Bom Dia LGPD

Chat GPT como assistente de redação. Exemplo de política para visitantes.

Fernando Nery
Fernando Nery
Sócio da Módulo

#bomdialgpd


Uma das maiores dificuldades da conformidade em uma organização está escrever orientações e políticas eficazes. Escrever não é simples e quando é necessário entender um contexto, estar em conformidade e gerar comportamentos em um grupo de pessoas, o desafio cresce.


A política eficaz não é medida pelo seu texto em si, mas na mudança de almejada. Algumas políticas são alinhados com recursos que forçam o seu cumprimento, por exemplo, definir uma senha com 14 caracteres composta por algarismos, letras maiúsculas e minúsculas e símbolos é configurada em um sistema e o público não consegue descumpri-la. Por outro lado, uma mudança que exija comportamento tem sua eficácia comprometida.


Para que uma política seja eficaz ela deve ser curta e clara, ser focada nos comportamentos esperados e estar associada a um plano de comunicação.

Hoje as corporações tem convivido com uma série de políticas: diversidade, inclusão, equidade, anticorrupção, ética, segurança, privacidade, meio ambiente, conformidade regulatória, conformidade legal, direito do consumidor, nepotismo, conflito de interesse, e diversos outros, até 'dress code'. E como se não bastassem, estas políticas devem estar alinhadas com os objetivos de negócio da organização.


A opção de copiar a política de outra organização pode até gerar um documento bonito e completo, mas não parece eficaz para atender o objetivo por não estar alinhada ao negócio.


Existem diversas políticas bem feitas e inspiradores, mas elas devem ser um ponto de partida.


O Chat GPT tem sido muito utilizado como assistente de redação pela sua capacidade de coletar e analisar um grande volume de dados. Em primeiro lugar é eficaz informar ao Chat GPT o escopo que ele deve atuar (os exemplos são com o Chat GPT 4), exemplo:


"Aja como um especialista em políticas de segurança da informação, segurança cibernética, privacidade e proteção de dados pessoais e utilize como referência a LGPD e a GDPR, assim como as publicações dos reguladores ANPD (Brasil), ICO (Reino Unido), CNIL (França), AEPD (Espanha) e EDPB (Comunidade Européia)."


A partir daí é possível interagir para utilizar o Chat GPT como assistente de redação, sempre lembrando que a versão final deve ser feita por um especialista.

No contexto solicitei que sejam criados cinco aspectos de proteção de dados pessoais em uma política para que um visitante da organização receba antes de ingressar e circular nas instalações da organização, a resposta foi:


  1. Coleta de Dados: Esclarecer quais informações pessoais dos visitantes serão coletadas. Isso pode incluir nomes, contatos, imagens (por meio de sistemas de vigilância por vídeo, por exemplo) e outras informações relevantes.
  2. Finalidade: Especificar por que essas informações estão sendo coletadas, por exemplo, para fins de segurança, registro de visitantes ou conformidade com regulamentos locais ou setoriais. A finalidade deve estar em conformidade com o princípio de limitação de finalidade.
  3. Consentimento: Certificar-se de que os visitantes estão cientes e concordam com a coleta e uso de suas informações pessoais, e que possam retirar seu consentimento a qualquer momento, conforme o princípio de consentimento.
  4. Armazenamento e Segurança: Informar por quanto tempo as informações serão armazenadas e quais medidas de segurança serão implementadas para proteger os dados. Este é um aspecto particularmente importante a ser comunicado, já que pode afetar diretamente a vontade do visitante de compartilhar suas informações pessoais.
  5. Direitos do Titular dos Dados: Assegurar que os visitantes estejam cientes de seus direitos em relação aos seus dados pessoais, incluindo o direito de acessar, corrigir, excluir ou transferir suas informações, ou de contestar o uso de suas informações.


Após ler o texto pedi para ele reescrever esclarecendo que a hipótese legal de tratamento é o Legítimo Interesse, veja o resultado:


  1. Coleta de Dados: Explicar quais informações pessoais dos visitantes serão coletadas, como nomes, contatos, imagens (por meio de sistemas de vigilância por vídeo, por exemplo) e outros dados relevantes.
  2. Legítimo Interesse: Declarar claramente que o tratamento de dados é feito com base no legítimo interesse da organização. Isso pode ser para garantir a segurança dos visitantes e dos funcionários, proteger a propriedade da organização, ou cumprir regulamentos locais ou setoriais. Importante ressaltar que o legítimo interesse deve ser cuidadosamente avaliado e balanceado com os direitos e liberdades do titular dos dados.
  3. Transparência: Mesmo quando o legítimo interesse é a base para o processamento, é essencial informar os visitantes sobre como seus dados serão utilizados. Deve-se garantir que os visitantes estejam cientes de que seus dados estão sendo coletados e para quais fins.
  4. Armazenamento e Segurança: Informar por quanto tempo as informações serão armazenadas e quais medidas de segurança serão aplicadas para proteger os dados. Esta transparência reforça a confiança dos visitantes na gestão de seus dados pessoais pela organização.
  5. Direitos do Titular dos Dados: Embora o processamento seja baseado no legítimo interesse, os visitantes ainda mantêm seus direitos sobre seus dados. Portanto, é fundamental informá-los de seus direitos, como o direito de acessar, corrigir, excluir ou transferir suas informações, e o direito de se opor ao tratamento com base no legítimo interesse.


Agora solicitarei ajustes para fortalecer os aspectos associados à gravação de imagens e incluindo o contato do DPO:


  1. Coleta de Dados: Declarar que as imagens dos visitantes serão coletadas por meio de sistemas de vigilância por vídeo, além de outras informações relevantes como nomes e contatos.
  2. Legítimo Interesse: Ressaltar que a gravação de imagens é realizada com base no legítimo interesse da organização. Isso pode ser para garantir a segurança das instalações, dos visitantes e dos funcionários, prevenir incidentes ou infrações, ou cumprir com regulamentos locais ou setoriais. Lembrar que esse legítimo interesse foi cuidadosamente avaliado em relação aos direitos e liberdades do titular dos dados.
  3. Transparência e Uso das Imagens: Esclarecer que as imagens capturadas serão utilizadas exclusivamente para os fins mencionados. A organização se compromete a não usar as imagens para qualquer outra finalidade sem o consentimento explícito do visitante, a menos que seja legalmente obrigada a fazê-lo.
  4. Armazenamento, Segurança e Acesso às Imagens: Informar por quanto tempo as imagens serão armazenadas e as medidas de segurança aplicadas para protegê-las. Declarar que o acesso às imagens será limitado a pessoal autorizado e que quaisquer pedidos de terceiros para acessar as imagens serão tratados de acordo com a lei.
  5. Direitos do Titular dos Dados e Contato do DPO: Informar aos visitantes de seus direitos, incluindo o direito de acessar, corrigir, excluir suas imagens, ou se opor ao tratamento com base no legítimo interesse. Fornecer o contato do Encarregado (DPO) da organização, que pode ser contatado para perguntas ou preocupações sobre esta política ou para exercer esses direitos.


Agora informo que existem áreas de circulação restrita, identificadas por placas e é proibido acessar estas áreas sem autorização, o resultado:


  1. Coleta de Dados e Áreas de Circulação Restrita: Informar que as imagens dos visitantes serão coletadas por meio de sistemas de vigilância por vídeo, e que essas gravações também incluem áreas de circulação restrita. As áreas restritas serão claramente identificadas por placas e o acesso a estas é proibido sem autorização prévia.
  2. Legítimo Interesse e Acesso Restrito: Ressaltar que a gravação de imagens e a restrição de acesso a certas áreas se baseiam no legítimo interesse da organização. Essas medidas são para garantir a segurança das instalações, dos visitantes e dos funcionários, prevenir incidentes ou infrações, ou cumprir com regulamentos locais ou setoriais. Enfatizar que este legítimo interesse foi cuidadosamente avaliado contra os direitos e liberdades do titular dos dados.
  3. Transparência e Uso das Imagens: Esclarecer que as imagens capturadas, inclusive nas áreas de circulação restrita, serão utilizadas exclusivamente para os fins mencionados. A organização se compromete a não usar as imagens para qualquer outra finalidade sem o consentimento explícito do visitante, a menos que seja legalmente obrigada a fazê-lo.
  4. Armazenamento, Segurança e Acesso às Imagens: Declarar por quanto tempo as imagens serão armazenadas e quais medidas de segurança serão aplicadas para proteger os dados. Afirmar que o acesso às imagens será limitado a pessoal autorizado e que todos os pedidos de terceiros para acessar as imagens serão tratados de acordo com a lei.
  5. Direitos do Titular dos Dados e Contato do DPO: Assegurar aos visitantes que eles possuem direitos sobre suas imagens, incluindo o direito de acessar, corrigir, excluir suas imagens, ou se opor ao tratamento baseado no legítimo interesse. Deve ser fornecido o contato do Encarregado (DPO) da organização para perguntas ou preocupações sobre esta política ou para o exercício desses direitos.


