in Artigos

A Privacidade de Dados e o Impacto na Arquitetura

privacidade de dados e arquitetura

1.6k Visualizações

Artur Jorge de Deus Lé*

Paulo Perrotti*

Introdução sobre a LGPD e a privacidade de dados

Sob a influência em diversos aspectos da General Data Protection Regulation (GDPR), regulamentação europeia de proteção e privacidade de dados, a partir de 18 de Setembro de 2020, entrou em vigor a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), passando então a surtir efeitos tanto no que diz respeito à Pessoa Jurídica, quanto à Pessoa Física. 

Esta lei possui amplo alcance, fazendo com que as empresas, independentemente do ramo de atuação, comecem a estruturar uma linha de planejamento sobre a forma de proteção ao tratamento dos dados pessoais de seus clientes e colaboradores, a fim de evitar infrações, que certamente irão culminar em prejuízos financeiros e danos na reputação.

Embora a necessidade de proteção à privacidade já esteja devidamente norteada em nossa Constituição Federal, bem como no Código Civil e no Código de Defesa do Consumidor, a LGPD surge como forma de embasar não apenas a proteção dos dados. Mas, sobretudo, esmiuçar devidamente suas particularidades de forma a manter preservada a privacidade de dados dos usuários e colaboradores, bem como seus respectivos poderes de escolha. 

A proteção e o sigilo dos dados dos usuários e todos os colaboradores envolvidos em uma empresa surgem apenas como plano principal, revelando assim, por meio de uma análise mais aprofundada, a necessidade de que todos tenham ciência do tratamento adotado para as informações prestadas, bem como do seu destino.

A LGPD prescreve um conceito aberto a respeito de dados pessoais, considerando toda e qualquer informação relacionada à pessoa natural identificada ou identificável, ou seja, informações como nome, endereço, telefone, profissão, dentre outros, que são capazes de identificar a pessoa natural ou torná-la identificável, automaticamente.

Seguindo essa linha de raciocínio, a LGPD também trouxe catalogado os dados considerados pessoais sensíveis, quais sejam aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Deste modo, entende-se que o maior propósito a ser atingido pela aplicabilidade da Lei Geral de Proteção de Dados é a privacidade do indivíduo e o tratamento dos dados pessoais do indivíduo, bem como seu poder de decisão diante do destino de seus dados.  

Entende-se como tratamento de dados pessoais toda operação realizada com os dados pessoais, quais sejam, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Importância da privacidade de dados na arquitetura

A Arquitetura, como atividade que, entre outras características, exprime em espaços e experiências as transformações culturais, comportamentais e tecnológicas das sociedades, também deverá ser influenciada, em maior ou menor escala, dependendo do tipo de projeto e sua atuação de mercado, pela LGPD.

Não será a primeira vez que a Arquitetura pode ter que se adaptar e absorver soluções que não são de normas ou leis específicas à sua atuação, como é, por exemplo, a Norma de Desempenho de Edificações (Norma NBR 15575, da ABNT, de julho de 2013), mas que surgiu de forma a sistematizar e aumentar a qualidade das edificações e assim abranger e atender, entre outras, à Lei de Defesa do Consumidor (Lei 8.078 de 11 de setembro de 1990).

Quanto a transformações culturais e comportamentais, podemos lembrar dos impactos na arquitetura e no design que a Covid-19 promoveu nas casas, escritórios, comércios, aeroportos etc. E é uma via mão dupla: da mesma forma que são influenciados, arquitetura e design também influenciam ações e comportamentos.

Neste sentido, então, podem ser necessárias adequações nas estruturas físicas e arquitetônicas das empresas, para que também se enquadrem às determinações da LGPD, especialmente diante da possibilidade de acesso indevido por parte de terceiros a informações restritas e confidenciais, e os novos projetos já devem contemplar essas necessidades.

Definições básicas, por exemplo, de layouts em que os equipamentos sejam posicionados de forma que o ângulo de visão seja restrito, tais como não estarem voltados para vidros transparentes ou corredores de acesso público, não são mais apenas boas práticas da arquitetura, mas sim exigências contempladas por:

  • ISO/IEC 27002/2013 (norma que fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização);
  • NIST 800/53 (catálogo de controles de segurança e privacidade para todos os sistemas de informação federais dos EUA);
  • PCI DSS (padrão de segurança de dados do setor de cartões de crédito e meios de pagamento).

Faz-se fundamental também a atenção dos arquitetos, engenheiros e projetistas na definição de espaços e soluções com controles de acesso e de monitoramento, itens quase onipresentes no mundo em que vivemos e ainda mais quando se fala de proteção e privacidade de dados, mas que, ao mesmo tempo, exigem políticas e normas a serem respeitadas e que devem ser validadas com o Encarregado de Dados do seu cliente. 

Em função dos avanços tecnológicos, como algoritmos de inteligência artificial, dados de localização e georreferenciamento, bem como reconhecimento facial, dentre outros, é possível, por exemplo, examinar os perfis de comportamento de clientes e definir hábitos de compra, sem se limitar a estudos e técnicas psicológicas para identificar o índice de gasto de determinado grupo de consumidores e frequentadores casuais, tornando possível, por conseguinte, obter resultados mais precisos, assertivos e automáticos. 

Os projetos arquitetônicos devem, assim, considerar as necessidades e adaptações para as seguintes exigências legais, dentre outras, que as empresas devem adotar em seus espaços, visando a privacidade de dados:

  1. Procedimentos para formalização de inclusão, exclusão e revisão dos acessos físicos concedidos;
  2. Segregação física das áreas críticas (exemplo: atendimento, data center e processamento de informações confidenciais);
  3. Necessidade de controles de acesso: autorização para acesso às áreas críticas, por biometria, crachá ou senha;
  4. Monitoramento de CFTV, garantindo que todas as entradas, saídas e áreas críticas sejam monitoradas;
  5. Restrição de acesso a áreas confidenciais apenas a usuários autorizados, utilizando mecanismos de autenticação de, pelo menos, dois fatores (exemplo: biometria e senha);
  6. Isolamento das áreas de entrega e carregamento das demais dependências da empresa;
  7. Ter procedimento e local específico para retirada e devolução de documentos e equipamentos;
  8. Ter cabeamento da rede dentro de racks trancados com chave, quando não estiverem sofrendo manutenção;
  9. Proibir a entrada no ambiente das áreas críticas com pertences que possam ser utilizados para saída de informação (exemplo: papéis, bolsas, celulares etc.);
  10. Ter local apropriado para guarda de informações do negócio sensíveis ou críticas, em papel ou em mídia de armazenamento eletrônicas; e
  11. Orientar para que os documentos que contenham informação sensível ou classificada sejam removidos de impressoras, ou isolar tais equipamentos em salas específicas e controladas, para limitar o acesso.

O arquiteto passa, então, a aumentar o rol de itens na sua tomada de briefing com seus clientes e a atuar como importante agente de contribuição na implantação das políticas de proteção e privacidade de dados das empresas, e se faz indispensável para a definição de soluções harmônicas, criativas e funcionais, minimizando impactos e melhorando os fluxos, experiências e a ambientação dos espaços.

Impacto para as empresas

A Lei Geral de Proteção de Dados não se limita apenas a gerir a relação de transparência junto aos seus clientes, colaboradores e fornecedores, mas também impõe penalidades àquelas empresas que não implementam procedimentos de segurança para proteger os dados pessoais desses clientes, desde a imposição de um advertência até a aplicação de uma multa na proporção de 2% sobre faturamento anual da empresa, podendo chegar a R$ 50 milhões.

Destaca-se ainda sobre este aspecto, que não se trata de rol taxativo podendo, por conseguinte, ser ampliado, de acordo com a necessidade. 

Ademais, a LGPD também aponta diversos princípios que devem ser utilizados como definição da política interna dos escritórios e empresas, nos quais se destacam os seguintes, que devem ser adaptados à rotina de segurança das empresas: 

  • Princípio da finalidade: estabelece a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Princípio da adequação: trata-se da compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Princípio da necessidade: é limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Princípio do livre acesso: é a garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • Princípio da qualidade dos dados: é garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • Princípio da transparência: é a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Princípio da segurança: é a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • Princípio da prevenção: determina a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Princípio não discriminação: fixa a impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • Princípio da responsabilização e prestação de contas: é a demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Assim, listamos alguns cuidados que devem ser levados em conta, quando o assunto é privacidade de dados:

(i) Segurança na captação dos Dados do Cliente: 

Certifique-se que o responsável por receber os dados do cliente esteja devidamente treinado e saiba a importância de preservar a sua privacidade. Esta coleta de informação poderá ser feita de forma automática, em plataformas de ecommerce, ou mesmo na recepção de qualquer estabelecimento. Essa informação não pode cair em mãos erradas. 

Logo, o empresário deverá se precaver, operacional e tecnologicamente, para que não ocorra uma fraude ou uma infração à privacidade de dados,  inclusive instruindo a recepção da melhor forma de coletar os dados pessoais de visitantes, restringindo arquitetonicamente os espaços para que não haja qualquer tipo de invasão, e implementando políticas claras de tratamento de dados pessoais fornecidos voluntariamente à empresa através do site institucional, por exemplo.

(ii) Selecione e trate apropriadamente os dados, de acordo com o seu impacto: 

Se são apenas dados empresariais, não haverá impacto para a LGPD. Entretanto, se envolve o processamento de dados cadastrais de clientes, além dos dados pessoais normais, tais como o nome e demais identificadores, é possível que sejam também fornecidos dados pessoais sensíveis (dados de menores de idade ou de saúde, por exemplo). 

Neste caso, o tratamento destas informações merece um cuidado muito maior. No caso, sugerimos que apenas alguns poucos profissionais tenham autorização para processar informações que contenham dados pessoais e dados pessoais sensíveis.

(iii) Utilize um software de auditoria:  

O monitoramento e a rastreabilidade da informação é essencial. Identificar onde e como um dado foi violado é um requisito da LGPD, pois a lei exige que as empresas adotem critérios de proteção para os dados pessoais. Assim, utilize um sistema que permita identificar e registrar quem teria processado um dado de forma equivocada ou que possa ter violado uma premissa de privacidade. 

(iv) Indique um Encarregado de Dados: 

Conhecido também como Data Protection Officer (DPO), a LGPD exige que todas as empresas selecionem e apontem um profissional que seja o responsável por se relacionar não só com o cliente (titular dos dados), como também com a Agência Nacional de Proteção de Dados (ANPD). 

Não há uma orientação de qual qualificação este profissional deveria ter, mas sugere-se que tenha capacidade técnico-regulatória e componha um Conselho de Segurança, com colaboradores de diversas áreas da empresa, que irão lhe assessorar neste delicado posto.

(v) Formalize Políticas de Segurança: 

Regule a forma como os dados são captados e tratados dentro da empresa, junto a clientes e colaboradores. Todo este processamento e tratamento dos dados deverá estar escrito, formalizado e esclarecido junto aos clientes e colaboradores, para evitar infrações à lei e manter a transparência com os clientes.

(vi) Treinamento: 

Traga a preocupação e o cuidado de preservar as informações e os dados pessoais do cliente para todos os colaboradores, prestadores de serviço e fornecedores. Para tanto, capacite a sua equipe, para que ninguém possa alegar que você negligenciou a respeito da privacidade de dados, desde a operadora do caixa até a alta gestão, além dos seus fornecedores. Faça com que todos estejam alinhados no que se refere à proteção dos dados do cliente. Lembre-se que segurança tem como base pessoas, processos e tecnologia.

(vii) Seguro contra Ataques Cibernéticos: 

Por fim, ninguém está alheio a uma invasão ou um ataque cibernético. Assim sendo, sugerimos fortemente a contratação de uma apólice de seguros, a fim de prevenir grandes perdas no caso de uma infração à privacidade de dados que tenha sido causada, muitas vezes, por um descuido de um colaborador, ao abrir um e-mail malicioso de forma desavisada. Sugerimos também que a seguradora escolhida também ofereça um atendimento de resposta a incidentes, muito importante no caso de infração.

Decerto, a LGPD trará grandes mudanças positivas na estrutura de relacionamento entre as empresas e seus clientes, colaboradores e fornecedores, pois irá otimizar as relações de forma atender melhor às demandas, dentro do perfil de cada um, bem como trará grandes oportunidades de crescimento e transparência, especialmente diante das condutas preventivas que precisam ser adotadas, uma vez que a LGPD já entrou em vigor, como forma de minimizar ou até mesmo prevenir a incidência das severas penalidades, além da perda da reputação, cujo valor é inestimável e, muitas vezes, irrecuperável.

Paulo Salvador Ribeiro Perrotti: Advogado da LGPDSolution, Presidente da Câmara de Comércio Brasil-Canadá, Professor de Cyber Security na Pós Graduação da Faculdade de Engenharia de Sorocaba (FACENS), com especialização em Direito Canadense e de Québec pela Université de Québec à Montreal – UQÀM, possuindo Pós Graduação em Administração de Empresas pela Fundação Getúlio Vargas de São Paulo, especialização em Direito de Informática (LLM) pelo IBMEC/SP, Mercado Financeiro pelo Instituto Finance, Responsabilidade Social pela ESPM/SP, Certified Secure Computer User (CSCU) pela EC-Council e membro da Comissão Especial de Relações Internacionais da OAB/SP.

Artur Jorge de Deus Lé: Arquiteto pela Universidade Mackenzie e com Pós Graduação nas áreas de administração e gestão pela FAAP e Universidade Mackenzie, é sócio da ANASTASSIADIS ARQUITETOS, em São Paulo, escritório com projetos nacionais e internacionais nas áreas corporativa, hoteleira, empreendimentos imobiliários e residencial, atendendo aos maiores players mundiais nestes segmentos.

Reportar

LGPD e discriminação

LGPD X Discriminação
tratamento de dados

LGPD e a gestão de terceiros envolvidos no tratamento de dados das organizações