O Google é uma ferramenta de amplo uso e as buscas são uma atividade universal, é importante que o DPO acompanhe suas adequações à privacidade
Por Fernando Nery
Semana passada o Google divulgou um novo serviço para possibilitar que dados pessoais possam ser retirados de suas buscas, coincidência ou não, ocorreu logo após a comunidade européia anunciar o acordo para aprovação do DSA – Digital Services Act (chamado por alguns de ‘nova GDPR’) que influenciará os serviços digitais e aumenta o controle e fiscalização sobre as grandes plataformas digitais, assim como trata de assuntos como segurança, privacidade, proteção de dados, fakenews, algoritmos.
A comunidade européia anunciou o acordo para aprovação do DSA Digital Services Act
O Google é uma ferramenta de amplo uso e as buscas são uma atividade universal, é importante que o DPO acompanhe suas adequações à privacidade pois elas podem influenciar no negócio de sua organização. O caso que não tem uma relação 1:1 com os requisitos da LGPD e podem até exigir regulamentação no futuro.
A ISO 27701 no Brasil traduziu o PII como ‘DP – dado pessoal’
No dia 27 o Google disponibilizou um novo recurso para que os titulares solicitem que seus dados de identificação não apareçam nos resultados das buscas. Assim como a maior parte das publicações americanas, o Google chama este tipo de dado de PII (pi-ai-ai) – informações de identificação pessoal. A ISO 27701 no Brasil traduziu o PII como ‘DP – dado pessoal’, mas o conceito de dado pessoal na LGPD se aplica a um universo bem maior que o PII – veja no artigo de ontem do Alberto.
Tenho defendido que a ANPD deve pensar em criar um glossário oficial com o relacionamento entre os termos adotados no Brasil, EUA e Europa, com a maturidade da LGPD este entendimento se tornará importante nos negócios.
O novo recurso funciona mais ou menos assim: caso o titular identifique um ou mais sites que contenham seus dados cadastrais (veja a lista no final) e não deseja que eles apareçam na busca do Google, é possível preencher um formulário (link no primeiro comentário) fornecendo os tipos de dados, a URL, capturas de tela e os tipos de busca que chegam a estes dados para fazer a solicitação. Após a avaliação e aprovação, os dados deixarão de aparecer nos resultados das pesquisas. Não há informação sobre o tempo de resposta do Google.
Após a aprovação, os dados pessoais deixam de aparecer no resultado das buscas mas continuam armazenados no local de origem
Além de ser um serviço para o titular, caso sua organização possua algum produto ou serviço com dados pessoais na internet, vale estar atenta.
Ainda há alguns pontos a esclarecer, por exemplo:
– como o Google conseguirá autenticar o titular que fez a requisição ou seu representante? (por exemplo, como meu browser estava logado no Google e eu tenho um segundo fator de autenticação, parece que foi considerado suficiente para me autenticar, mas como são tratados os homônimos mesmo que parciais?)
– que procedimento será tratado se alguém conseguir ludibriar a autenticação do Google e solicitar a exclusão de outro titular?
– A retirada dos resultados será aplicada apenas ao buscador do Google ou também em outros serviços e APIs?
– Como serão tratados dados pessoais armazenados em diferentes países?
– Os dados pessoais deixarão de aparecer nos resultados do Google, mas continuarão em outros buscadores com o Bing, haverá algum tipo de integração?
Gostei da iniciativa, este assunto é amplo, polêmico, sem padronização, heterogêneo em todas as direções, passível de erros e fraudes e cheio de exceções. Mas faz parte do desafio, após décadas de coleta e uso de dados pessoais sem regulamentação, a adequação não será imediata, o legado é muito grande.
Veja no fim do texto a lista dos dados pessoais de identificação considerados pelo Google, e no primeiro comentário o link deste serviço.
No dia 12 participarei com o Dr Gilberto Martins e meu sócio Alberto Bastos da live ‘Governança em Privacidade e o Escritório do DPO‘, fique à vontade para se inscrever e divulgar para sua equipe. Até lá.
brigado,
Abraço,
FNery
Fonte: LinkedIn Google: novo serviço de privacidade
Lista de dados pessoais (fonte: Central de Ajuda do Google):
– Números de identificação nacional confidenciais (documento de identificação), como Número de Identificação de Previdência Social dos EUA, Número Único de Identificação Fiscal da Argentina, Cadastro de Pessoas Físicas do Brasil, Número de Registro de Residente da Coreia, Bilhete de Identidade de Residente da China etc.
– Números de contas bancárias
– Números de cartões de crédito
– Imagens de assinaturas escritas à mão
– Imagens de documentos de identificação
– Registros altamente pessoais, restritos e oficiais, como históricos médicos
– Dados de contato pessoais, como endereços físicos, números de telefone e endereços de e-mail
– Credenciais de login confidenciais
Módulo é uma empresa brasileira com mais de 36 anos de mercado, especializada em Automatização de Governança, Gestão de Riscos e Conformidade.
Desde 1985 atua nas áreas de software, consultoria e educação oferecendo soluções inovadoras e customizadas para Segurança Cibernética, Privacidade e GRC.
Certificada ISO 27001 – Segurança da Informação, ISO 27701 – Privacidade de Dados e Empresa Estratégica de Defesa pelo Ministério da Defesa; membro do CIS – Center for Internet Security, do IAPP – The International Association of Privacy Professionals e do Open Group / Open Fair – (Factor Analysis of Information Risk); além de Qualified Security Assessor (QSA) pelo PCI Security Standards Council.
Participou de projetos internacionalmente reconhecidos como as eleições eletrônicas brasileiras, a entrega de imposto de renda via Internet, XV Jogos Pan Americanos Rio 2007, a Copa do Mundo 2014 e as Olimpíadas 2016, além de projetos de grande porte em empresas dos setores financeiro, telecomunicações, utilities e governo.
Temos soluções para LGPD, integração automatizada de informações e comunicação, visualização em mapas e data analytics, gestão de eventos e incidentes, ambiente em nuvem e segurança cibernética.
RH é protagonista na LGPD, por Fernando Nery
Saiba como gerenciar informações da Conta do Google inclusive após sua morte
Thales e Google Cloud anunciam parceria estratégica na França