Bom Dia LGPD

Fraudes na Requisição de Dados

#bomdialgpd


A maior parte das organizações têm recebido poucas requisições de titular, mas isso não deve ser motivo para baixar a guarda, qualquer requisição deve ser tratada com atenção e cuidado, tanto para disponibilizar as informações corretas como para precaver-se contra fraudes.


O objetivo da LGPD é "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural." (art 1), na lei, a "pessoa natural" ganha o rótulo de "titular", e este titular tem o direito ao "acesso facilitado às informações sobre o tratamento de seus dados" (art 9) e a "obter do controlador, em relação aos dados do titular por ele tratados" (art 18). Estes direitos são chamados em inglês de "subject access request" (SAR) ou "data subject access request" (DSAR).


o recurso para garantir os direitos não deve servir para fraude ou mau uso.


Este é um direito garantido a todos os titulares que têm seus dados tratados pelo controlador e este precisa que estar atento para que o recurso disponibilizado para atender os direitos não sirvam para fraude ou mau uso. Algumas possibilidades que simulam casos reais:


  • Um titular estava envolvido em um litígio e a outra parte fingiu ser o próprio titular e, com um email falso, requisitou dados pessoais por meio do serviço de uma empresa que o titular havia trabalhado. O controlador em questão não realizava a autenticação, e aceitou os dados básicos de cadastro para entregar por email os dados requisitados. Neste caso a parte não desejava utilizar estes dados como prova, mas obter informações para compor o processo judicial;
  • Golpistas ao avaliar que um controlador franqueava o acesso aos dados pessoais de forma fácil e automática criou um processo para obter dados pessoais de titulares e aplicar golpes;
  • Uma empresa financeira, ao saber que o contratante havia sido cliente de uma grande organização, exigiu o relatório de dados pessoais do titular como um dos documentos para fechar o negócio.

O controlador deve estar atento a duas obrigações:


  1. Fornecer os dados pessoais ao titular que requisitar; e
  2. Não fornecer os dados do titular a uma pessoa errada ou a um robô.

Há três principais ações que devem ser tomadas para garantir um serviço de atendimento ao direito do titular íntegro e protegido contra fraudes:


  1. Autenticar o titular para garantir que a solicitação está sendo realizada por quem tem direito (isso pode ser feito por exemplo por meio de ferramentas de autenticação similares às utilizadas pelos bancos para abrir contas on-line; por MFA - Múltiplos Fatores de Autenticação; por serviços de autenticação como o Gov.BR; pela verificação de documentos remota, on-line por videoconferência gravada, ou digital; ou por um conjunto destes);
  2. Manter uma política interna para o entendimento da demanda, coleta dos dados pessoais e entrega do resultado; e
  3. Implementar um procedimento para a entrega do resultado. Conforme o caso, a entrega pode ser realizada também meio de videoconferência gravada.

Projetos de conformidade com a LGPD não são iguais, as atividades dependem da forma de uso de dados pessoais pelos titulares, da avaliação de riscos e da decisão baseada nos objetivos de negócio. Cada controlador deve utilizar um modelo baseado em gestão de riscos para medir o grau de sofisticação das medidas a serem adotadas.


Inclui nos comentários dois links do ICO sobre o assunto.


Boa semana,


Obrigado,


Abraço,


FNery


Descrição da imagem no DALL-E: "Please create an up-close, detailed image of a set of dice rolling on a green-felted casino table, surrounded by the excitement and drama of the casino environment. Hyperrealistic, photography, futuristic, 3D rendering, digital art, highest quality, highest detail."

(Art 46 .. 49) Segurança da Informação
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato