impacto dessas ferramentas, diversificando as possibilidades para setores como comunicação e design.

Até mesmo o Google não ficou para trás e mergulhou nesta onda, explorando não apenas a geração de texto, mas também a criação de imagens. O poder da IA ficou indiscutivelmente claro quando vimos imagens geradas de personalidades icônicas como o Papa Francisco e a saudosa Elis Regina. No entanto, isso acendeu o sinal de alerta para os perigos da desinformação e os desafios éticos associados ao direito à imagem.

Os efeitos dessa revolução são palpáveis em todos os setores. Em Hollywood, a introdução da IA nas produções levantou questões sobre o futuro do trabalho humano na indústria. E no coração do Vale do Silício, líderes tecnológicos surpreenderam ao pedir uma pausa no avanço desta tecnologia até que padrões de segurança sejam estabelecidos.

Neste cenário, quatro pilares se destacam para uma aplicação responsável da IA:

Ética e Moralidade: A IA deve ser usada para o bem comum, evitando preconceitos e discriminações.
Proteção de Dados: A privacidade do usuário deve ser a prioridade máxima.
Aplicação Consultiva: A IA deve ser uma ferramenta, não um substituto para habilidades humanas.
Responsabilidade dos Criadores: Aqueles que desenvolvem e distribuem modelos de IA devem ser responsáveis por suas aplicações.

No front regulatório, a Europa já avança com seu AI Act. No Brasil, o PL nº 2338/2023, fruto de um esforço conjunto da Comissão de Juristas, tenta moldar o caminho para uma era de IA mais segura e ética.

À medida que a IA se torna parte integrante de nossas vidas, o equilíbrio entre inovação e responsabilidade se torna vital. O desafio agora é como moldar esta tecnologia em benefício de todos, garantindo um futuro em que a IA atue como aliada, e não adversária, da humanidade.

Publicado em setembro 6, 2023setembro 6, 2023 por securitylgpd — Deixe um comentário

CRESCENTE CONSCIENTIZAÇÃO: AUMENTO SIGNIFICATIVO EM COMUNICAÇÕES DE INCIDENTES DE SEGURANÇA DE DADOS

A Autoridade Nacional de Proteção de Dados (ANPD) recentemente divulgou seu primeiro Relatório do Ciclo de Monitoramento, apresentando um aumento notável nas comunicações recebidas. Um total de 473 notificações apontou possíveis falhas de segurança em sistemas de informação que poderiam resultar em violações do sigilo de dados pessoais. Essas notificações se dividiram em 186 casos em 2021 e 287 em 2022, indicando um crescimento significativo de um ano para outro.

De acordo com a legislação pertinente, empresas, órgãos públicos e entidades têm a obrigação de comunicar à ANPD e aos titulares de informações qualquer possível incidente de segurança que possa representar riscos ou danos relevantes aos cidadãos. Isso explicaria o aumento nas comunicações.

Os incidentes de sequestro de dados, conhecidos como ransomware, foram o tipo predominante de incidentes relatados, afetando principalmente setores como administração pública, saúde, educação, financeiro e tecnologia da informação.

Segundo um especialista em Direito Digital e Proteção de Dados, o aumento nas comunicações reflete uma maior conscientização sobre a importância da segurança da informação. Ele sugere que empresas e entidades estão se tornando mais proativas na identificação e comunicação de possíveis violações, em conformidade com as leis aplicáveis.

No entanto, o especialista também levanta a possibilidade de um aumento real nos incidentes de segurança, o que requer uma análise mais detalhada para entender suas origens. Isso pode indicar que os sistemas de informação enfrentam ameaças cibernéticas crescentes, destacando a necessidade de investir em medidas sólidas de segurança cibernética para proteger os dados pessoais.

Para evitar violações e minimizar a necessidade de comunicar incidentes, as organizações devem adotar medidas proativas, como investir em soluções de segurança cibernética, realizar avaliações regulares de vulnerabilidade, fornecer treinamento de conscientização para os funcionários e implementar políticas claras de acesso a dados. Além disso, é fundamental manter sistemas e software atualizados e educar continuamente os funcionários sobre boas práticas de segurança e a importância do manuseio adequado de dados pessoais. A atualização regular de software também é crucial para corrigir vulnerabilidades conhecidas.

Publicado em setembro 5, 2023setembro 5, 2023 por securitylgpd — Deixe um comentário

DESAFIOS E CAMINHOS DA SEGURANÇA CIBERNÉTICA: CISOS E O COMBATE ÀS VIOLACÕES DE DADOS E AMEAÇAS INTERNAS

No Universo da Segurança Cibernética: Desafios e Soluções para CISOs” À medida que a cibersegurança se torna uma batalha cada vez mais complexa, os Chief Information Security Officers (CISOs) enfrentam um cenário repleto de riscos iminentes, desde ameaças internas até temíveis ataques de ransomware. Paralelamente, eles lideram iniciativas em prol da segurança da infraestrutura, adotam estratégias de prevenção de ataques e aplicam práticas avançadas, como a arquitetura de rede de zero trust.

A pressão sobre os CISOs é evidente, pois 88% deles relatam altos níveis de estresse, com metade enfrentando problemas de saúde mental e um terço lidando com questões físicas relacionadas ao trabalho. A batalha contra ciberataques e violações de dados é incessante, e os impactos podem ser devastadores.

Violações de dados podem adquirir diferentes formas, seja em termos do número de usuários afetados, das consequências financeiras ou da natureza delicada das informações expostas. Não surpreende, portanto, que a liderança de segurança da informação esteja sob pressão. A lista das 10 maiores violações de dados reflete a diversidade e gravidade das ameaças, reforçando a necessidade de vigilância constante.

Um exemplo marcante é a violação de dados do Yahoo em 2013, afetando três bilhões de contas de usuários. O incidente prejudicou a aquisição iminente da Verizon e ilustrou o desafio de manter a confiança dos clientes após violações de dados. Também merece destaque a violação de dados da Aadhaar em 2018, que abalou a confiança na maior base de identificação do mundo, expondo a fragilidade de sistemas aparentemente robustos.

A complexidade do cenário é visível na sequência de violações, incluindo marcas como LinkedIn, Facebook e Equifax. A violação da Capital One em 2019, causada por acesso privilegiado inadequado, evidenciou a importância da implementação correta da abordagem Zero Trust.

As melhores práticas para CISOs abrangem uma série de frentes. A prevenção de ataques cibernéticos deve ser central em todas as estratégias, com a rede Zero Trust atuando como aliada na limitação de ameaças internas e externas. A proteção contra malware empresarial é essencial, e a seleção criteriosa de fornecedores é fundamental.

Os desafios podem ser superados. A eliminação de pontos cegos do Zero Trust, causados pela criptografia SSL/TLS, é uma necessidade. A inspeção de tráfego criptografado e o investimento em soluções de segurança cibernética avançada são passos vitais para manter os dados protegidos.

Embora a jornada de um CISO seja árdua, com a adoção de estratégias adequadas e o uso das ferramentas certas, eles podem fortalecer a resistência de suas organizações contra ameaças cibernéticas. O caminho para proteger dados sensíveis e evitar violações é repleto de desafios, mas a expertise e o compromisso dos CISOs têm o potencial de transformar esse cenário.

Publicado em setembro 5, 2023setembro 5, 2023 por securitylgpd — Deixe um comentário

PRIVACIDADE DIGITAL: ESTRATÉGIAS EMPRESARIAIS PARA ENFRENTAR DESAFIOS DE SEGURANÇA CIBERNÉTICA

O crescente aumento global de vazamentos e violações de dados tem acendido um alerta em relação à proteção e privacidade dos usuários nas redes. Esse cenário é agravado por vazamentos expressivos que envolvem grandes corporações globais, levando governos a tomar medidas para fortalecer a proteção de dados pessoais. A União Europeia estabeleceu um marco pioneiro com a Lei Geral de Proteção de Dados (GDPR) em maio de 2018, influenciando a adoção global de legislações similares.

No ambiente corporativo, a segurança cibernética se tornou vital, visto que a perda da confiança dos usuários pode causar danos financeiros e de reputação, impactando os negócios. Assim, a conscientização sobre a importância da privacidade dos dados e a implantação de medidas de segurança se tornaram prioridades para estabelecer relações de confiança.

No contexto brasileiro, a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em 2020 marcou um avanço significativo. Ela estabeleceu princípios como o consentimento explícito para a coleta de dados e a responsabilidade das empresas em proteger informações sensíveis.

Particularmente no Brasil, houve um aumento expressivo nos vazamentos de dados, conforme estudo do Massachusetts Institute of Technology (MIT) indicou um aumento de 493% entre 2018 e 2019. Isso ressalta a relevância da LGPD e a urgência das empresas em se adaptarem às normas. Grandes varejistas brasileiros enfrentaram penalidades por não cumprir a LGPD, destacando a importância da conformidade.

Empresas estão impelidas a fazer mais do que a legislação exige para garantir a confiança dos clientes e parceiros. A revisão minuciosa de políticas de privacidade, adoção de medidas técnicas e organizacionais, nomeação de um encarregado de proteção de dados (DPO) e treinamentos para funcionários são passos fundamentais. Manter registros precisos das atividades de tratamento de dados e consentimentos demonstra conformidade e facilita respostas a demandas legais.

Tais ações não só atendem obrigações legais, mas também reforçam a proteção da privacidade dos usuários e reduzem riscos financeiros, preservando a reputação e a competitividade das empresas. Isso mostra que o comprometimento com a segurança de dados é uma estratégia inteligente em um mundo cada vez mais conectado e preocupado com a privacidade.

Publicado em agosto 30, 2023agosto 30, 2023 por securitylgpd — Deixe um comentário

DO FÍSICO AO DIGITAL: A JORNADA DOS DOCUMENTOS EMPRESARIAIS NA ERA DA LGPD

A gestão adequada dos documentos empresariais em formato físico tem se tornado uma questão de relevância crescente. Muitas empresas se questionam sobre o destino desses papéis após a realização da digitalização e arquivamento eletrônico. É válido esclarecer que, sim, é possível descartar os papéis físicos após o processo de digitalização, desde que isso seja realizado em conformidade com as diretrizes legais e regulamentares. Os arquivos digitais possuem igual validade legal, desde que cumpridas as condições estabelecidas pela legislação pertinente.

No contexto da Lei Geral de Proteção de Dados (LGPD), a eliminação adequada dos dados pessoais é um ponto essencial. A LGPD estipula que os dados pessoais devem ser eliminados após a finalização de seu tratamento, salvo nos casos em que a retenção seja necessária para cumprir obrigações legais ou regulatórias, para fins de pesquisa por órgãos competentes, para transferência a terceiros ou para uso exclusivo do controlador, sempre com atenção à anonimização sempre que possível.

A evolução tecnológica tem possibilitado que informações sejam processadas integralmente em meio digital, reduzindo a dependência de documentos físicos. Apesar disso, ainda é comum a presença significativa de registros em papel nas organizações.

No entanto, é preciso entender que a transição para o formato digital não compromete a validade legal dos documentos. A equivalência legal é alcançada desde que se sigam os requisitos estabelecidos no Decreto nº 10.278 de 2020, bem como outras normativas pertinentes.

Conforme definido pelo referido decreto, a digitalização de documentos físicos deve ser realizada com tecnologias que garantam a integridade e confiabilidade dos documentos, mantendo padrões técnicos que assegurem a qualidade da imagem, legibilidade e usabilidade. A confidencialidade deve ser observada quando cabível, assim como a transparência entre sistemas informatizados.

No âmbito da administração pública, documentos digitalizados possuem a mesma validade que seus equivalentes físicos quando assinados com certificação digital padrão da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), obedecendo a requisitos específicos de formato e resolução.

É importante ressaltar que a validade dos documentos digitais também depende da inclusão de metadados essenciais, que oferecem informações estruturadas para classificação, descrição e gerenciamento dos documentos.

Após cumprir as exigências estabelecidas pelo Decreto, a eliminação adequada dos documentos físicos é possível, exceto quando possuem valor histórico. A lei 12.682 de 2012 também respalda essa prática ao estabelecer que documentos digitalizados podem substituir os originais, os quais podem ser destruídos, salvo os de valor histórico.

Entretanto, é necessário observar exceções, como documentos referentes a operações financeiras, identificação e porte obrigatório, que devem ser mantidos em suporte físico durante os prazos de prescrição e decadência.

O descarte dos papéis deve ser feito de maneira que inviabilize a recuperação das informações, o que pode envolver a fragmentação dos papéis ou a contratação de empresas especializadas para reciclagem.

Empresas devem desenvolver procedimentos que garantam a avaliação, seleção e descarte de documentos conforme a legislação vigente e suas políticas internas, evitando a retenção inadequada de informações após os prazos determinados, o que poderia resultar em infrações às normas de proteção de dados.

Em suma, a gestão eficiente de documentos físicos após sua digitalização é uma prática fundamental que, quando bem conduzida, não apenas otimiza o espaço e reduz custos, mas também assegura a conformidade legal e a proteção adequada dos dados pessoais.

Publicado em agosto 29, 2023agosto 29, 2023 por securitylgpd — Deixe um comentário

EQUILIBRANDO TRANSPARÊNCIA E PRIVACIDADE: ESTRATÉGIAS PARA O TRATAMENTO DE DADOS PESSOAIS EM DOCUMENTOS GOVERNAMENTAIS

É importante ressaltar que o dilema em questão é, na verdade, uma falsa dicotomia. A proteção dos dados pessoais e a transparência proativa são ambos direitos fundamentais consagrados na Constituição. A transparência proativa é uma ferramenta crucial para assegurar o direito fundamental de acesso à informação relacionada à gestão pública. De maneira similar, a proteção dos dados pessoais foi oficialmente reconhecida como um direito fundamental pela Emenda Constitucional n° 115, que a incorporou ao mesmo artigo 5º. Não existe uma hierarquia entre os direitos fundamentais, mas sim uma busca por harmonizá-los sempre que possível, mesmo em situações de aparente conflito. Portanto, a Lei de Acesso à Informação (LAI) desempenha o papel de promover a transparência e o acesso à informação para os cidadãos, enquanto a Lei Geral de Proteção de Dados (LGPD) estabelece regras e restrições para o uso de dados pessoais.

A transparência proativa tem como principal objetivo possibilitar o controle social e a supervisão das ações do setor público, sendo essencial para a prática democrática e para assegurar a prestação de contas das atividades governamentais. Assim, quando a transparência proativa implica na divulgação de dados pessoais, o interesse público nessa divulgação se restringiria à identificação dos agentes, sejam eles públicos ou privados, envolvidos nos atos administrativos, como contratos e notas de empenho. Essa identificação pode ser viabilizada por meio do nome completo e do CPF, ou alternativamente, pelo número de matrícula nos casos que envolvam agentes públicos. O CPF, inclusive, já é considerado um documento suficiente para identificar cidadãos em bancos de dados de serviços públicos, de acordo com a Lei nº 14.534/2023.

No contexto da transparência proativa, é possível que, além do nome e do CPF, outros dados pessoais sejam disponibilizados. Por exemplo, em contratos administrativos, os dados pessoais dos responsáveis legais podem incluir informações como data de nascimento, endereço, e-mail, telefone e assinatura. Similarmente, notas de empenho podem conter mais informações sobre a pessoa física beneficiária de pagamentos do setor público.

No entanto, a coleta organizada desses dados pessoais pode ser explorada por indivíduos mal-intencionados para atividades ilícitas, como roubo de identidade, abertura fraudulenta de contas bancárias, subscrição de serviços e até mesmo a realização de transações civis, como aluguel de propriedades ou compra de bens. Detentores desses dados podem falsificar documentos e fazer-se passar pelas pessoas cujas informações foram expostas.

Além disso, é importante considerar que algoritmos de web scraping são capazes de extrair informações de diversos documentos para construir bancos de dados, permitindo o perfilamento de servidores públicos com base em sua renda mensal, conforme apresentado nos portais de transparência. Isso pode levar a empresas com intenções duvidosas direcionando produtos e anúncios específicos, o que constitui uma violação dos princípios da LGPD.

Portanto, esses dados não são essenciais para a transparência proativa, uma vez que extrapolam sua finalidade e sua divulgação acarreta riscos aos titulares. No que diz respeito à identificação dos responsáveis por atos administrativos, acredita-se que somente o nome e o CPF são suficientes.

Contudo, quanto ao CPF, também é possível argumentar que a divulgação do número completo dos envolvidos em atos administrativos não é necessária, dado que esse é um dado altamente sensível e único para cada indivíduo. Nos Estados Unidos, o SSN (Número de Seguro Social) possui funções semelhantes ao CPF e é amplamente recomendado que esse número seja mantido confidencial, devido ao risco de fraude.

Em contratos administrativos, portanto, apenas a informação de identificação do representante legal, com nome completo e CPF mascarado (ou número de matrícula em casos de servidores públicos), seria suficiente para atender à transparência proativa, protegendo a privacidade dos envolvidos e prevenindo fraudes.

No entanto, há situações em que os dados pessoais não estão estruturados em bancos de dados, como contratos administrativos digitalizados, e estão disponíveis no documento. Se o documento for digitalizado com reconhecimento óptico de caracteres, os dados pessoais podem ser extraídos, inclusive de forma automatizada.

Nesses casos, ferramentas de “marcação para redação” podem ser empregadas para cobrir os dados pessoais que não são necessários. Isso, no entanto, muitas vezes requer intervenção manual, o que pode ser desafiador para órgãos com recursos limitados. Além disso, o mascaramento do CPF pode exigir softwares específicos.

Por conseguinte, o encarregado pelo tratamento de dados pessoais deve orientar as áreas responsáveis.

Publicado em agosto 11, 2023agosto 11, 2023 por securitylgpd — Deixe um comentário

ATACADISTA É RESPONSABILIZADO LEGALMENTE POR FALHAS DE SEGURANÇA EM CASO DE ATAQUE HACKER

O atributo alt desta imagem está vazio. O nome do arquivo é image.png

A 2ª Turma Recursal do Poder Judiciário de Santa Catarina manteve uma decisão que responsabiliza duas empresas por um ataque hacker devido à falta de cuidados na contratação de um firewall para proteção do ambiente de rede. A invasão resultou em um prejuízo de R$ 3,9 mil, levando à sentença do Juizado Especial Cível de São Miguel do Oeste que determinou que cada empresa pagasse metade do prejuízo.

No caso, uma empresa do setor atacadista e varejista firmou um contrato com uma empresa que administra máquinas de pagamento por cartão de crédito. A invasão ao sistema ocorreu em janeiro de 2022, quando funcionários da empresa de atacado enfrentaram dificuldades para acessar a conta. A invasão resultou na transferência de R$ 3,9 mil para um indivíduo não autorizado.

O atacadista moveu uma ação de danos materiais contra a empresa de cartão de crédito, buscando a devolução dos fundos indevidamente transferidos. A empresa de cartão alegou culpa de terceiros e a inaplicabilidade do Código de Defesa do Consumidor.

A responsabilização das empresas baseou-se na falha concorrente, onde a empresa de cartão foi condenada a pagar R$ 1.950 ao atacadista. A operadora da máquina de cartão recorreu à Turma Recursal, mas teve seu pedido negado. A decisão destacou que a empresa atacadista foi negligente ao não contratar um firewall de proteção para a rede e ao não verificar as tentativas de acesso ao sistema. Além disso, a empresa de cartão contribuiu para o incidente devido à segurança insuficiente do sistema, incluindo senhas fracas e falta de monitoramento de IPs.

Nesse contexto, é importante ressaltar a relevância das práticas de segurança da informação, como o uso de senhas fortes, para proteger dados pessoais e informações sensíveis. A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), estabelece diretrizes para a segurança e proteção de dados, e empresas que negligenciam essas práticas podem enfrentar sanções administrativas e multas.

A Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD®) também destaca a importância do entendimento e discussão sobre a privacidade de dados, buscando melhorias na lei e promovendo o papel dos agentes de privacidade de dados. A adoção de medidas rigorosas de segurança da informação não apenas evita prejuízos financeiros, mas também auxilia as empresas a estarem em conformidade com a LGPD, protegendo os direitos dos titulares de dados e mantendo a confiança dos clientes.

(Fonte: Baseado em informações do TJ/SC)

Publicado em junho 29, 2023julho 4, 2023 por securitylgpd — Deixe um comentário

REGULAMENTAÇÕES GLOBAIS DE PROTEÇÃO DE DADOS: CONHEÇA SEUS DIREITOS

Após várias discussões e adiamentos, a Lei Geral de Proteção de Dados (LGPD) do Brasil, Lei Federal nº 13.709/2018, entrou em vigor em 18 de setembro de 2020. A LGPD é a primeira regulamentação abrangente de proteção de dados do Brasil e está amplamente alinhada com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).

Embora a lei esteja em vigor desde 2020, as penalidades estabelecidas pela LGPD só se tornaram aplicáveis em 1º de agosto de 2021. No entanto, autoridades públicas (como órgãos de proteção ao consumidor e promotores públicos) e titulares de dados puderam exercer seus direitos de acordo com a LGPD a partir de 18 de setembro de 2020.

Antes da promulgação da LGPD, as regulamentações de privacidade de dados no Brasil consistiam em várias disposições dispersas na legislação brasileira. Por exemplo, a Lei Federal nº 12.965/2014 e seu Decreto regulamentador nº 8.771/16 (juntos, o Marco Civil da Internet Brasileira) impunham requisitos relacionados à segurança e ao processamento de dados pessoais, além de outras obrigações aos provedores de serviços, redes e aplicativos, e conferiam direitos aos usuários da Internet.

As seguintes leis também contêm disposições gerais e princípios aplicáveis à proteção de dados:

A Constituição Federal; O Código Civil Brasileiro; e Leis e regulamentos que abordam: Certos tipos de relacionamentos (por exemplo, Código de Defesa do Consumidor e leis trabalhistas); Setores regulamentados (por exemplo, instituições financeiras, indústria da saúde ou telecomunicações); e Atividades profissionais específicas (por exemplo, medicina e direito). Além disso, existem leis que regulamentam o processamento e a salvaguarda de documentos e informações manipulados por entidades governamentais e órgãos públicos.

A LGPD se aplica a qualquer operação de processamento realizada por pessoa física ou jurídica (de direito público ou privado), independentemente de (1) os meios utilizados para o processamento, (2) o país onde está localizada sua sede ou (3) o país onde os dados estão localizados, desde que:

A operação de processamento seja realizada no Brasil; O objetivo da atividade de processamento seja oferecer ou fornecer bens ou serviços, ou o processamento de dados de indivíduos localizados no Brasil; ou Os dados pessoais tenham sido coletados no Brasil. Por outro lado, a lei não se aplica ao processamento de dados pessoais que seja:

Realizado por pessoa física exclusivamente para fins privados e não econômicos;

Realizado para fins jornalísticos, artísticos ou acadêmicos;

Realizado para fins de segurança pública, segurança nacional e defesa ou atividades de investigação e persecução de crimes (que serão objeto de uma lei específica);

Originado fora do território brasileiro e não seja objeto de comunicação;

ou Compartilhamento de dados com agentes de processamento brasileiros ou objeto de transferência internacional de dados

Além disso, em 20 de outubro de 2021, o Senado brasileiro aprovou por unanimidade a Proposta de Emenda à Constituição (PEC) nº 17/2019, que inclui na Constituição Federal a proteção de dados pessoais, inclusive em meios digitais, como um direito fundamental, e atribui à União (governo federal) a responsabilidade de legislar sobre esse assunto. Desde 10 de fevereiro de 2022, a proteção de dados está agora abrangida pela Constituição Federal como um direito fundamental.