Últimas notícias

Fique informado

Como evitar acessos indevidos e vazamento de dados no contexto da LGPD?

19 de agosto de 2020

Spotlight

Facebook fala sobre o incidente de 4 de outubro

“Agora que nossas plataformas estão funcionando normalmente após a interrupção de 4 de outubro achei que valeria a pena compartilhar,”Santosh Janardhan.

6 de outubro de 2021

Let’s Encrypt root cert update catches out many big-name tech firms

A legacy certificate used by the certificate authority – the IdentTrust DST Root CA X3 – expired on September 30.

6 de outubro de 2021

Zero Trust e viagens pós-COVID ocupam o centro das atenções no Identity Week 2021

Identity Week 2021 será realizado de 22 a 23 de setembro de 2021 em Londres e reúne as mentes mais brilhantes do setor de identidades.

27 de setembro de 2021

LGPD e os impactos nas empresas: afinal, quem deve cumprir a lei?

Até onde se tem o direito de quebrar a privacidade do cidadão em nome da segurança ou da saúde? Essa discussão trouxe a público a nossa lei, LGPD.

29 de julho de 2020

Especialista fala sobre a importância de processos seguros de identificação para garantir conformidade à Lei Geral de Proteção de Dados Pessoais

á pensou se uma empresa fornecesse, por engano ou descuido, seus dados pessoais a uma outra pessoa? Consegue imaginar o potencial prejuízo material ou moral dessa situação?

É por isso que organizações públicas e privadas têm que estar atentas à correta verificação da identidade do titular dos dados por elas armazenados, a fim de prevenir acessos indevidos, violações ou vazamentos dessas informações.

Nesta entrevista, Ulysses Alves de Levy Machado, assessor do Serpro para LGPD, aborda os detalhes da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) relacionados a essas questões.

Fala também sobre o Datavalid e o Biovalid, duas opções seguras e acessíveis de validação documental e biométrica ofertadas pelo Serpro para empresas de todos os tamanhos. Confira!

Serpro: Por que o uso de ferramentas e protocolos de identificação precisos e seguros se tornou fundamental a partir da nova lei?

Machado: A LGPD estabelece, dentre tantos outros requisitos, dois que podem ser conflitantes, se mal implementados: de um lado, os direitos do titular incluem amplo conhecimento a respeito de seus dados tratados; de outro, a Lei impõe ao Controlador o dever de zelo, proteção, segurança e ontrole sobre os dados de cada titular.

Como o Controlador tem a obrigação de informar amplamente, com simplicidade e rapidez, corre o risco de “prestar essa informação” de forma “ágil” a outra pessoa que não o Titular. Isso implica violação de dados: acesso indevido.

Os principais motivos do uso dessas ferramentas são, em primeiro lugar a “responsabilidade” do Controlador pelos dados que trata; depois, a prevenção de práticas de engenharia social e outras condutas invasivas que gerariam violação de dados pessoais; e, por fim, a necessidade de imprimir a robustez do sistema SGPI (Sistema de Gestão da Privacidade da Informação) conduzido pelos agentes de tratamento de dados.

Os momentos de uso dessas ferramentas de identificação seriam justamente no obrigatório inter-relacionamento com o Titular, seja para processar uma demanda de informação, de correção ou de atualização.

O risco de alguém maliciosamente revogar o consentimento em nome do titular, visando a prejudicá-lo, também estaria coberto por essa hipótese, já que a revogação, voluntária ou não, traz consequências, como a cessação dos serviços.

Serpro: Qual aspecto da nova lei está relacionado ao processo de confirmação de identidade?

Machado: A confirmação de identidade do Titular garante ao Controlador a certeza de que não está dando informações de Fulano a Beltrano. Esse, aliás, é um dos poucos direitos do Controlador em face do Titular: o direito-dever de negar a informação sobre dados pessoais, se não tiver a certeza de que é o próprio Titular que está sendo informado.

Serpro: Você teria algum exemplo prático interessante para ilustrar os riscos que um sistema falho de identificação pode gerar para cidadãos e organizações?

Machado: Sim. Imagine que Paulo e Ana se separam em condições litigiosas. Um dos dois reivindica algo que é negado pelo outro. O membro do casal que vê sua reivindicação negada resolve agir para obter informações econômico-financeiras da outra parte.

Adentra determinado sistema-alvo, fazendo-se passar pelo cônjuge e solicita as informações de que precisa para uma judicialização ou para obtenção de alguma vantagem qualquer.

Além disso, para prejudicar a contraparte, requer a revogação do consentimento para que o serviço deixe de lhe ser prestado. Posteriormente, por vingança, divulga as informações que obteve em rede social.

Com um sistema confiável de identificação, todos esses ilícitos (violação de dados, causação de danos materiais e morais) seriam prevenidos. Além disso, mesmo que esse sinistro não ocorra, uma auditoria séria, avaliando o sistema, poderia apontar essa vulnerabilidade e submeter o Controlador às consequências dessa fragilidade (advertência, multas, paralisação dos serviços etc.).

Serpro: O Serpro conta com uma suíte de produtos de identificação na plataforma tecnológica que oferece para auxiliar organizações públicas e privadas na adequação à LGPD. Como você avalia a importância desta variedade de alternativas de reconhecimento e validação de identidade?

Machado: A Lei exige que o Titular seja informado e que seus dados não sejam vazados ou acessados indevidamente. O legislador não quer saber como o Controlador irá fazer isso.

É problema e ônus dele, Controlador, solucionar esse dilema. As ferramentas de certificação digital tradicional e em nuvem resolvem esse problema, mas são muito caras. Não cobrem totalmente o espectro da demanda. O Datavalid e o Biovalid complementam essa possibilidade.

A Plataforma Serpro LGPD está sendo colocada no mercado em verticais independentes. O contratante pode querer contratar a vertical de certificação e de consentimento e dispensar as demais.

Fonte: Serpro

14 de agosto e a LGPD

LGPD Connect 2020: Conheça o evento digital sobre proteção de dados

Entidades pedem criação da ANPD e adiamento da entrada em vigor da LGPD