Por fim incluo a informação sobre o uso de sistemas de reconhecimento biométrico nas câmeras:


  1. Coleta de Dados, Reconhecimento Biométrico e Áreas de Circulação Restrita: Informar que as imagens e dados biométricos dos visitantes serão coletados por meio de sistemas de vigilância por vídeo com recursos de reconhecimento biométrico, e que essas gravações também incluem áreas de circulação restrita. As áreas restritas serão claramente identificadas por placas e o acesso a estas é proibido sem autorização prévia.
  2. Legítimo Interesse, Reconhecimento Biométrico e Acesso Restrito: Ressaltar que a gravação de imagens, a coleta de dados biométricos e a restrição de acesso a certas áreas se baseiam no legítimo interesse da organização. Essas medidas são para garantir a segurança das instalações, dos visitantes e dos funcionários, prevenir incidentes ou infrações, ou cumprir com regulamentos locais ou setoriais. Enfatizar que este legítimo interesse foi cuidadosamente avaliado contra os direitos e liberdades do titular dos dados.
  3. Transparência e Uso das Imagens e Dados Biométricos: Esclarecer que as imagens e os dados biométricos capturados, inclusive nas áreas de circulação restrita, serão utilizados exclusivamente para os fins mencionados. A organização se compromete a não usar as imagens ou dados biométricos para qualquer outra finalidade sem o consentimento explícito do visitante, a menos que seja legalmente obrigada a fazê-lo.
  4. Armazenamento, Segurança e Acesso às Imagens e Dados Biométricos: Declarar por quanto tempo as imagens e os dados biométricos serão armazenados e quais medidas de segurança serão aplicadas para proteger os dados. Afirmar que o acesso às imagens e aos dados biométricos será limitado a pessoal autorizado e que todos os pedidos de terceiros para acessar as imagens ou os dados biométricos serão tratados de acordo com a lei.
  5. Direitos do Titular dos Dados e Contato do DPO: Assegurar aos visitantes que eles possuem direitos sobre suas imagens e seus dados biométricos, incluindo o direito de acessar, corrigir, excluir seus dados, ou se opor ao tratamento baseado no legítimo interesse. Deve ser fornecido o contato do Encarregado (DPO) da organização para perguntas ou preocupações sobre esta política ou para o exercício desses direitos.


Este é um exemplo simples para uso do Chat GPT 4 como assistente de redação, entendo que seja um ótimo ponto de partida que deve ser fortalecida com debates, estudo de regulamentações e alinhamento com outras políticas e experiências.


Bom fim de semana.


Obrigado,


Abraço,


FNery


Descrição da imagem no Dall-e: "Please create a highly detailed, realistic and sophisticated illustration of a broad view of a visitor's reception area in a corporate setting, complete with modern CCTV cameras, professional security personnel, sleek turnstiles, and clear signs indicating surveillance in progress."


TCU adota modelo personalizado de assistente de redação baseado em inteligência artificial: https://portal.tcu.gov.br/imprensa/noticias/tcu-adota-modelo-personalizado-de-assistente-de-redacao-baseado-em-inteligencia-artificial.html


Ótimo artigo de Isabel Clemente no Valor (para assisnantes) - Agora é só escrever: https://valor.globo.com/opiniao/isabel-clemente/coluna/agora-e-so-escrever-mentira.ghtml

(Art 50) Boas Práticas e Governança Videovigilância Chat GPT Políticas e Publicações Corporativas
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato