Especialista fala sobre a importância de processos seguros de identificação para garantir conformidade à Lei Geral de Proteção de Dados Pessoais
á pensou se uma empresa fornecesse, por engano ou descuido, seus dados pessoais a uma outra pessoa? Consegue imaginar o potencial prejuízo material ou moral dessa situação?
É por isso que organizações públicas e privadas têm que estar atentas à correta verificação da identidade do titular dos dados por elas armazenados, a fim de prevenir acessos indevidos, violações ou vazamentos dessas informações.
Nesta entrevista, Ulysses Alves de Levy Machado, assessor do Serpro para LGPD, aborda os detalhes da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) relacionados a essas questões.
Fala também sobre o Datavalid e o Biovalid, duas opções seguras e acessíveis de validação documental e biométrica ofertadas pelo Serpro para empresas de todos os tamanhos. Confira!
Serpro: Por que o uso de ferramentas e protocolos de identificação precisos e seguros se tornou fundamental a partir da nova lei?
Machado: A LGPD estabelece, dentre tantos outros requisitos, dois que podem ser conflitantes, se mal implementados: de um lado, os direitos do titular incluem amplo conhecimento a respeito de seus dados tratados; de outro, a Lei impõe ao Controlador o dever de zelo, proteção, segurança e ontrole sobre os dados de cada titular.
Como o Controlador tem a obrigação de informar amplamente, com simplicidade e rapidez, corre o risco de “prestar essa informação” de forma “ágil” a outra pessoa que não o Titular. Isso implica violação de dados: acesso indevido.
Os principais motivos do uso dessas ferramentas são, em primeiro lugar a “responsabilidade” do Controlador pelos dados que trata; depois, a prevenção de práticas de engenharia social e outras condutas invasivas que gerariam violação de dados pessoais; e, por fim, a necessidade de imprimir a robustez do sistema SGPI (Sistema de Gestão da Privacidade da Informação) conduzido pelos agentes de tratamento de dados.
Os momentos de uso dessas ferramentas de identificação seriam justamente no obrigatório inter-relacionamento com o Titular, seja para processar uma demanda de informação, de correção ou de atualização.
O risco de alguém maliciosamente revogar o consentimento em nome do titular, visando a prejudicá-lo, também estaria coberto por essa hipótese, já que a revogação, voluntária ou não, traz consequências, como a cessação dos serviços.
Serpro: Qual aspecto da nova lei está relacionado ao processo de confirmação de identidade?
Machado: A confirmação de identidade do Titular garante ao Controlador a certeza de que não está dando informações de Fulano a Beltrano. Esse, aliás, é um dos poucos direitos do Controlador em face do Titular: o direito-dever de negar a informação sobre dados pessoais, se não tiver a certeza de que é o próprio Titular que está sendo informado.
Serpro: Você teria algum exemplo prático interessante para ilustrar os riscos que um sistema falho de identificação pode gerar para cidadãos e organizações?
Machado: Sim. Imagine que Paulo e Ana se separam em condições litigiosas. Um dos dois reivindica algo que é negado pelo outro. O membro do casal que vê sua reivindicação negada resolve agir para obter informações econômico-financeiras da outra parte.
Adentra determinado sistema-alvo, fazendo-se passar pelo cônjuge e solicita as informações de que precisa para uma judicialização ou para obtenção de alguma vantagem qualquer.
Além disso, para prejudicar a contraparte, requer a revogação do consentimento para que o serviço deixe de lhe ser prestado. Posteriormente, por vingança, divulga as informações que obteve em rede social.
Com um sistema confiável de identificação, todos esses ilícitos (violação de dados, causação de danos materiais e morais) seriam prevenidos. Além disso, mesmo que esse sinistro não ocorra, uma auditoria séria, avaliando o sistema, poderia apontar essa vulnerabilidade e submeter o Controlador às consequências dessa fragilidade (advertência, multas, paralisação dos serviços etc.).
Serpro: O Serpro conta com uma suíte de produtos de identificação na plataforma tecnológica que oferece para auxiliar organizações públicas e privadas na adequação à LGPD. Como você avalia a importância desta variedade de alternativas de reconhecimento e validação de identidade?
Machado: A Lei exige que o Titular seja informado e que seus dados não sejam vazados ou acessados indevidamente. O legislador não quer saber como o Controlador irá fazer isso.
É problema e ônus dele, Controlador, solucionar esse dilema. As ferramentas de certificação digital tradicional e em nuvem resolvem esse problema, mas são muito caras. Não cobrem totalmente o espectro da demanda. O Datavalid e o Biovalid complementam essa possibilidade.
A Plataforma Serpro LGPD está sendo colocada no mercado em verticais independentes. O contratante pode querer contratar a vertical de certificação e de consentimento e dispensar as demais.
Fonte: Serpro
LGPD Connect 2020: Conheça o evento digital sobre proteção de dados
Entidades pedem criação da ANPD e adiamento da entrada em vigor da LGPD