Bom Dia LGPD

Google: novo serviço de privacidade

#bomdialgpd


Semana passada o Google divulgou um novo serviço para possibilitar que dados pessoais possam ser retirados de suas buscas, coincidência ou não, ocorreu logo após a comunidade européia anunciar o acordo para aprovação do DSA - Digital Services Act (chamado por alguns de 'nova GDPR') que influenciará os serviços digitais e aumenta o controle e fiscalização sobre as grandes plataformas digitais, assim como trata de assuntos como segurança, privacidade, proteção de dados, fakenews, algoritmos.


A comunidade européia anunciou o acordo para aprovação do DSA Digital Services Act


O Google é uma ferramenta de amplo uso e as buscas são uma atividade universal, é importante que o DPO acompanhe suas adequações à privacidade pois elas podem influenciar no negócio de sua organização. O caso que não tem uma relação 1:1 com os requisitos da LGPD e podem até exigir regulamentação no futuro.


A ISO 27701 no Brasil traduziu o PII como 'DP - dado pessoal'


No dia 27 o Google disponibilizou um novo recurso para que os titulares solicitem que seus dados de identificação não apareçam nos resultados das buscas. Assim como a maior parte das publicações americanas, o Google chama este tipo de dado de PII (pi-ai-ai) - informações de identificação pessoal. A ISO 27701 no Brasil traduziu o PII como 'DP - dado pessoal', mas o conceito de dado pessoal na LGPD se aplica a um universo bem maior que o PII - veja no artigo de ontem do Alberto.


Tenho defendido que a ANPD deve pensar em criar um glossário oficial com o relacionamento entre os termos adotados no Brasil, EUA e Europa, com a maturidade da LGPD este entendimento se tornará importante nos negócios.


O novo recurso funciona mais ou menos assim: caso o titular identifique um ou mais sites que contenham seus dados cadastrais (veja a lista no final) e não deseja que eles apareçam na busca do Google, é possível preencher um formulário (link no primeiro comentário) fornecendo os tipos de dados, a URL, capturas de tela e os tipos de busca que chegam a estes dados para fazer a solicitação. Após a avaliação e aprovação, os dados deixarão de aparecer nos resultados das pesquisas. Não há informação sobre o tempo de resposta do Google.


Após a aprovação, os dados pessoais deixam de aparecer no resultado das buscas mas continuam armazenados no local de origem


Além de ser um serviço para o titular, caso sua organização possua algum produto ou serviço com dados pessoais na internet, vale estar atenta.


Ainda há alguns pontos a esclarecer, por exemplo:


  • como o Google conseguirá autenticar o titular que fez a requisição ou seu representante? (por exemplo, como meu browser estava logado no Google e eu tenho um segundo fator de autenticação, parece que foi considerado suficiente para me autenticar, mas como são tratados os homônimos mesmo que parciais?)
  • que procedimento será tratado se alguém conseguir ludibriar a autenticação do Google e solicitar a exclusão de outro titular?
  • a retirada dos resultados será aplicada apenas ao buscador do Google ou também em outros serviços e APIs?
  • como serão tratados dados pessoais armazenados em diferentes países?
  • os dados pessoais deixarão de aparecer nos resultados do Google mas continuarão em outros buscadores com o Bing, haverá algum tipo de integração?


Gostei da iniciativa, este assunto é amplo, polêmico, sem padronização, heterogêneo em todas as direções, passível de erros e fraudes e cheio de exceções. Mas faz parte do desafio, após décadas de coleta e uso de dados pessoais sem regulamentação, a adequação não será imediata, o legado é muito grande.


Veja no fim do texto a lista dos dados pessoais de identificação considerados pelo Google, e no primeiro comentário o link deste serviço.


No dia 12 participarei com o Dr Gilberto Martins e meu sócio Alberto Bastos da live 'Governança em Privacidade e o Escritório do DPO', fique à vontade para se inscrever e divulgar para sua equipe. Até lá.


Obrigado,


Abraço,


FNery


Lista de dados pessoais (fonte: Central de Ajuda do Google):


  • Números de identificação nacional confidenciais (documento de identificação), como Número de Identificação de Previdência Social dos EUA, Número Único de Identificação Fiscal da Argentina, Cadastro de Pessoas Físicas do Brasil, Número de Registro de Residente da Coreia, Bilhete de Identidade de Residente da China etc.
  • Números de contas bancárias
  • Números de cartões de crédito
  • Imagens de assinaturas escritas à mão
  • Imagens de documentos de identificação
  • Registros altamente pessoais, restritos e oficiais, como históricos médicos
  • Dados de contato pessoais, como endereços físicos, números de telefone e endereços de e-mail
  • Credenciais de login confidenciais

Comentários:


Solicitação para remover suas informações pessoais no Google:https://support.google.com/websearch/troubleshooter/9685456#ts=2889054%2C2889099%2C9166584%2C9171202%2C11925602

(Art 46 .. 49) Segurança da Informação
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato