Sexta-feira, 24 de janeiro de 2020
As leis de proteção à privacidade de dados, como a GDPR da União Europeia e a Lei Geral de Proteção de Dados Pessoais (LGPD) brasileira possuem uma série de exigências. Um dos desafios na busca pela conformidade com as novas Leis é proteger a privacidade em todo o ciclo de vida da informação, desde de sua coleta até a sua eliminação. Neste artigo, discutiremos a criação da informação em nossos sistemas, ou seja, a coleta dos dados do titular.
Os canais digitais são grandes coletores de informações pessoais, eles estão na entrada do fluxo de dados dos sistemas e precisam de toda nossa atenção para que possamos atender à orientação de proteger os dados pessoais que estão sendo adquiridos desde o início de seu ciclo de vida em nossas bases de dados.
Nós chamamos de Blueblock aquele conjunto de dados sobre um indivíduo que tenha legalidade para seu processamento e que receba controles de segurança apropriados para o nível de sensibilidade dessas informações. Se o processamento for legítimo, mas não tiver a proteção adequada será considerado um PurpleBlock, e caso não tenha legitimidade será considerado um Redblock. O objetivo final é que as empresas possam obter o maior percentual de Blueblocks.
A grande questão é entender todos os requisitos para que, ao adquirir um novo lead, não criemos em nosso sistema um Redblock ou um Purpleblock, mas sim um legítimo e belo Blueblock. Para isso, precisamos atender a todos os princípios de legitimidade e segurança, como os citados abaixo:
Finalidade: realização do tratamento (coleta no caso) para propósitos legítimos, específicos, explícitos e informados ao titular. Neste caso, informamos na própria página para que estamos coletando aqueles dados e tudo que pretendemos fazer com eles.
Necessidade: Contrariando a máxima de coletar todo os dados possíveis para gerar valor no futuro, as leis de privacidade nos exigem que limitemos o tratamento (inclusive a coleta de dados) apenas aos dados necessários para nossas necessidades, ou seja, na maioria dos casos só precisaremos do nome e e-mail para mandar uma campanha de e-mail marketing. Se formos criar campanhas regionalizadas, como empresas que divulgam shows e cursos, podemos coletar também a cidade, mas não precisamos do CEP do titular dos dados.
Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento. Para evitar questionamentos sobre a informação, estar ou não “facilmente acessível” usamos um ícone flutuante de privacidade, presente em todas as páginas do site, e que apresenta todas as informações relacionadas à privacidade, desde os cookies do site até o nome e contato do DPO (Encarregado de proteção) da empresa. Uma outra abordagem é colocar no rodapé de todas as páginas.
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Neste caso, precisamos proteger os dados desde a coleta (utilizando páginas com certificado digital e HTTPS, por exemplo) até o seu armazenamento, impedindo que sejam extraídos irregularmente com ataques do tipo SQL Injection, por exemplo.
Requisitos: Uma coleta de dados deve atender a um requisito legal, como por exemplo, uma obrigação contratual (o endereço para entregar um produto), legal (o CPF para emitir uma nota fiscal), tutela da saúde (alguma alergias a medicamento) ou ainda com o consentimento inequívoco do titular dos dados, com um local onde ele possa marcar que entende porque está fornecendo seus dados.
Observados estes princípios, e, eventualmente, outros previstos no artigo 6 a 10 da LGPD, podemos considerar que a informação coletada sobre o indivíduo formou um Blueblock em nosso sistema, ou seja, um conjunto de informações pessoais coletado com legitimidade e segurança, e que não nos trará um passivo jurídico perante a nova lei.
Comentários