rost9 - stock.adobe.com

A importância de proteger dados biométricos e os dados pessoais

Data Protection Forum traz discussões sobre proteção de dados biométricos e uso secundário de dados pessoais por empresas. Especialistas explicaram o que a LGPD diz sobre essas temáticas; data ethics e processos de segurança e privacidade também foram discutidos no evento.

O Data Protection Forum, que aconteceu em São Paulo, no dia 27 de setembro, contou com palestras sobre biometria, uso secundário de dados pessoais e data ethics, além de outras questões de segurança envolvendo a Lei Geral de Proteção de dados (LGPD). Estavam presentes vários especialistas em tecnologia e Direito.

Tratamento de dados biométricos

A palestra "Descomplicando a Biometria" foi apresentada por Fernando Guariento, head de professional services da AllowMe, e Mariana Ceridono, data protection and compliance officer da Tempest. Primeiramente, foi explicado o conceito de dados sensíveis –isto é, informações relacionadas a uma pessoa natural que revelem sua origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, dado referente à saúde ou dado genético ou biométrico.

O dado biométrico, especificamente, possibilita a identificação de um indivíduo de forma única. Por exemplo, a partir de impressão digital, íris, face e som da voz. Incidentes de segurança envolvendo esse tipo de dado podem gerar consequências séries, conforme explicaram os palestrantes. "Se ocorre um vazamento de senhas, o usuário pode 'resetar' a informação. Mas, se há um vazamento de dados da face, o dano é muito maior e menos reversível", pontuou Mariana.

Na sequência, Fernando abordou os requisitos trazidos pela LGPD para a coleta de dados biométricos. O principal deles é que as empresas não podem tratar essas informações com base no legítimo interesse –ou seja, sem o consentimento do usuário–, diferentemente do que acontece com dados simples como nome e endereço.

Os especialistas também ressaltaram que não basta ter uma ferramenta de biometria: é preciso que ela seja segura e não proporcione brechas em sua utilização. "Não adianta simplesmente comprar tecnologia. Muitas vezes o problema é na implantação. Durante a inserção de novas ferramentas no processo de prevenção de fraude, é importante seguir as orientações dos fornecedores", aconselha Mariana.

Uso secundário de dados pessoais

Pedro Iorio, advogado de Artese Advogados, fez uma apresentação sobre o uso secundário de dados pessoais. Ele começou explicando que o tratamento de dados em larga escala é uma tendência no mercado atualmente: "Hoje, uma empresa que não conta com uma inteligência para avaliar seu público fica desfalcada. Por isso, mercados tradicionais estão passando a se preocupar em ser data driven. Isso porque os dados ajudam a melhorar processos, garantir segurança, conhecer públicos, compreender tendências e apoiar a tomada de decisões", constata.

É válido lembrar que a LGPD exige que o tratamento de dados pessoais seja realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem a possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Portanto, no caso do uso secundário de dados, deve existir uma compatibilidade entre a finalidade original e o objetivo que se pretende conseguir por meio desse uso. É possível medir tal compatibilidade por meio de um teste, que leva em consideração os seguintes fatores: o contexto em que os dados pessoais foram coletados, em particular no que diz respeito à relação entre os titulares dos dados e o controlador do tratamento; a natureza dos dados pessoais; as possíveis consequências do tratamento posterior pretendido para os titulares dos dados; a existência de salvaguardas adequadas, que podem incluir criptografia ou pseudonomização.

O teste de compatibilidade é positivo quando a finalidade que justificou a coleta e aquela pretendida para o uso secundário são efetivamente relacionadas, estão inseridas no mesmo contexto e há atendimento às expectativas do titular. Além disso, o uso secundário não pode implicar consequências significativas aos titulares de dados pessoais, e, caso haja algum reflexo negativo, devem existir medidas de salvaguarda adequadas para neutralizá-lo.

Data ethics

Gustavo Artese, titular da Artese Advogados, e Rodrigo Cunha, diretor global de Ética Digital (DPO) da AB Inbev, falaram sobre como as organizações devem se adaptar a leis e demandas éticas exigidas para lidar com dados, tecnologias e informações de qualquer natureza.

Inicialmente, os especialistas elucidaram o conceito de data ethics, que, segundo o The Alan Turing Institute, se refere ao "ramo da ética que estuda e avalia problemas morais relacionados a dados (incluindo geração, gravação, processamento, disseminação e uso), algoritmos (incluindo IA, aprendizado de máquina e robôs) e práticas correspondentes (como inovação responsável e programação). O objetivo final da ética de dados é formular e apoiar soluções moralmente adequadas.

Segundo Gustavo, "proteção de dados é business as usual agora", e deve ser privilegiada pelas companhia. Uma forma de garantir um uso adequado de dados é por meio de bases de dados de qualidade. "O algoritmo precisa de uma base de dados mais ampla possível para evitar vieses", salienta o advogado.

Processos e tecnologias prioritárias para segurança e privacidade

Os palestrantes Tonimar Dal Aba, technical manager da ManageEngine e Paulo Kimura, diretor de segurança da informação e governança de TI da Take Blip, encerraram o evento dando dicas de melhores práticas e controles de privacidade para proteger as informações e a segurança dos usuários e empresas.

Nesse sentido, é recomendável priorizar o monitoramento do tráfego eletrônico fora do horário comercial, mudanças nas políticas de equipamentos remotos, alterações de permissões e privilégios, bloqueios de conta, tentativas de logon de usuários desativados e senhas que nunca expiram.

A rapidez com que se responde a incidentes de segurança é outro fator crucial. "Sempre haverá um incidente envolvendo TI. Trabalha-se para reduzir os riscos, mas é impossível eliminá-los por completo. Porém, se houver uma resposta ao incidente o quanto antes, os prejuízos são menores", destaca Tonimar.

Além disso, os especialistas sugeriram que as empresas bloqueiem tráfego desnecessário, estabeleçam regras de firewall e empreguem processos de certificação em TI. Sobre o último ponto, Paulo comentou: "As certificações levam a um ciclo de melhoria contínua, ano após ano. Forçadamente, a organização eleva sua segurança da informação e governança como um todo".

Saiba mais sobre Identidade e acesso corporativo