Sécurité des données : l’erreur est (souvent) humaine

Segurança de dados: errar é (muitas vezes) humano

Legal Watch – novembro de 2019.

Segurança de dados: errar é (muitas vezes) humano. Esta foi a conclusão a que chegaram as autoridades públicas responsáveis pela proteção de dados pessoais, reunidas em Tirana de 21 a 24 de outubro.

Várias resoluções foram adotadas na conferência internacional, que reúne anualmente autoridades de supervisão, o setor privado e a sociedade civil.

Elas incluem duas resoluções que visam melhorar a cooperação entre autoridades públicas além das fronteiras e melhorar a implementação do GDPR, uma resolução sobre mídias sociais e conteúdo extremista violento, e aquela que estamos tratando aqui, sobre erro humano em violações de segurança.

Como lembrete, de acordo com o GDPR, uma violação de segurança diz respeito a qualquer situação em que dados pessoais são acidentalmente ou ilegalmente:

  • Destruído
  • Perdido
  • Alterado
  • Divulgado
  • Ou quando for observado acesso não autorizado aos dados.

Trata-se, portanto, de um âmbito de aplicação particularmente amplo, com consequências para o responsável pelo tratamento de dados que deve, em função do impacto da violação de segurança, notificar a CNIL e as pessoas afetadas pelo incidente.

Mais de um ano após a entrada em vigor do RGPD, observamos que grande parte das multas aplicadas por não conformidade com o Regulamento se deve à falta de segurança no processamento de dados. 

As diversas autoridades na Europa também receberam um grande número de notificações e estão começando a ter uma visão mais clara das origens dos problemas de segurança, o que deve ajudar a melhorar a prevenção nessa área.

A observação é a seguinte: Uma grande parte das violações de segurança advém de funcionários que divulgam informações involuntariamente a destinatários não autorizados ou a pessoas induzidas a transmitir identificadores e códigos de acesso a informações.

Além da implementação de técnicas robustas de proteção de dados no design de sistemas ("privacy by design"), a resolução prevê o desenvolvimento de uma cultura de proteção de dados dentro da empresa. As seguintes medidas são destacadas:

  • Programas regulares de treinamento, educação e conscientização para funcionários sobre aspectos de “privacidade” e segurança de dados;
  • Treinamento em detecção e reporte de violações de segurança;
  • Monitoramento e auditorias regulares de práticas e sistemas implementados para proteger dados.

Um lembrete útil: a criptografia continua sendo um meio altamente relevante de proteção de dados, combinada com outras medidas técnicas e organizacionais. A CNIL e a ANSSI (Agência Francesa de Proteção de Dados) publicaram uma série de informações práticas online em outubro para celebrar o Mês da Cibersegurança.

E também:

  • Na França:

A autoridade supervisora francesa publicou seu roteiro 2019-2021 em meados de outubro. para comunicar suas prioridades em termos de proteção de dados pessoais. Há cinco áreas de trabalho:

  • Os desafios digitais do quotidiano dos cidadãos;
  • Regulação equilibrada (apoio e ação repressiva);
  • Um investimento significativo na cooperação europeia;
  • Expertise de ponta em segurança digital e cibernética;
  • Uma missão inovadora de serviço público baseada em valores humanistas.

A CNIL também tomou posição em 17 de outubro sobre dois sistemas de reconhecimento facial implementado nas escolas.

Ela considerou que esses projetos, aplicados a estudantes, em sua maioria menores de idade, e com o único objetivo de agilizar e garantir o acesso, não eram "nem necessários nem proporcionais para atingir esses fins".

Essas decisões podem ser comparadas à tomada pela autoridade supervisora sueca no final de agosto no contexto do reconhecimento facial nas escolas, desta vez com o objetivo de monitorar a frequência.

  • Na Europa:

Indenização por violação da lei: As condições sob as quais um indivíduo pode reivindicar indenização em caso de violação de seus direitos são esclarecidas pela jurisprudência.

A última decisão, tomada pelo Tribunal de Apelações de Londres em 2 de outubro, concede indenização pela coleta fraudulenta de dados pelo Google nos iPhones de mais de quatro milhões de usuários, na ausência de prova de danos: o Tribunal especifica que o controle de uma pessoa sobre seus dados tem um valor, portanto, a perda desse controle também deve ter um valor.

Portanto, uma pessoa pode receber indenização por lei sem provar perda financeira ou sofrimento.

Observamos a ligação entre esta decisão e o artigo 82 do RGPD, que estabelece a existência de danos materiais e imateriais e deixa o ônus da prova de que não é responsável pelos danos ao controlador de dados.

  • Nos Estados Unidos:

Transferências internacionais de dados: Em 23 de outubro, a Comissão Europeia publicou as conclusões da terceira revisão anual do "Privacy Shield", que regulamenta a transferência de dados para os Estados Unidos para empresas que o aderiram.

O relatório confirma que o sistema continua a fornecer um nível adequado de proteção.

Ele destaca as melhorias feitas na implementação do "Shield" e menciona as fraquezas restantes, incluindo o tempo necessário para obter a (re)certificação e a verificação de falsas alegações de certificação feitas por algumas empresas.

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT