ARTIGO TÉCNICO
ANPPD/MG: O Panorama da Privacidade de Dados em Minas Gerais Resumo: O artigo discorre sobre a cultura de proteção de dados como novo conceito ético, comportamento das empresas em Minas Gerais e oportunidade frente a Lei Proteção de Dados Pessoais. Compilação das discussões realizadas no 1º Encontro Virtual do Profissionais de Privacidade de Dados de Minas Gerais – #EVPPD/MG2020.
#LGPDConnect2020 => Ingresso AQUI
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
1
Índice ..................................... 7 ................................................ 13 ...................................................................................................................... 15 ............................ 18 .................................................................................... 20 ............................................................................................................ 23 .................................................................................. 27
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
2
Com uma área de unidade territorial de 586.521,123 km², o estado de Minas Gerais conta hoje com uma população estimada de 21.168.791 pessoas, uma densidade demográfica de 33,41 hab/km² e 11.191.341 veículos transitando. Na área de educação, cerca de 2.511.483 matrículas no ensino fundamental e 821.349 no ensino médio. Um total de 756.097 pessoas na Administração pública, defesa e seguridade social.
O estado de Minas Gerais foi divido geograficamente pelo IBGE em 12 mesorregiões, que por sua vez abrangiam 66 microrregiões, sendo: Noroeste de Minas, Norte de Minas, Jequitinhonha, Vale do Mucuri, Triângulo Mineiro e Alto Paranaíba, Central Mineira, Metropolitana de Belo Horizonte, Vale do Rio Doce, Oeste de Minas, Sul e Sudoeste de Minas, Campo das Vertentes e Zona da Mata.
Percebe-se desta maneira uma vastidão bastante heterogênea de cultura, clima e toda uma demografia particular de cada região deste grandioso Estado que é Minas Gerais. Valendose de riquezas minerais, agrárias, mas também tecnológica e de uma diversidade empresarial bastante atrativa nos quesitos de inovação e produtividade.
Minas Gerais traz consigo toda esta diversidade social, cultural e econômica, em que os desafios perante as tecnologias da informação, as integralizações de sistemas e aplicações de negócio, que circundam inúmeros e diferentes tipos de dados e informações, fazem com que cada região deste Estado possua realmente suas peculiaridades e particularidades para todo segmento de mercado.
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
3
Nesta tônica que estamos passando perante as aprovações de nossa Lei Geral de Proteção de Dados Pessoais aqui no Brasil, podemos caracterizar cada uma destas regiões do Estado de Minas Gerais para algumas reflexões interessantes:
Noroeste de Minas: Cerrado, foco da LGPD fazendas. o Menos computadores, mais operadores o Desafios: inovação tecnológica
Norte de Minas: Mais árido. Pode se tornar deserto em 20 anos (ministério Meio Ambiente). Êxodo. o Trabalhos mais operacionais e temporários o Desafio: conscientização contínua sobre LGPD
Jequitinhonha, Vale do Mucuri e Vale do Rio Doce: Mineradoras, exploradoras, exportadoras. o LGPD com Gestão de crises o Desafios: integração com transferências internacionais importadoras dos minérios.
Triângulo Mineiro e Alto Paranaíba: Polo universitário e pecuária. o LGPD com gestão de conscientização em massa – Educação o Desafios: Inserir o tema LGPD nas empresas focando na importância da privacidade dos dados.
Central Mineira e Metropolitana de Belo Horizonte: Polo empresarial, aglomeração, capital, pequenas e médias empresas. o LGPD e a importância da priorização; o Desafios: dar atenção a Privacidade mediante a outros assuntos: econômicos, sociais, etc.
Oeste de Minas: Meio ambiente, aquífero. usinas. o LGPD e gestão de crises ambientais. Green IT e LGPD. Impacto da falta de privacidade no meio ambiente. o Desafios: investir em novas tecnologias e estudos que tratam o impacto ambiental no ambiente.
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
4
Sul e Sudoeste de Minas, Campos Verdejantes e Zona da Mata: Região montanhosa, de veraneio, preservada Serra Mantiqueira. o LGPD e direitos dos usuários. impacto nas empresas de TELECOM (Wireless) o Desafios: investir nos direitos dos titulares a curto prazo e cuidar para o compartilhamento seguro dos dados. Sem dúvida o desafio principal é comum a todas regiões e, claro, a todos estados do
Brasil, não somente em Minas Gerais, que é conseguirmos oficializar nossa Lei Geral de Proteção de Dados Pessoais. Assim consolidando a LGPD como uma lei que faça de fato a diferença para o cidadão, brasileiro bem como para as empresas, que não devem encará-la como uma lei punitiva, mas sim de geração de novas oportunidades, inovação, novas negociações nacionais e internacionais, com um comércio mais saudável em suas prestações de serviços ,entregas de produtos, trazendo assim uma verdadeira segurança e proteção de tudo aquilo que venha circular como informação de negócio, seja no varejo, seja no atacado, seja no comercio ou na indústria, seja também no Terceiro setor.
Evidente sim que temos particularidades bem singulares de cada região que não devem ser descartados ou subestimados. Não é à toa que existem as chamadas análises de mercado, as avaliações de viabilidade operacional, técnicas e, claro, financeiras. Todo um estudo de potencialidades mercadológicas que são e devem de fato ser exploradas diante de qualquer tipo de investimento definitivo, não atacando em meio a “mar aberto”. Se a famosa frase “informação é a alma do negócio”, tem sua nuance verdadeira, nós, enquanto profissionais das áreas de segurança da informação, proteção e governança da privacidade de dados, guardiões da LGPD, devemos também fazer nossas análises. Tanto no cenário AS IS quanto TO BE, porque de nada vai adiantar muito aplicarmos por exemplo, Análises de Impactos de Proteção de Dados, as AIPDs da vida, sem antes conhecer o terreno em que estamos pisando. Que tipo de ambiente, de mercado e expectativas cada segmento de negócio traz consigo em seus diferentes ecossistemas. Não é simplesmente aplicar a modinha do “mudar o mindset” e depois voltar a cometer os mesmos erros básicos e elementares. Percebemos cada vez mais, que não importa se é público ou privado, se é grande ou pequeno, se de fato o processo de educação digital, com plena conscientização daquilo que se manipula, descarta, modifica e compartilha como dados, não for levado como um processo
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
5
gradativo de formação. Não é apenas querer saber o “como fazer”, se antes não se sabe “o que fazer” e “por que fazer”. Dar realmente um verdadeiro sentido de propósito e utilidade. Não é uma questão de neuroses e paranoias. Mas sim uma questão de valor agregado na entrega dos serviços e produtos desenvolvidos que vão para o mercado. É uma questão sim de by Design e by Default. Na ocorrência de vazamentos de dados, num estado de calamidade por perdas críticas de informações que foram escancaradas ao concorrente, a imagem colocada à prova, a perda de credibilidade, dentre outras situações. Até que ponto vale ser reativo? Até que ponto vale pagar pra ver? O preço consequente pode ser alto e às vezes irreversível. Neste contexto, vamos abordar aqui todo esse panorama da privacidade e proteção de dados em Minas Gerais, trazendo uma visão holística, com diferentes profissionais de áreas e regiões distintas, fomentando assim conhecimentos que agregarão muita qualidade nas discussões frente aos inúmeros desafios que temos a enfrentar nesta nossa querida Minas Gerais afora.
Dr. Davis Alves, DPO Presidente ANPPD Brasil
Ms, Mário Peixoto, DPO Representante ANPPD de MG
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
6
Por Alexsander Carvalho1
“A filosofia não faz perguntas para encontrar respostas. Ela as faz para questionar as respostas estabelecidas.” — Darío Sztajnszrajber
Inúmeros são os desafios em busca de uma efetiva implementação da proteção de dados em nosso país, e talvez encontraremos o principal deles na forma de se promover a cultura de proteção de dados. É comum ver referir-se à nova Lei Geral de Proteção de Dados Pessoais - LGPD (Lei n∘ 13.709/2018), como “a Lei dos R$ 50.000.000”. Algo que de todo o certo é fruto de uma interpretação equivocada quanto ao seu principal fundamento, princípios e objetivos. Bruno Bioni2, afirma que “deveria ser o contrário, empresas e órgãos públicos precisam enxergar na nova regulação uma janela de oportunidade, refletindo sobre o quanto poderão ganhar e se tornarem mais eficientes ao se adequarem à nova lei”. E como fruto desta estigmatização, “pesquisa da Serasa Experian revela que 85% das empresas brasileiras afirmaram que ainda não estão preparadas para garantir os direitos e deveres em relação ao tratamento de dados pessoais exigidos pela LGPD” 3. Assim sendo, observa-se em um panorama geral em que muitas das empresas na capital estão mais engajadas na busca pela conformidade com a LGPD. Também observa-se na capital, o surgimento de startups especializadas no assunto, e um número expressivo de Advogado especialista em Direito Digital e Proteção de Dados, presidente da Comissão de Tecnologia e Segurança da Informação da OAB-MG, 2a Subseção, pesquisador em Direito e Tecnologia do ITS Rio, membro do Comitê Público da ANPPD®.Técnico em Informática pela UNA/FIT - Faculdade Infórium de Tecnologia. Currículo Lattes: http://lattes.cnpq.br/2690208691857885.Email: alexsander.carvalho@itsrio.org. 1
BIONI, Bruno R. “Regulação de dados é uma janela de oportunidade”. Disponível em: https://brunobioni.com.br/blog/2019/03/29/regulacao-de-dados-e-uma-janela-de-oportunida de/ Acessado em 8 de junho de 2020. 2
3
“85% das empresas declaram que não estão prontas para atender às exigências da LGPD”. Disponível em: https://www.ecommercebrasil.com.br/noticias/empresas-declaram-nao-prontas-para-lgpd/ Acessado em 8 de junho de 2020. ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
7
escritórios de advocacia trabalhando com o compliance digital. Bem como, em Belo Horizonte encontramos a Comissão de Proteção de Dados da OAB/MG. Porém, na contramão deste cenário, no interior mineiro não se observa o mesmo interesse. São raras as empresas que buscam estar em conformidade, mesmo que o assunto estivesse em alta antes da pandemia. Ainda pensando no cenário atual, temos cidades como Uberlândia e Governador Valadares, que estão indo melhor em seus processos de conformidade, enquanto em outras cidades como Conselheiro Lafaiete e Poços de caldas nem se fala no assunto. No interior ainda se evidencia termos um problema sério de amadurecimento cultural, onde o empreendedor ainda tem aquela visão do advogado como personagem exclusivo da “hora do aperto”, o advogado contencioso. Ainda não faz parte do cotidiano de uma cidade do interior a assessoria e consultoria, que, na maioria das vezes é vista como “custo extra” e não uma forma de “evitar custos”, e isso dificulta muito o trabalho de conformidade. Dentro do que a ética profissional me permite comentar, citaria que, já fui procurado por uma empresa de maior porte a fim de se inteirar do assunto, fizemos uma reunião inicial ainda sem fechar um contrato - então me pediram a realização de uma palestra direcionada à gerência, porém, ao se ter apresentando os valores simplesmente desistiram sem muitas explicações.
Até então pensava que o problema era com a empresa, mas mantendo contato pelo WhatsApp com o setor de TI, notei que compartilhava notícias com estes que sempre tinham por resposta “Dr. estamos perplexos, a cada coisa nova que você envia surgem novas dúvidas e o medo só aumenta”.
Motivo pelo qual comecei a pensar no efeito psicológico do nosso marketing a respeito da LGPD, que a priori deveria ser informativo e didático. Então, refletindo sobre a minha própria estratégia para se alcançar este empreendedor, e em seguida observando artigos e matérias atualmente compartilhados na internet, conclui que esta estratégia estaria sendo adotada de forma errada.
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
8
Explico... São duas as importantes reflexões que apresento para se entender o que digo: a primeira, com base em uma reflexão citada por Dr. Alexandre Atheniense no dizer que “o empreendedor só busca a tecnologia por dois fatores, pela dor, ou pela inovação” 4. Assim sendo, digo, a maioria que busca, ou já buscou, pela conformidade com a LGPD, a busca pela dor e não pela inovação. Quando digo que estes buscam pela conformidade face à dor, tem a ver que o foco principal foi tão somente se evitar a tão temida multa de R$ 50.000.000 e não em se criar uma efetiva cultura de proteção de dados. Assim sendo, quando nos encontramos sob ameaça, temos duas opções: a) aceita a ameaça e lida com o problema; b) se esquiva da ameaça. E assim ocorre, quando o empreendedor se encontra defronte à ameaça de uma multa eminente, e de importe expressivo, ou ele aceita a ameaça e se coloca em conformidade a fim de evitá-la. Temos aqui a busca pela conformidade impulsionada pela dor, estando em conformidade com foco unicamente em se evitar o alto custo da multa, e não como fomento a uma cultura de proteção de dados. À luz desta reflexão, alcançamos um nível de conformidade apenas em decorrência a uma obrigação legal. Já na segunda alternativa, surgem várias desculpas e pretextos para se esquivar do problema, mantendo a sociedade em risco com a sua ilegalidade no tratamento de dados. O foco, e objetivo principal dessas duas alternativas é tão somente evitar a dor. Não se pode falar em inovação nestes dois casos, visto que seria conflitante, pois o próprio conceito de inovação é a modificação justamente destes antigos costumes. Já a segunda reflexão que apresento, vem do filósofo iluminista Immanuel Kant, quando discorre sobre seu conceito sobre o imperativo categórico e a distinção entre moral e dever.
4
ATHENIENSE, Alexandre. "Os Riscos Legais & Digitais do Home Office para o seu negócio".
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
9
Kant afirma que “uma boa ação não é boa graças aos seus efeitos emocionais", ou simplesmente, nem toda boa intenção é necessariamente boa. Um dos exemplos hipotéticos para se explicar tal máxima da sua filosofia moral encontrados nos cursos da Harvard University, temos as figuras de uma comerciante e a garotinha. A garotinha entra em uma loja para comprar condimentos, portando valor acima do suficiente para cobrir a despesa. E ao finalizar sua compra, a vendedora nota que deveria lhe voltar o troco, mas a garotinha simplesmente dá as costas e se retira. Surgindo o seguinte dilema moral na tomada de decisão: a) a vendedora mantém-se silente, fingindo estar tudo certo e embolsa o dinheiro excedente da garotinha, que em sua inocência deixou passar despercebido. b) a vendedora, preocupada com sua “reputação” na vizinhança, chama a garotinha de volta e a avisa do troco que deixou passar, entregando-a a quantia que lhe pertence. Por mais incrível que pareça, apesar de estar aparentemente correta, a segunda opção está moralmente errada. Explico... A partir do momento que a vendedora descobre o erro e resolve devolver o dinheiro ela estava moralmente correta. Porém, sua intenção é maculada devido a um terceiro elemento, o interesse pessoal. Ela não quer entregar o dinheiro da garotinha unicamente pelo seu dever moral, a sua intenção está contaminada pela possibilidade de sua reputação ser maculada e ter reflexos nas suas vendas. Então, esse é o grande problema que vejo na atual estratégia de marketing em torno da LGPD. Muito se fala em sanções e na reputação do empreendedor que, já traumatizado, só lhe resta estar em conformidade. A multa se tornou nosso maior instrumento de ameaça, e isso jamais poderá ser visto como uma efetiva cultura de proteção de dados, talvez terrorismo de dados. Inovar significa a necessidade de criar caminhos ou estratégias diferentes, aos habituais meios, para atingir determinado objetivo.
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
10
À
luz do imperativo categórico de Kant, alcançamos apenas um nível de conformidade
“interesseiro”, maculado por terceiras intenções e sem foco algum em uma cultura de proteção de dados. Agora, vejamos como esse cenário muda quando ofertamos ao empreendedor vantagens e oportunidades. Esqueça a multa, todo mundo está cansado de multas ou ameaças. Recentemente circulou na internet a notícia que “um ano após terem sido implementadas as regras gerais de proteção de dados”, os consumidores começaram a ganhar novamente confiança nas empresas. Um estudo da Check Point indica que um ano depois da entrada em vigor do RGPD, já há um impacto ‘extremamente positivo’ nos processos de negócio europeus. A especialista em soluções de cibersegurança desenvolveu uma ferramenta chamada GDPR até para apoiar as empresas a implementar e manter-se em conformidade com as regras. O estudo apurou também que 60% das empresas inqueridas já adotaram por completo as medidas do RGPD, e apenas 4% encontram-se ainda no início do processo de conformidade. Numa escala de 0 a 10, a média de otimismo é de 7,91. 65% dos responsáveis acreditam que as empresas têm uma abordagem estratégica e orgânica à cibersegurança” 5. Observe a disparidade, na UE 60% das empresas já se encontram em conformidade, enquanto no Brasil 85% se encontram despreparadas. O que, de todo o certo, indica-nos que algo está errado por aqui… E isso não é um problema exclusivo do empresariado, pesquisa recente da Kaspersky informa que “60% dos brasileiros revelariam seus dados pessoais sigilosos em troca de promoções e descontos” 6. O que nos indica que o problema da cultura de proteção de dados perpassa a mera questão legal, onde só será alcançada por meio da Educação Digital e da busca constante pela conformidade face à inovação. Devemos sempre nos lembrar que o principal fundamento da LGPD se encontra no art. 5, XXIX da Constituição Federal, o desenvolvimento tecnológico e econômico do país. Logo, a contrário sensu dos inúmeros Projetos de Lei e Medidas Provisórias que visam procrastinar sua vigência bem como a manutenção deste estigma que a lei adquiriu, o foco da LGPD nunca foi
5
PARREIRA, Rui. “RGPD teve um impacto positivo nas empresas e confiança do consumidor”.
Disponível em: https://tek.sapo.pt/noticias/internet/artigos/rgpd-teve-um-impacto-positivo-nasempresas-e-confianca-do-consumidor?Acessado em 7 de novembro de 2019. 6
“Mais de 40% dos brasileiros revelariam dados sigilosos em troca de descontos”. Disponível
em: https://tiinside.com.br/03/06/2020/mais-de-40-dos-brasileiros-revelariam-dados-sigilososem -troca-de-descontosAcessado em: 4 de junho de 2020
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
11
nem nunca será a aplicação de multas ou afetar a reputação do empreendedor, mas sim objetiva o desenvolvimento econômico do país. Portanto, toda medida divergente a este entender atenta contra o próprio desenvolvimento econômico. Com vistas ao exposto, o que aconteceria se diante a grande crise gerada pela pandemia do Covid-19, a LGPD fosse vista como a saída aos seus investimentos? Estar em conformidade ajudaria a dobrar minhas vendas? Como afirma Bruno Bioni, “a regulação de dados é uma janela de oportunidades. Quem compreender e catalisar o processo de conformidade como um dos pilares de um plano estratégico de inovação, colocará ordem na casa e colherá frutos que extrapolam o mero estado de compliance. É um efeito secundário e desejado da nova regulação, o que os economistas costumam chamar de externalidade positiva” 7. Diante deste cenário, uma real e efetiva cultura de proteção de dados só será alcançada pela inovação, jamais pela dor, pelo trauma. Immanuel Kant explica, através do seu imperativo categórico, que se pautar na reputação ou sanções conduz a um erro moral. Uma possível cultura proteção de dados deve, antes mais nada, ser vista como um conceito ético.
À
luz da nossa Magna carta, a LGPD objetiva pela segurança, pelo desenvolvimento
tecnológico, servindo de fomento à inovação e a economia. Bem como, em igual sentido, a emenda constitucional 85 onde se faz menção ao amparo à inovação no país. Encontramos no imperativo categórico de Immanuel Kant uma forma independente do útil ou prejudicial a se aplicar na busca por uma efetiva cultura de proteção de dados. Primando pela escolha voluntária e racional do empreendedor em se estar em conformidade como dever ético, por finalidade e não causalidade, onde superam-se os interesses e impõe-se o ser moral. A liberdade humana deve ser o fundamento de nossas ações também no âmbito digital, fazendo da proteção de dados pessoais parte essencial da nossa prática moral.
Alexsander Carvalho
7
Disponível em http://genjuridico.com.br/2019/09/13/regulacao-de-dados-oportunidade/
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
12
Por Everton Almeida Em pesquisas feitas identifiquei que poucas empresas nacionais de pequeno e médio porte em Minas Gerais estão organizadas ou se movendo a adequação da LGPD. “Não podemos ficar em posição passiva, assumindo que o problema não existe porque ainda não há autoridade definida" No Brasil, a conformidade com LGPD é menor que 40%, aponta ABES Segundo relatório extraído da ferramenta "Diagnóstico LGPD", apenas 38% das empresas demonstram estar de acordo com as exigências feitas pela nova lei de privacidade nos domínios Processos, Pessoas e Tecnologia. Dentre os setores avaliados, o agronegócio é o que menos está de acordo com os pontos exigidos pela lei. Segundo o formulário, o setor atinge somente 13% no índice de conformidade. O setor de bens e consumo, por sua vez, foi o que apresentou o maior índice de conformidade ao alcançar 52%. A área de tecnologia vem logo em seguida, com 39%. Como de costume, sabemos que o mercado trabalha com uma questão de oferta e demanda, e nesse caso, poucas empresas estão se adequando. Por outro lado temos poucas empresas e profissionais de privacidade e proteção de dados em Minas Gerais. Identificamos uma consultoria que iniciou projetos de adequação a LGPD nos seguintes setores: Telecom, Indústrias e Segurança Patrimonial. O setor de telecomunicações por exemplo tem um grande desafio pela frente, fato é que as maiores empresas no Brasil já estão se adequando a LGPD, inclusive já nomearam seus DPOs. Podemos dizer que mais inteligente do que aprender com os próprios erros, é aprender com o erro dos outros. Em diferentes países, onde leis de proteção de dados individuais já estão valendo, operadoras de telecomunicações foram multadas por uso irregular de dados por terceiros que estavam sob sua guarda. A norte-americana AT&T foi multada em 25 milhões de dólares, em 20158.
8
Disponível em https://www.bit.pt/att-paga-multa-de-25-milhoes-de-dolares-por-falha-de-seguranca/
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
13
Ou seja, mesmo antes da GDPR (General Data Protection Regulation) entrar em vigor na Europa já havia leis cobrindo essa questão. Através dessas novas leis, apenas ficou mais específico e passou a ganhar mais força o assunto. Será que estamos seguros? Os ataques maliciosos ainda são a principal causa da violação de dados, sendo responsáveis por 44% dos casos analisados, seguidos de falhas humanas, que incluem funcionários desatentos ou negligentes, que causaram 31% dos casos, e falhas nos sistemas, que representaram 25% do total9. Foi identificado que as empresas brasileiras que realmente saem na frente com relações as medidas de adequação a LGPD são empresas listadas na Bolsa de Valores. Essas empresas precisam de diferenciais para se destacarem até mesmo no cenário internacional, sendo assim não correrão riscos de perder negócios, de serem valorizadas simplesmente porque não se preocuparam com a LGPD. Conclusão: Partindo do princípio de “owner” (responsável ou dono) precisamos de um amadurecimento dessas questões no Brasil, pois empresas com visão de crescimento, que buscam diferenciais competitivos no negócio e querem ser referências em transformação digital, transparência e segurança certamente não deixarão a LGPD de lado, a lei entrará em vigor em agosto, mesmo que as sanções estejam previstas só para iniciarem em Agosto de 2021. Acreditamos que essa seja a hora mais oportuna para iniciar o projeto de adequação nas empresas.
Everton Almeida
9
Disponível em https://www.cisoadvisor.com.br/as-perdas-de-empresas-com-vazamento-de-dados/
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
14
Por Fábio Borges Casos de vazamento de dados são comuns em todo o mundo, e claro, em Minas Gerais não seria diferente. A pandemia não alterou o cenário que já acompanhávamos, mas temos alguns casos famosos no estado de Minas Gerais. Começo comentando sobre o caso da Drogaria Araujo, uma grande rede de drogarias situada na região de Belo Horizonte que foi multada em quase 8 milhões de reais (R$ 7.930.801,72 para ser exato) por não haver transparência com o consumidor. Eles condicionavam descontos ao fornecimento do CPF do consumidor no momento da compra e não ofereciam nenhuma informação clara e adequada sobre a abertura de cadastro e sobre os riscos à segurança de dados, violando o direito do consumidor (já previsto no Código de Defesa do Consumidor). No processo administrativo (iniciado em dezembro/2018), o promotor de Justiça concluiu que “o escopo principal do suposto programa de fidelidade é o de captar e capturar os CPFs dos consumidores e não desenvolver, em si, um programa de vantagens ou fidelidade”, o que configura prática abusiva, pois a concessão de descontos não pode estar condicionada ao fornecimento de dados pessoais conforme o Código de Defesa do Consumidor. O promotor ainda destacou na decisão que as palavras “capturar” e “captar” os CPFs dos consumidores constavam inclusive em documentos internos da empresa. Na decisão condenatória (março/2019), também questionaram a segurança das informações e o sigilo dos bancos de dados, já que a realização do cadastro pode ser feita com qualquer CPF válido. O promotor comenta, na decisão, que os sistemas de segurança, por mais avançados que sejam, são vulneráveis e não estão livres de ataques, como já ocorreu com grandes empresas do mundo inteiro e com governos de vários países. Por meio de um Termo de Ajustamento de Conduta (TAC) firmado com o Procon/MG, que é um órgão integrante do Ministério Público de Minas Gerais (MPMG), a Drogaria Araujo suspendeu seu programa de fidelidade e cessou a captação e solicitação de CPF dos consumidores. A empresa também retirou todo o material relacionado ao programa fidelidade de suas lojas.
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
15
Outro famoso caso em Minas Gerais, é o do Banco Inter, bastante conhecido nacionalmente por ser um banco totalmente digital e sem tarifas, sendo sua sede em Belo Horizonte.
Em maio/2018, um hacker identificado como John teria vazado um arquivo de 40 GB contendo dados sigilosos de mais de 300 mil clientes da instituição financeira, considerada pioneira no universo da economia digital.
Esse arquivo teoricamente continha informações cadastrais, cópias digitalizadas de documentos pessoais e até logs de transações bancárias. A Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) anunciou que investigaria o caso, que correu em segredo de justiça. Neste caso o Banco Inter aceitou pagar 1,5 milhão de reais em indenização. Originalmente, o MPDFT havia pedido uma indenização de 10 milhões de reais. Já em fevereiro/2019 outro caso de vazamento do Banco Inter: dados de 1,45 milhão de correntistas do banco estavam expostos na internet para qualquer pessoa acessar por um período de mais de um ano. Detalhes da exposição de dados incluíam nome completo do correntista, CPF e e-mail para contato. De posse destes dados, uma pessoa maliciosa pode utilizar métodos para extração de mais dados e aplicar engenharia social, podendo ficar ainda pior: phishing direcionado, buscando enganar o cliente do banco por meio de mensagens falsas com dados reais, aumentando muito a taxa de êxito do ataque. A falha existia no internet banking da pessoa jurídica, possibilitando também obter os dados de pessoas físicas. Corrigiram a falha e a nota divulgada publicamente foi que o Banco Inter “possui todas as políticas de segurança necessárias e está em conformidade com as melhores práticas de mercado”. Em ambos os casos temos exemplos claros de como não fazer. No primeiro caso faltou transparência e no segundo, além da transparência, a segurança das informações. Também temos reincidência de problema no caso do Banco Inter, o que impacta bastante no valor da marca no mercado e coloca sua credibilidade em proteção
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
16
de dados na dúvida. As pessoas já começaram a se preocupar com a proteção de seus dados, e ao pesquisar um banco, não se sentirão seguras em entregar os seus dados a um banco que é reincidente em vazamento de dados. Isso vale para qualquer empresa, de qualquer setor. E o que temos percebido do poder público de MG? Infelizmente não vemos uma grande movimentação para a adequação à proteção de dados nos órgãos públicos, cito como exemplo a Polícia Militar, que só em 2018, aconteceram mais de 3 vazamentos de dados, que incluem informações pessoais e institucionais, como registro de armas de fogo e veículos dos servidores da PM/MG, demonstrando claramente falta de investimento do poder público na segurança para proteção de dados. Imagine se um bandido tem acesso a estas informações? Saber onde vive a família do policial que o prendeu... veja o quanto é perigoso este tipo de vazamento, aqui não estou entrando sequer sobre estelionatários que podem abrir conta em banco ou conseguir crédito usando os dados do servidor público. Em 2019 também houve caso de vazamento. Há, claro, ações positivas, destaco que o Ministério Público Federal (MPF) em Uberlândia ingressou com ação civil pública para impedir o Instituto Nacional do Seguro Social (INSS) de violar dados pessoais de segurados da Previdência para disponibilizá-los a empresas privadas. O objetivo é claro: proteger os dados dos aposentados para que não sejam mais abordados por telefone, e-mail ou carta recebendo ofertas de crédito consignado. Sem dúvida é uma ação que ajuda, mas que não evita por exemplo, que os dados que já foram vazados sejam usados. A nossa Lei Geral de Proteção de Dados Pessoais vem para mudar a nossa cultura de proteção de dados, infelizmente já fizemos consultoria para adequação em empresas que não sabiam o que era um firewall: todos os funcionários se conectavam no modem da operadora via WI-FI e todos trabalhavam, acreditando que estavam seguros. Durante anos a segurança da informação foi vista como algo caro e sem importância para os gestores, algo que já está mudando drasticamente.Encerro este breve artigo com uma curta frase: não existe proteção de dados sem segurança em tecnologia, sem segurança física e sem conscientização das pessoas.
Fábio Borges
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
17
Por Augusto Alves de Lima Apesar do já notado cenário nacional da provável preocupação tardia com a conformidade com a Lei Geral de Proteção de Dados Pessoais, algumas empresas de Minas Gerais têm mostrado uma preocupação em fornecer e/ou buscar a conformidade com essa lei. É importante ressaltar que até o presente momento, é impossível dizer que uma empresa está 100% adequada com a legislação, pois ainda existem lacunas que serão preenchidas com a criação e execução das atividades da Autoridade Nacional de Proteção de Dados (ANPD). Outra observação importante é que para as entidades públicas ou privadas a conformidade
com
a
LGDP
se
sustenta
em
pelo
menos
quatro
pilares:
Legal,
Segurança/Proteção, Privacidade e Processos, e que essas entidades precisarão compreender e fortalecer esses pilares à luz da sua atividade ou negócio. Posto isso, venho destacar o trabalho notório que algumas empresas de Minas Gerais têm feito ao levantar dentro das suas organizações a bandeira da LGPD. O primeiro deles é um grupo da cidade de Uberlândia, que se organizou em um formato de “consórcio”, adotando como meta levar a adequação com a legislação de forma completa.
Legal
Privacidade
LGPD
Processos
Segurança /Proteção
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
18
Para tanto esse grupo se constituiu de empresas de diversos setores relacionados aos pilares relacionados acima, tendo em seu corpo empresas de apoio jurídico, soluções em cloud computing, consentimento, governança, educação corporativa e segurança cibernética e segurança da informação. Além de fornecerem também seguros para proteção de dados, cobrindo a responsabilidade civil por atos de violação de privacidade, processos regulatórios, multas e sanções administrativas. As empresas desse grupo também fizeram trabalhos de conscientização em pequenas cidades da região do Triângulo Mineiro, além da produção de artigos, workshops e palestras. Outras medidas tomadas por outra companhia de Uberlândia do setor de soluções de sistemas integrados de gestão empresarial foram: criação de um comitê multidisciplinar composto por pessoas das áreas de processos, jurídica e tecnologia, distribuindo para cada um dos grupos uma linha de ação onde poderiam elaborar a revisão dos processos e políticas da empresa, a adoção de medidas de segurança necessárias, a revisão e adequação dos contratos de prestação de serviços e também a implantação dessas práticas buscando um maior nível de segurança e controle no produto oferecido por eles. Inicialmente foi feita uma análise de riscos envolvendo todas as áreas do negócio. Em paralelo, conduziram workshops, criaram um grupo de estudos para todos os colaboradores interessados em discutir aquele assunto e buscaram realizar um benchmark com outras empresas da região, facilitando a troca de ideias e experiências. É importante salientar que buscar a conformidade com a LGPD é muito mais do que apenas seguir a lei, é garantir a continuidade do negócio. A falta de uma política de segurança da informação e de processos adequados para a adoção das políticas em todos os níveis da empresa/entidade pode gerar riscos até piores que as penalizações propostas pela legislação. Seu negócio pode estar vulnerável a compartilhamento acidental de informação, violações intencionais dos seus dados por agentes internos, má utilização de senhas, suborno, falta de controles de acesso, sequestro de dados, fraude, enfim, uma infinidade de riscos que vão deixar o coração do seu negócio exposto a qualquer agente malicioso.
Augusto Alves de Lima
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
19
Por Claudio Pessoa É inegável a mudança que a Lei Geral de Proteção de Dados Pessoais trará para o mercado como um todo. Afinal, quem gosta de receber e-mails e/ou ligações inconvenientes de empresas que, "sem sabermos como", possuem nossos dados e conhecem nosso perfil de consumo? Porém, para que isso aconteça de forma eficaz, é necessário que toda a comunidade, seja na área pessoal ou profissional, tenha ciência do que realmente a lei trata, sob pena de pessoas e empresas serem punidas, sem ao menos saber o porquê. Tudo isso passa por uma mudança cultural em nosso país. Ao falarmos de LGPD, vemos empresários preocupados com a data em que a lei realmente entrará em vigor; ou ainda, quando acontecerão as punições, pois, infelizmente no Brasil, é seguida à risca o artigo 1 do código penal: "não há crime sem lei anterior que o defina. Não há pena sem prévia cominação legal" (Decreto lei 2848/40, art. 1, in verbis). Digo infelizmente pois a proteção da privacidade do cidadão não é estratégia empresarial, é ético e deveria ser seguido por uma obrigação moral. Ademais, já existem outras leis (como por exemplo Código de Defesa do Consumidor, Constituição Federal, Marco Civil da Internet) e normas (como a família ISO 27.000), que tratam da privacidade do cidadão e da segurança da informação, assuntos esses tratados na LGPD, mas já falando por elas há um bom tempo. Essas leis, inclusive, podem trazer punições piores que as da LGPD, porém ainda são negligenciadas pela maioria dos empresários. A evolução tecnológica, alinhada a uma evolução dos conceitos de marketing, transformaram as empresas em exímios analistas de dados na busca de conhecer o mercado e oferecer produtos aos seus clientes. Porém isso é feito sem respeito ao cidadão, pensando primeiro no lucro das organizações. É necessário mudar esse pensamento, mas isso só acontecerá com uma mudança cultural.
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
20
A mudança cultural virá, portanto, com muito treinamento e consciência de todos. Vemos crescer treinamentos e debates que levam a implantação de LGPD para áreas distintas como as áreas de TI ou jurídica. O que também deixa claro que, ambos os lados, querem ganhar, de forma distinta, com a oportunidade que surgiu no mercado com o advento da lei. Vi outro dia uma pergunta no ar: "de quem é a responsabilidade da LGPD nas empresas, TI ou jurídico?" Não é por aí! A responsabilidade é de todos. Claro que alguém deverá ser o responsável por liderar a implantação da cultura de segurança. Essa pessoa, que na LGPD é chamada de encarregado de dados pessoais, deverá ter conhecimentos de quatro grandes áreas: gestão empresarial, gestão e segurança da informação, TIC e jurídica. É por óbvio que não terá como ser expert em todas elas. Mas tem ao menos que possuir um conhecimento interessante de cada área para poder liderar essa equipe. Sim, digo equipe pois ele sozinho também não conseguirá fazer tudo ao seu devido tempo. Por outro lado, o próprio cidadão, chamado na lei de titular de dados, deverá conhecer bem seus direitos e parar de utilizar a tecnologia de forma irresponsável. Ler contratos de adesão, de redes sociais, não instalar softwares sem ao menos ler as regras de uso, configurar redes (como por exemplo WiFi) de forma segura, usar seu smartphone conhecendo os riscos de seus atos, etc. O uso indiscriminado e irresponsável faz com que o próprio titular, possa dar o consentimento de uso de seus dados, sem ao menos ver o que o fez. Por tudo isso, deve-se começar a pensar em uma mudança com o tempo. Aproveitar a indecisão do próprio governo e do congresso em saber quando entrará em vigor de fato a lei, visando preparar pessoas e empresas para essa nova cultura, a cultura da segurança. Isso passará por cursos e certificações mais abrangentes, que fujam de uma visão simplista,
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
21
tecnicista, focada somente uma área de conhecimento, pois os profissionais ali treinados sairão "mancos", com uma visão distorcida da realidade. Além disso, é de fundamental importância alinhar as visões acadêmicas (pesquisas) e práticas de mercado. Existe uma distância entre as áreas que precisa ser desfeita. O conhecimento científico alinhado à prática do dia a dia é que trará a experiência necessária aos profissionais que desejam, de fato, conseguir implantar métodos e ferramentas eficazes, alcançando assim os resultados esperados. Enfim, chegou a hora da mudança. O mundo todo clama por essa mudança e vemos a cada dia, nos países onde as leis já estão em vigor, multas e punições pesadas por negligência ou imprudência no descumprimento à lei. Aqui no Brasil, tudo se desenha para termos, inicialmente, penas educativas. O que é prudente! É preciso educar para depois cobrar. Para tal a ANPD (Agência Nacional de Proteção de Dados) deverá estar funcionando de forma eficiente. Que comece, portanto, pelo próprio Governo!
Claudio Pessoa
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
22
Por Regilberto F. Girão
Firmware é um conjunto finito e definido de instruções - algoritmo - que tem como finalidade executar tarefas elementares que foram previstas para um único e exclusivo conjunto de componentes eletrônicos e que produz resultado(s) esperado(s). Esse tipo de algoritmo é, normalmente, gravado pelo fabricante do dispositivo em um de seus componentes - uma memória reescrevível (e.g. memória flash - EEPROM ou Eletric
Erasable and Programable Read Only Memory) - que é executado, uma ou infinitas vezes, a partir do momento que é ligado a uma fonte de energia e por esta mantida. Com o objetivo de não nos remeter a tão longe no tempo e nem para tão distante de nossa realidade cotidiana, podemos exemplificar equipamentos que, hoje, têm firmwares embarcados e que precisam destes para que executem suas funções de forma eficiente e eficaz: carros, aviões, refrigeradores e freezers, fogões, cafeteiras, micro-ondas, lava-roupas, lava-louças, televisores, controles remotos, celulares, câmeras digitais, relógios digitais, GPS,
videogames, Blu-ray etc. Em suma, todo e qualquer equipamento que tenha algum tipo de programação já não é mais simples máquina que funciona por acionamento forçado e tem seu controle físico exercido por meio de elementos mecânicos, tais como engrenagens, relés e temporizadores. Já há algum tempo, são resultado da combinação entre a eletrônica programável e a mecânica. Uma lava-roupas, por exemplo, não deixou de exercer o seu principal objetivo: lavar roupas. Para tanto, antes de receber elementos eletrônicos programáveis, tinha todas as suas pré-programações controladas por engrenagens e temporizadores ( timers) mecânicos que, interligados, promoviam as conexões elétricas, por fricção e contato, que acionavam a operação daquele instante: liberar enchimento, parar enchimento, aguardar, liberar motor para batimento, parar batimento, retornar batimento, liberar esvaziamento, parar esvaziamento, iniciar processo de secagem por turbilhonamento, parar máquina. Simples assim.
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
23
Hoje? Quase tudo foi substituído por placas de circuito impresso apinhada de componentes eletrônicos e que promovem o mesmo resultado. Foram preservadas as partes essenciais da máquina de lavar roupas: motor, bojo, pás e dutos de alimentação e drenagem. Aciona-se, por meio de painéis digitais o programa desejado, o nível de água e inicia-se o processo de lavagem de roupas. PONTO. Já há alguns anos, veículos automotores também trazem firmwares embarcados, representados por aquilo que comumente "ouvimos falar" ou conhecemos como centralina. Mais precisamente, quando dos primeiros veículos com motores alimentados por meio de injeção eletrônica e não mais controlados por carburadores comuns. Essas centrais computadorizadas - redes de centralinas ou ECUs (Eletronic Control
Units) - controlam cada uma das funções projetadas para cada marca e modelo de veículo, que passam a ser despercebidas ao longo do uso/tempo e outras que, simplesmente, ignoramos, tais como: direção elétrica, acionamento controlado de freios - ABS, controle de airbags, detecção de mistura e injeção de combustíveis, acendimento automático de faróis, acionamento de limpadores por detecção de umidade, travamento automático de portas, aviso de porta aberta, aviso de cinto de segurança destravado, regulagem e/ou movimento automático de faróis, alarme de limite de velocidade, controle automático de velocidade, avisos de pane nos sistemas do veículo, controle de injeção de combustível e emissão de gases, controle digital de temperatura ambiente, regulagem dos bancos e retrovisores, cálculos de consumo e outros dados estatísticos, além de outras tantas funcionalidades digitais, as quais resumiram em algo denominado Computador de Bordo. Invariavelmente, fabricantes de veículos, ao receber veículos para revisão regular ou por "recall", executam a atualização deste conjunto de algoritmos - firmwares -, com a finalidade de melhorar e/ou acrescentar funcionalidades, bem como corrigir erros de programação - BUGs - que foram detectados ao longo do tempo.
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
24
Para tanto, conectam um computador ao veículo que tem como finalidade certificar que cada uma das funcionalidades embarcadas naquele modelo de veículo seja sobrepostas por um novo conjunto de códigos. Neste caso, em particular, o procedimento de atualização de firmware se dá, forçosamente, pelo fabricante por meio de sua rede de concessionárias, pois as tecnologias são proprietárias e por se tratar de dispositivo que exige alto nível de segurança, não pode e não deve ser executado por terceiros. Assim, remetendo-nos aos meios tecnológicos, mouses, teclados, placas de vídeo, placas de rede, placas de som, modems, cada uma das partes de um smarthphone, cada uma das partes de um computador, tais como placas de vídeo, áudio, rede, wireless, interfaces USB, discos rígidos ou sólidos, baterias, em appliances (equipamentos) tais como switches, roteadores domésticos (com ou sem wireless) e profissionais, placas de rede, IDS ( Intrusion
Detection System), IPS (Intrusion Protection System), firewalls, carregam seus próprios firmwares. Além disso, podemos atribuir a quaisquer equipamentos pré-programados um firmware de maior ou menor complexidade, tais como geladeiras, freezers, fogões, balanças eletrônicas, calculadoras, players (tocadores de áudio e/ou vídeo), relógios de cabeceira digitais, radiocomunicadores, telefones sem fio, PABX domésticos digitais, aparelhos de som digitais, televisores digitais, SmartTVs, GPS, videogames, Blu-rays dentre outros muitos. Objetivo: dar vida ao conjunto de componentes eletrônicos e não sobrecarregar as funcionalidades do equipamento principal, pois cada equipamento cuida de si e o conjunto forma o TODO. Percebam que cada um dos elementos que compõem um outro maior ou mais integrado têm funcionalidades específicas e particulares. Estas, por sua vez, são controladas por um "firmware" que tem como finalidade específica tornar os equipamentos viáveis. Há alguns poucos anos, este exercício era executado, em quase sua totalidade, pelos Sistemas Operacionais (Windows, Linux, OSx, bem como suas variantes), que precisavam ser abastecidos por DRIVERS ou programas controladores que permitiam aos sistemas operacionais reconhecer os dispositivos e agregá-los. Chato, moroso e técnico. Seu uso, por vezes, inviabilizado, caso este não viesse acompanhado de uma mídia com os arquivos básicos necessários para seu funcionamento ou parametrizado incorretamente.
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
25
Hoje, ao adicionar um novo componente ao seu computador - normalmente por meio de portas USB -, os Sistemas Operacionais "reclamam" pela sua identificação e seu propósito. Uma das funcionalidades agregadas aos firmwares, acompanhando a natural evolução tecnológica, é informar "o que é", "marca e modelo", "o que faz" e o "padrão de comunicação", dentre outros.
Portanto, o FIRMWARE nada mais é que a interface entre o Sistema
Operacional
-
SOFTWARE
-
e
o HARDWARE,
propriamente ditos. É a "ALMA" do hardware. Mas, afinal, o que isto tudo tem a ver com a LGPD? – Reflita ...
Regilberto F. Girão
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
26
Por Natália Harsanyi de Oliveira Como Parte inicial do artigo, vou mencionar o decreto nº 17062 que foi publicado no dia vinte e sete de fevereiro de 2019, ano passado, pela Prefeitura de BH. No Art.18, temos justamente onde é direcionado a proteção de dados, contudo, não foi divulgado pela massa de comunicação em sua totalidade, deixando este Decreto bem afastado dos Mineiros. Um outro viés muito importante; por não ter chegado nas empresas e nos Lares dos Mineiros com facilidade e proporção de impacto, que é grande, isso inviabiliza a comunicação e a amplitude que a LGPD tem. Caso não procurássemos, não teríamos este conhecimento. O que existe na verdade, é um grande esforço e movimentação das Empresas de Grande Porte, que estão hoje correndo para se adequarem à LGPD, contudo, sabemos o tamanho do trabalho como um todo. Não é somente adequar a “empresa” com processos, ferramentas, se não tivermos a CONCENTIZAÇÂO dos próprios profissionais que lá estão todos os dias. Sem o entendimento e a criticidade desta Lei, os profissionais não sabem o que fazer; como exemplo uma pergunta muito realizada e ouvida: “Por que tanta movimentação, atualização de processos e alocação de profissionais para “esta” LGDP?” Neste contexto, se não tiver um processo que diz que é necessário divulgar internamente e disseminar a cultura da Lei; estaremos indo pelo caminho da fracasso; de multas; imagens de grandes impressas impactadas e infelizmente, dados que são Petróleo hoje, como meus colegas informaram durante o Encontro, serão de fácil acesso e o que mais preocupa, em mãos errôneas e de pessoas que apenas querem o caos e dinheiro. Dados nas mãos de profissionais ou pessoas sem ética, viram uma peça, melhor, uma chave para a maior chantagem que podemos ver e presenciar, a troca de dados por dinheiro, seja ele com lastro ou não. Um exemplo que auxilia e muito! Empresas, façam uma semana da conscientização, pode ser de seis meses em 6 meses, porque isso tem que estar intrínseco nos profissionais, não somente nos profissionais que estão trabalhando para o Compliance à Lei, mas em todas as pessoas que estão nas empresas as e frequentam.
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
27
Todos os profissionais devem saber o que é, e qual a diferença entre uma informação e dados. Isso tem que ser realizado; a instrução e o exemplo são a chave para o sucesso.
Temos algumas situações, distintas, que foram colhidas como guinchos dos nossos colegas que estiveram presentes. Temos mesmo que ajudar e poder auxiliar a cada dia mais, em informações, consultorias para ajudar nosso amigo, ao nosso lado, a empresa ao lado. Nós, como profissionais e colegas, precisamos de profissionais competentes para auxiliar. Hoje, neste grande encontro em que foram transferidas tantas informações importantes e de grande valor, podemos sim, ajudar tudo e todos. Espero ter contribuído com meus amigos presentes no evento, para os muitos profissionais e pessoas que estavam nos assistindo. Gostaria que entendessem o valor que as empresas têm, contudo, nem todas estão, infelizmente, preocupadas com ele que hoje é como petróleo (dados). Fecho com uma frase que virou o meu “ser”: Tudo que que é bom deve ser
compartilhado, contudo a única regra é: Que ele seja verídico!” NHO Que todos, possam fazer um pouquinho do seu papel na ajuda para consigo mesmo e para com o próximo, e que cada um de nós, possa desempenhar o se papel, ajudado todas as empresas e profissionais a ter sucesso no final. Como disse, e citado no evento em BH, pela Dra. Patrícia Peck (2019) “hoje estamos
correndo para estarmos em compliance a LGPD, contudo, já deveríamos estar cuidando dos dados há muito tempo”, não somente pela Lei LGPD.
Natália Harsanyi de Oliveira
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
28
ACESSE: https://www.youtube.com/watch?v=iReZi82DaoE
Siga-nos nas redes sociais:
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
29
Elaborador por: Mário Peixoto, DPO Representante ANPPD de MG e Membro do Comitê de Conteúdo e Membros do Comitê Público da ANPPD
Anielle Martinelli, DPO Diretora de Conteúdos da ANPPD
Davis Alves, Ph.D Presidente da ANPPD
Data de publicação: 20 de Julho de 2020
#LGPDConnect2020 => Ingresso AQUI
ANPPD - Comitê de Conteúdo ● contato@anppd.org ● Documento Público © Copyright ANPPD® - Associação Nacional dos Profissionais de Privacidade de Dados
30
