Mesmo antes da Lei de Proteção de Dados (LGPD) entrar em vigor, nossa área de contencioso cível já tem recebido diversas demandas. Tais que, mostram, na prática, que estar em conformidade com a LGPD não é tão simples como algumas empresas acreditam.

No artigo de hoje vamos mostrar que os profissionais que analisam a conformidade da empresa devem dominar múltiplos conhecimentos (ou trabalhar em equipes multidisciplinares). Tais como interpretação de leis, metodologias de processos, tecnologia e segurança da informação.

Utilizaremos como exemplo o caso de uma empresa que se encontra diante de uma decisão nada fácil: atender ou não o pedido de acesso aos dados pessoais de um titular que não consegue comprovar sua identidade (ao menos pelo processo determinado pela empresa).

Siga a leitura para entender o que as empresas devem fazer para não se colocar nesse dilema.

Usando a LGPD para conseguir dados ilegalmente

Sempre que as pessoas pensam em proteção de dados pessoais, a primeira coisa que vem à mente é a implementação de recursos tecnológicos para evitar a instalação de vírus (malware) ou ataques (geralmente atribuído a hackers).

Porém, um estudante de doutorado da Universidade de Oxford, chamado James Pavur. Realizou um teste que chocou a comunidade de privacidade da Europa. 

Pavur se fez passar por sua noiva para enviar 150 pedidos a empresas de todos os setores e tamanhos. Solicitando acesso aos dados pessoais que elas tivessem em seu poder. 

Quase 3/4 das empresas responderam aos pedidos e 83 indicaram que tinham dados associados à noiva de Pavur. Desses, quase 1/4 forneceu a Pavur os dados de sua noiva depois de receber pouco mais que um endereço de e-mail ou número de telefone como verificação de identidade. Sendo assim, 16% aceitaram documentação que poderia ser facilmente falsificada.

Pavur usou, inclusive, os dados fornecidos pelas 75 primeiras empresas contatadas para, então, conseguir mais dados das 75 empresas seguintes. Com base em várias solicitações, por exemplo, ele conseguiu obter 10 dígitos do número do cartão de crédito de sua noiva, a data de validade do cartão, o banco de origem e o código postal.

Em resumo, Pavur conseguiu obter informações confidenciais sobre sua noiva. Às vezes com pouca ou nenhuma verificação de identidade.

Perturbadoramente, isso comprova que mesmo as empresas da Europa. Com cultura de privacidade muito mais madura do que as empresas brasileiras, rotineiramente falham em garantir que essas solicitações de acesso do titular sejam legítimas. Como resultado, os consumidores estão sendo colocados em risco.

Obrigação de proporcionar o acesso

Caso você esteja tendo seu primeiro contato com a questão de proteção de dados neste artigo. É importante esclarecer que os fatos acima narrados aconteceram porque, tanto no GDPR europeu, quanto na LGPD brasileira, as empresas devem processar prontamente as solicitações dos titulares de dados.

Neste artigo estamos usando como exemplo a solicitação de acesso aos dados, por se tratar do caso real que estamos analisando. Porém, ambas as leis garantem uma série de direitos aos titulares dos dados. Tais como retificação, portabilidade, exclusão (ou direito de ser esquecido), entre outros.

As empresas envolvidas no experimento de Pavur estavam, de modo equivocado, tentando ficar em conformidade com essa obrigação, de proporcionar aos titulares de dados o exercício dos seus direitos, como o direito de acesso. Porém, erraram em outra obrigação, a de proteger os dados pessoais que estão em seu poder.

Obrigação de proteger os dados com a LGPD

Se, por um lado, o GDPR e a LGPD devolvem para os indivíduos o pleno poder sobre os seus dados. Por outro, determinam que os dados pessoais precisam ser protegidos. E as empresas precisam garantir sua confidencialidade, integridade e disponibilidade mais do que nunca.

Para tanto, não basta apenas instalar um antivírus ou um firewall. Como mencionamos acima, a LGPD é complexa e exige múltiplas soluções.

Para o problema que estamos analisando, pessoas mal-intencionadas, após obterem acesso às informações por meio de engenharia social ou outros meios ilícitos. Se aproveitam da dificuldade do titular em realizar o procedimento de verificação de identidade para “sequestrar” os dados. Nesse caso, o cuidado no tratamento dos dados pessoais pode acabar se tornando uma arma contra a própria empresa.

A grande dificuldade decorre do fato de a LGPD não prescrever boas-práticas ou requisitos específicos para verificação de identidade. Mesmo que a Autoridade Nacional de Proteção de Dados (ANPD) venha a prescrever essas orientações, as empresas devem criar, desde já, procedimentos e requisitos formais para atender a essas solicitações com segurança.

É importante destacar que, segundo Pavur, as organizações de maior porte para as quais ele enviou pedidos “tenderam a ter um bom desempenho”. Porém, as entidades sem fins lucrativos e médias empresas foram responsáveis por 70% das falhas no processo de segurança.

De fato, embora muitas se esforcem para estar em conformidade com a lei, essas organizações menores parecem ser as mais vulneráveis a abusos de acesso de indivíduos.

Quando surge o conflito

Estando em posições opostas, o dever de atender de forma simplificada os direitos dos titulares e o dever de garantir a proteção dos dados pessoais facilmente entram em confronto.

Basicamente, se você tornar muito difícil para os titulares de dados exercerem seus direitos, criando para eles requisitos irracionais e desproporcionais, você de fato infringirá as regras da LGPD.

Por outro lado, se você não verificar de forma adequada a identidade dos solicitantes e permitir, de alguma forma, que uma pessoa se passe por outra para ter acesso aos dados pessoais. Você também infringirá as regras da LGPD.

Mas como identificar os titulares dos dados que enviam solicitações de forma segura sem, impor um processo muito difícil para os verdadeiros titulares?

O que não deve ser feito

Embora quando se fala em proteção de dados não exista uma “receita de bolo” aplicável a todas as empresas (afinal, bancos e planos de saúde são bastante diferentes de um comércio). Vamos aqui listar alguns cuidados básicos que a maioria das empresas pode adotar.

Conforme falamos acima, embora as violações de dados pessoais sejam naturalmente temidas pelas empresas (por um motivo muito bom e devem ser evitadas). Por outro lado, o processo de solicitação não pode se tornar exageradamente muito oneroso para os titulares.

Evite coletar quantidades excessivas de dados pessoais apenas para fazer a autenticação.

Outra recomendação é que a empresa não solicite dados claramente mais sensíveis ou potencialmente mais prejudiciais. Para fins de autenticação, do que os dados sujeitos à solicitação.

Em outras palavras, se você só tem o e-mail e o telefone da pessoa, não é recomendável que ela forneça um documento oficial com foto e diversos dados para comprovar sua identidade.

Se a empresa realmente precisar de alguma informação adicional. Ela deve ser a quantidade mínima e apenas o que é relevante no contexto específico. Isso é importante por causa dos princípios da necessidade, adequação e de minimização de dados, entre outros.

Portanto, solicitar uma cópia do documento de identidade, passaporte ou outro documento oficial emitido pelo governo, como uma certidão de nascimento. Bem como uma maneira padrão de verificar a identidade dos titulares dos dados deve ser definitivamente evitado.

Não esqueça!

Vale lembrar que, além de desproporcional, essa medida nem sempre é eficiente. Especialistas explicam que usar informações que permanecem basicamente as mesmas por toda a vida ou por um longo período de tempo é frágil. Pois é muito provável que esses dados já estejam em posse de pessoas não autorizadas.

Além disso, se essa for a prática predominante na sua empresa, você estará atraindo um risco altíssimo. Uma vez que passam a ser mais dados pessoais em posse da empresa que podem ser objeto de violações e ataques de hackers.

Portanto, a solução para o dilema da validação de identidade não é coletar mais e mais dados e informações. Pois você criará riscos adicionais para a empresa. Além disso, precisará investir mais em medidas de segurança. Isto porque, vazar documentos pessoais é mais prejudicial do que vazar um histórico de itens comprados ou dados similares.

Como resolver

Em primeiro lugar, é preciso considerar não apenas o processo de atendimento às solicitações dos titulares dos dados. Mas também analisar todo o ciclo de vida do dado dentro da empresa, desde o momento em que foi coletado.

O que é coletado? Como é coletado? Qual é o processo de validação da identidade no momento inicial de coleta dos dados?

Isso porque, se algum método de verificação de identificação foi bom o suficiente quando você obteve os dados, por exemplo, você utilizou a conta de e-mail. Deve ser bom o suficiente quando você recebe uma solicitação enviada do mesmo e-mail.

Portanto, é preciso pensar no processo como um todo e não isoladamente.

Outra questão importante a ser considerada é a sensibilidade dos dados e quais são os riscos envolvidos. Quanto mais sensíveis os dados, maior a segurança do processo de autenticação. 

Por exemplo, se um hospital implementa um processo mais rigoroso para fornecimento de informações médicas ou cópia do prontuário do paciente. Ele poderá justificar esse rigor como uma forma de proteger os titulares dos dados contra possíveis riscos a seus direitos e liberdades.

No entanto, mesmo nesses casos, é recomendável que a empresa solicite no processo de autenticação dados que já possui em vez de solicitar mais dados novos. 

Em outras palavras, um exemplo é utilizar um processo de validação de identidade baseado em fazer algumas perguntas em relação aos dados pessoais que a empresa já possui. E assim, a depender da resposta, permitir ou não o acesso do solicitante à integralidade dos dados.

Login e senha

É importante também considerar as expectativas razoáveis dos titulares dos dados, ou seja, se o seu método de autenticação era anteriormente “login e senha”. Deste modo, o próprio “login e senha” devem permitir que a empresa processe os pedidos dos titulares.

Porém, se o “login e senha” foram perdidos, é claro que pedir nome e sobrenome não fará sentido. Se eles não estiverem vinculados ao perfil. Neste caso, o mais adequado é utilizar, no momento do cadastro, recursos para uma verificação em duas etapas. Bem como, o cadastro de e-mail secundário ou número de telefone para envio de mensagem para recuperação de senha, por exemplo.

Ocorre que, de nada adianta implementar quaisquer dessas soluções se a empresa não possuir uma política clara e objetiva. Informando aos titulares sobre todos os procedimentos, os cuidados que devem adotar, entre outras coisas.

Por fim, as empresas devem criar políticas projetadas para impedir o vazamento de dados como resultado de solicitações suspeitas de acesso. Assim como, solicitações originadas em endereços de e-mail que não se sabe estarem associados ao titular.

Considerando o acima exposto…

É importante que fique claro, para todos na empresa, em quais situações deve ser dado acesso aos dados e em quais situações o acesso deve ser negado.

Ao tomar essas medidas, as empresas podem se tornar menos vulneráveis e ajudar a garantir que o objetivo principal da LGPD (proteção dos dados) não seja comprometido pelos esforços para cumpri-la (facilidade no acesso).

Além disso, quando a empresa puder demonstrar que não está em posição de identificar o titular dos dados. Ela deve informar os motivos de forma clara. Nesses casos, as obrigações referentes aos direitos do titular não serão aplicáveis. Exceto quando este, com o objetivo de exercer seus direitos fornecer informações adicionais que permitam sua identificação.

Como mostramos com apenas um dos inúmeros exemplos que poderíamos citar. A implementação da LGPD na empresa não é simples e exige conhecimentos multidisciplinares. Bem como para compreender se cada ação, processo, política ou sistema estão, de fato, cumprindo o que determina a lei.

Diante desse fato, é necessário alertar que algumas empresas têm a percepção de que podem estar em conformidade com todos as regras de proteção de dados. Mas o cumprimento total é mais mito do que realidade.

A verdadeira questão é qual nível de conformidade a empresa deseja alcançar.

Conclusão sobre a LGPD

De fato, as empresas podem gastar grandes quantias na tentativa de manter tudo conforme determinam as leis de proteção de dados existentes. Porém, correm o risco de se transformar em “empresas de conformidade” em vez de empresas reais.

Um profissional ou grupo de profissionais qualificados pode garantir que a empresa implemente as medidas corretas e mais eficientes para buscar uma adequação à lei. Sem, contudo, ter que dedicar recursos significativos para uma conformidade plena que é praticamente impossível.

Em relação ao conflito tratado neste artigo. A diretriz final e clara é que a empresa não deve coletar informações de identificação se não precisar delas. A menos que, o próprio titular dos dados deseje provar sua identidade. 

É sempre muito melhor e prudente evitar o excesso de dados. E assim, se recusar a processar algumas solicitações quando não estiver em posição de identificar a identidade do solicitante. Ser excessivamente zeloso e coletar informações demais apenas para fins de autenticação.

Autores:

Fernando José Monteiro Pontes Filho / Eduardo Hideki Inoue / Mariana Silva Monachesi / Mauro Roberto Martins Junior / Hélio Ferreira Moraes