Setor de TI e implantação de regras de proteção de dados: uma intersecção necessária.

um aspecto fundamental da governança de TI é a proteção da informação e de sua confidencialidade, integridade e disponibilidade

O Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor no dia 25/05 afetando profundamente o modo como os dados pessoais dos cidadãos europeus devem ser tratados. Um ponto tem me chamado a atenção (aqui pelos lados do Brasil) muita gente do direito envolvida com os acontecimentos, mas pouca gente da área de Segurança da Informação – pelo menos essas pessoas não tem se manifestado – interessante esta constatação visto que a área mais afetada é a de SI especialmente na subárea de Governança de TI. Normas de proteção de dados afetam profundamente todo o processo de desenvolvimento, implantação e utilização de um sistema, afetam também a elaboração das políticas de segurança que devem ser muito mais rigorosas especialmente no quesito concessão de acesso. Tenho comigo a velha máxima de que as pessoas só devem ter acesso aos dados de que precisam para exercer bem sua função dentro de uma organização, nem mais, nem menos. Por exemplo, em um consultório a secretária não deve sob hipótese alguma ter acesso aos resultados dos exames dos pacientes que constam no sistema, porque essa informação é sensível, confidencial e possui alto valor de mercado . Diante disso, não tenho dúvidas de que o setor de TI é o mais afetado pelas mudanças trazidas por esse tipo de norma. Como o #GDPR não é um guia de como a proteção de dados deve ser implementada, mas é uma norma que prevê punições para quem não estiver em conformidade com os seus ditames, cabe ao profissional de TI, generalista ou especialista em #SI buscar na família #ISO27000 as especificações para a implantação de um sistema efetivo de gerenciamento de segurança da informação. Implementar a #ISO27001 é estar em conformidade com o GDPR e estar alinhado com a NIS Directive – legislação da EU sobre cibersegurança – o que significa estar apto para aproveitar oportunidades que surgirem ao redor do mundo. #direitodigital #digitalsecurity #womanintech #informationsecurity

Anúncios

“Quem cala não diz nada” – em épocas de GDPR o ditado popular se aplica perfeitamente.

IMG_20180523_112247_848

Assunto de maior importância para profissionais das áreas de #direito, #administração, #tecnologia abrangendo todos aqueles que coletam, utilizam ou tratam dados pessoais é a compreensão do que é CONSENTIMENTO.

Sexta – 25/05/2018 – entra em vigor a #GDPR – responsável por implementar novas regras acerca da proteção de dados – e traz consigo a imprescindibilidade do respeito à vontade do indivíduo, empoderando-o a partir da necessidade de CONSENTIMENTO claro e inequívoco para a realização de operações que envolvam os seus dados.

Pesquisa publicada ontem (22/05) pela Securityreport (http://www.securityreport.com.br/destaques/apenas-7-das-empresas-estao-em-conformidade-com-gdpr-ate-agora/#.WwWAX-4vxQI) apresenta o dado de que apenas 7% das empresas estão em conformidade com o GDPR e que cerca de 46% das organizações globais ouvidas acreditam que atingirão essa conformidade antes da entrada em vigor do novo regulamento.

Conforme Ronaldo Lemos, uma das referências brasileiras na área de #Direito Digital em entrevista concedida para o site meio&mensagem (http://www.meioemensagem.com.br/home/midia/2018/05/21/a-gdpr-tera-um-efeito-viral.html) a nova regulamentação terá efeito sobre todo o mundo empresarial, inclusive sobre as grandes de tecnologia que estão adaptando suas políticas de privacidade para estarem em acordo com a normatização europeia.

Para quem tiver interesse o texto da GDPR está disponível em português no link: http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=PT

Importante todos ficarmos atentos, grandes mudanças tendem a ocorrer em se tratando de Proteção de Dados Pessoais, basta perceber a crescente movimentação do legislativo brasileiro em torno da aprovação de um Projeto de lei que contemple a perspectiva brasileira em torno do tema.

#tech #direitodigital #direitoeletronico #protecaodedados #privacidade #direitosfundamentais #technology

 

AUTODETERMINAÇÃAO A

“Este é um mundo de executivos visionários, médicos idealistas, cientistas de dados, vendedores inteligentes e pacientes assediados porque dados médicos são tão ou mais vitais para o comércio e para a ciência quanto são potencialmente perigosos para o bem-estar do indivíduo” (Adam Tanner)

Os negócios estão cada vez mais dependentes dos dados dos indivíduos. De pequenas gotas fornecidas diariamente por cada um de nós para as mais variadas empresas surge um oceano de informação que se corretamente tratada tem valor comercial de diamante.

De um lado a ciência que enxerga os dados médicos como fonte de pesquisa para evolução de tratamentos, por outro um mercado que os trata como fonte de lucro há ainda um terceiro elemento nessa relação, o paciente, é ele que pode ser o mais prejudicado mas também o mais beneficiado pelo uso desses dados.

Um exemplo de como esse tipo de informação ao ser ventilada pode prejudicar o indivíduo aconteceu com o ator Charlie Sheen que após ser diagnosticado com HIV foi vítima de #extorsão por cerca de quatro anos, que lhe custou muito transtorno e cerca de $ 10 mi.

Não há mais como simplesmente proibir o uso desses dados, é algo inviável que beira ao impossível. Assim, resta-nos construir alternativas legais e soluções tecnológicas para que o tratamento de dados seja feito de forma ética. Legalmente é provável que o melhor caminho seja oferecer garantias concretas de #autodeterminação informativa aos indivíduos. Tecnologicamente uma solução possível é a utilização de #blockchain – apesar das discussões sobre a sua sustentabilidade energética –  em artigo publicado na página do #Serpro a utilização dessa tecnologia é uma possibilidade para “permitir que dados médicos […] sejam digitalizados e fiquem disponíveis para toda rede, mas com o acesso controlado pelo paciente”. Seria essa também uma forma de impedir que esses dados fiquem em bases de dados esparramadas nos mais diferentes locais que armazenam dados médicos e que são alvos fáceis para atacantes e também para aqueles que de má-fé resolvam comercializar essas informações. #direitodigital #tech #techandlaw #health #ehealth #lawstudents

“What is wrong with replacing imperfect bits of your body with artificial parts that will allow you to perform better – or which might allow you to live longer?” Kevin Warwick – The Guardian.

 

transumanismo

 

Há pouco tempo um seriado nos apresentou hipóteses de vida eterna para o ser humano – eu não assisti todos os episódios por falta de tempo –  mas #Altered Carbon – categorizado como ficção científica – tratava de seres humanos que não morriam e mais do que isso, continuavam jovens para sempre, desde que tivessem dinheiro para substituir partes do seu corpo por próteses desenvolvidas a partir de altíssima tecnologia.

Hoje encontro no The Guardian a reportagem intitulada – No death and an enhanced life: Is the future transhuman? Disponível aqui: https://www.theguardian.com/technology/2018/may/06/no-death-and-an-enhanced-life-is-the-future-transhuman que apresenta uma discussão sobre o #transumanismo e o que já é realidade, como, por exemplo, atletas que utilizam próteses conseguindo correr cada vez mais rápido, até mais rápido do que aqueles que usam as próprias pernas.

Esquecendo o lado da tecnologia o que importa aqui é a discussão #ética em torno no assunto: quanto ético é alterar humanos para que adquiram performance, para que vivam “eternamente”? Talvez o principal ponto aqui é se essa tecnologia estaria disponível para todos ou apenas para quem por ela pudesse pagar.  Por outro lado quanto ético é deixar pessoas sofrendo e morrerem de forma prematura por não considerarmos ético o uso dessas tecnologias?

Outro ponto a ser discutido e agora envolvendo o #direito – esses avanços tecnológicos serão considerados #crime? Uma pessoa que permita alterar seu corpo para que se torne melhor do que os outros em uma determinada área, poderia ser considerada uma #fraude? Como lidar com situações de desigualdade social cada vez mais agravada pela utilização desse tipo de tecnologia?

Essa é mais uma discussão pairando sobre a sociedade entre tantas outras que talvez sejam mais urgentes e também mais importantes… os avanços tecnológicos são um fato, quanto rápido eles acontecerão ainda não é possível prever.

#direitodigital #ia #inteligenciaartificial #transhumanism #tech

Sobre a digitalização de documentos de saúde no Brasil, carroças, bois e abóboras.

IMG_20180402_133723_912

Colocar a carroça na frente dos bois, é um ditado bem comum aqui na região onde vivo e tem o significado de atropelar as coisas, de tomar decisões sem planejar, é um velho problema do Brasil. Sabe aquele projeto que o cliente “queria pra ontem” e ao invés da gente fazer o desenho, analisar, corrigir, partimos direto para a execução. Quem nunca fez isso que atire a primeira pedra.

Resultado: paredes tortas, cômodos sem janelas, calçadas sem escoamento de água, pontes que caem, casas que afundam, prédios que desmoronam. Mal do Brasil e do brasileiro e na área tecnológica não seria diferente, a inovação vem nos atropelando e sequer paramos para analisar qual o melhor passo ou pelo menos o passo menos inseguro a dar.

Quando ocorre a junção saúde – no quesito dados dos pacientes – e tecnologia, chegamos ao ápice da tragédia anunciada.

Se a solução para nos livrarmos de um monte de papel é digitalizar tudo, lá vamos nós, sem o menor preparo, editamos uma lei e está tudo certo.

A melhor tecnologia de armazenamento é na cloud (armazenamento na nuvem)? Ok, vamos pegar todos os prontuários e colocar lá e os crackers -ah esses duendes que vivem de surrupiar nossos dados – fazem a festa.

Com a iminente aprovação do PLS 167/2014 (que permite a digitalização de todos os prontuários médicos existentes) estamos a beira de banqueteá-los com milhões de dados e em consequência com milhões de dólares, porque como venho rotineiramente afirmando, dados médicos valem muito dinheiro, e o mercado está repleto de compradores.

Qual a solução? Armazenar tudo em papel? Do jeito que tratamos a segurança digital no Brasil, eu diria que sim, essa é a melhor solução, contudo, é uma solução impraticável.

Precisamos sim usar tudo de melhor que a tecnologia nos traz, a economia de espaço no armazenamento e a de tempo na busca de qualquer informação sobre um paciente, a possibilidade de se estar com a informação a um clique na hora que for necessária faz parte da universalização do atendimento médico e certamente favorece o atendimento do fundamento constitucional da dignidade humana, sem contar com a economia de recursos, que pode ser feita ao evitar repetições de exames, por exemplo.

Incontestável também é que não adianta esperar por nossos legisladores, a construção de qualquer lei no Brasil anda a passos lentos, vide a famosa lei de proteção de dados que até hoje não foi aprovada.

A mobilização mais uma vez terá que partir da sociedade civil, começando pela elaboração de um Código de Boas Práticas na área de armazenamento de registros médicos, como existe na Inglaterra, onde existe um guia, que apoiado em outros documentos técnicos – como por exemplo, um que define os critérios de confidencialidade – que prevê padrões e práticas para o armazenamento seguro de dados médicos.

Quanto ao PLS 167/2014, em minha opinião, novamente estamos produzindo uma lei com buracos, onde dizemos o que se pode fazer, mas não como se deve fazer. Confiar somente à certificação digital a confidencialidade e a integridade de uma base de dados com informações absolutamente sensíveis e que se divulgadas ao mercado podem submeter o ser humano às mais desprezíveis práticas discriminatórias, é no mínimo temeroso.

Definitivamente não podemos aplicar para assunto tão importante aquele outro ditado “é no andar da carroça que as abóboras se ajeitam” – que significa algo como: deixa estar que com o tempo as coisas se ajeitam sozinhas – uma vez que dados sensíveis violados causam um dano de tal magnitude ao indivíduo, que será impossível voltar a situação para o que ela era antes, ou para o status quo ante, como queiram.

Em se tratando de segurança digital a prevenção sempre será o melhor caminho. Precisamos lembrar que: todos os sistemas são violáveis, uns mais do que os outros.

Ou como diz alguém que eu não recordo o nome agora “todos os sistemas serão invadidos, só não sabemos o dia e a hora”.

Até o próximo post!

 

Credit Score, Sistemas de Cadastro Positivo, Compartilhamento de Dados de Crédito entre os bancos: Bem-vindos ao mundo da Discriminação Digital

O Cadastro Positivo (Lei 12414 de 2011) o Projeto de Lei 8184/2017 e o PLS 212/2017


Você já tentou criar um perfil diferente do seu no Facebook? Não estou falando de um perfil fake para perturbar ainda mais esse mundo já tão bagunçado, estou falando de um perfil diferente, onde você interaja com pessoas de um meio social completamente diferente do seu “habitat natural”. Se isso te despertou curiosidade, faça essa experiência, você vai perceber que a rede se comportará de acordo com os dados que coletar de você.

Você já se perguntou de onde vêm tantos spams no seu email? Ou o porquê de de repente começarem a aparecer tantas propagandas de um objeto que você tem pesquisado? E ainda mais grave do que isso: você já se pegou conversando com outras pessoas sobre taxas de juros de um empréstimo e percebeu que estava pagando mais do que seus colegas? Ou já se perguntou porque para algumas pessoas é exigida a apresentação de um caminhão de documentos para realizar um financiamento e para outras a aprovação de crédito é quase imediata?


Dados pessoais como insumo da economia …


Tudo isso tem uma explicação muito simples: nossos dados são o insumo que movimenta a atual economia. Fotos que publicamos, check ins que fazemos, remédios que compramos, posts que curtimos, contas que atrasamos, empréstimos que pedimos, a localização do lugar onde moramos dada pelo GPS do nosso celular, o meio de transporte que utilizamos, a escola que frequentamos ou que nossos filhos frequentam, páginas da internet que acessamos. TUDO, eu disse TUDO mesmo é utilizado pelas empresas para determinar a que mundo nós pertencemos e o que esse mundo pode nos proporcionar. Você já conseguiu perceber como isso pode estar afetando a sua vida? Se sim, esse texto talvez seja mais do mesmo pra você, se não, eu sugiro que você me acompanhe até o final para compreender um pouquinho como tudo isso afeta a nossa vida.


A análise de perfis do Facebook, apenas a ponta do Iceberg …


Na última semana estourou nas mídias, primeiramente nos jornais internacionais (eu particularmente vi a notícia no The Guardian) a notícia de que dados de pelo menos 50 milhões de usuários do Facebook foram utilizados indevidamente na última campanha dos EUA para presidente, esse foi o caso que apareceu, ganhou a mídia e fez as ações do Facebook desvalorizarem e uma parte da sociedade se mobilizar para que as pessoas excluíssem a referida rede social de suas vidas. Mas essa é só a ponta do Iceberg chamado USO INDEVIDO DE DADOS PESSOAIS.

Em outros textos já falei sobre como informações médicas podem ser usadas contra o cidadão, já falei também sobre o valor que nossos dados tem para a economia, hoje vou me concentrar na questão de como os Sistemas de Cadastro Positivo podem ser responsáveis pela discriminação de indivíduos.


O que é o credit score e o sistema adotado nos EUA


Os EUA são pioneiros na utilização desse sistema para concessão de crédito, há algum tempo eles vem utilizando o FICO scored que em uma definição superficial é um sistema de pontuação de crédito, que se comporta mais ou menos assim: quanto mais você consome e quanto mais você paga em dia suas contas, melhor será o seu credit score e mais fácil será a obtenção de crédito ou de um empréstimo, por exemplo. Em sua concepção original esse sistema deveria utilizar apenas dados de consumo das pessoas, mas não foi o que ocorreu, na verdade além dos dados de consumo o sistema passou a associá-los aos dados pessoais que estão disponíveis nos mais diversos locais da Internet inclusive nas redes sociais para fazer inferências de modo a prever gastos dos consumidores e se eles eram potencialmente lucrativos ou perdedores de dinheiro. Ou seja, se você mora em uma região menos favorecida da cidade, em um bairro mais popular, provavelmente você terá mais dificuldade em conseguir crédito. Conforme artigo publicado no site www.thenation.com em 2015 (disponível aqui: https://www.thenation.com/article/how-companies-turn-your-facebook-activity-credit-score/), a gestora do sistema de cadastro positivo americana já utilizava essas funcionalidades em seus algoritmos de cálculo de score em 2011 e era o resultado obtido do cruzamento de todos esses dados que ao cabo de tudo determinava se o indivíduo poderia obter crédito ou não. Um sistema altamente discriminatório. Não bastasse isso, há o agravante de que essas informações de score do consumidor são compartilhadas com todas as entidades bancárias, com toda a rede empresarial, prendendo o consumidor em uma teia de desigualdade da qual ele não tem como fugir.


Sistema de Cadastro Positivo: propulsor da economia ou mecanismo de exclusão social

Assim, o Sistema de Cadastro Positivo,  que deveria funcionar como um mecanismo propulsor da economia, onde bancos e financeiras emprestariam dinheiro cobrando menos juros de quem é bom pagador – o que em um primeiro olhar aparenta ser uma ótima ideia – tornou-se na verdade uma ferramenta de exclusão social.

Me explico: pessoas com pouco consumo ou que não tenham acesso a bancos ou ainda que não interajam no mundo virtual terão pouca ou nenhuma pontuação e na ausência dessa pontuação ou na existência de uma pontuação baixa – abaixo de determinados patamares estipulados – se por ventura necessitarem fazer um empréstimo pessoal ou financiar um bem ou ainda precisarem de crédito para fazer uma compra parcelada dificilmente conseguirão ter crédito e se conseguirem serão apenadas com aplicação de maiores taxas de juros. A consequência disso é a formação de um ciclo vicioso em que taxas de juros altas implicam em maior número de atrasos e de inadimplência, diminuindo mais ainda a pontuação do consumidor de forma que quanto menor a pontuação mais ele será cobrado e quanto mais ele for cobrado mais difícil de fazer os pagamentos, formando-se então uma economia de exclusão. Resumindo, quanto menor a pontuação (score) do indivíduo no Cadastro Positivo mais difícil conseguir um empréstimo ou um crediário e quando conseguir os juros que serão dele cobrados serão mais altos de forma que fique mais difícil manter-se adimplente.


Cadastro Positivo no Brasil

Leis nº 12.414/2011, LC nº 105/2001, PLS nº 212/2017 e PL nº8.184/2017

Embora poucos saibam no Brasil esse sistema de pontuação de crédito existe desde 2011 instituído pela Lei nº 12.414  que disciplina a formação e a consulta a banco de dados com informações de adimplência, de pessoas naturais ou de pessoas jurídicas para formação do histórico de crédito essa lei conjugada como a Lei Complementar nº 105 que dispõe sobre o sigilo das instituições financeiras até hoje regulamentam o funcionamento  do compartilhamento dos dados dos consumidores. Essas leis determinam o sigilo nas operações e nos serviços prestados pelas instituições financeiras e que o registro dos dados no sistema de Cadastro Positivo depende de autorização expressa por parte do consumidor.


Posicionamento do STJ


É esse também o posicionamento do STJ, que decidiu recentemente que nos contratos de adesão dos cartões de crédito não pode haver cláusula que autorize o compartilhamento dos dados de cartões de crédito de clientes pelos bancos. A manifestação do relator do processo se deu nos seguintes termos:

“A partir da exposição de dados de sua vida financeira abre-se leque gigantesco para intromissões diversas na vida do consumidor. Conhece-se seus hábitos, monitora-se sua maneira de viver e a forma com que seu dinheiro é gasto. Por isso a imprescindibilidade da autorização real e espontânea quanto a essa exposição.”

Posicionou-se o tribunal no sentido de que esse tipo de compartilhamento de informações exige o consentimento inequívoco do consumidor.

Ocorre que no final do ano passado foi aprovado no Senado o PLS nº 212 de 2017 (está aguardando votação na Câmara) que altera significativamente a LC nº 105, liberando o compartilhamento de dados financeiros e de pagamentos e de operações de crédito das pessoas físicas e jurídicas, um belo golpe no direito fundamental à privacidade. Paralelamente está em fase de parecer conclusivo na Câmara dos Deputados o PL nº 8.184 de 2017 que dá nova redação ao art. 4º da Lei do Cadastro Positivo, prevendo que a abertura do cadastro no Sistema de Cadastro Positivo será automática e ainda inclui uma nova disposição no mesmo artigo, criando o parágrafo 2º- A prevendo que a autorização concedida a um banco de dados específico aproveita a todos os demais, possibilitando assim o compartilhamento indiscriminado dos dados do consumidor.


Sistema do Cadastro Positivo e a discriminação social


O que isso em a ver com discriminação? Pois bem, tudo.

Tomemos o Brasil como exemplo, menos de 60% da população tem acesso à internet, conforme dados da Febraban em 2017 pelo menos 10% da população não tem nenhum tipo de acesso à rede bancária e somente 34% daqueles que possuem acesso aos bancos utilizam algum tipo de relacionamento de crédito, ou seja, um grande número da população está excluída desse sistema de pontuação implementado pelo cadastro positivo.

Mas o que acontece com quem não tem pontuação no credit score? Bem, essa pessoa está automaticamente fora da economia. Quer comprar uma geladeira? Sinto muito, junte seus “caraminguás” e espere 5 anos para fazer isso, você não tem pontuação, você não consegue crédito. Precisa de um empréstimo pessoal para uma situação de emergência? Você não tem pontuação no sistema de crédito? Então você não existe para a economia creditícia.


Numa conta rápida hoje no Brasil quase metade das pessoas não teriam pontuação, ou seja, meio país de excluídos, com crédito cada vez mais restrito, sendo verdadeiros fantasmas para uma economia baseada no credit score.


Dificuldades para produzir esse material


Escrever esse texto foi especialmente difícil, tentei condensar o máximo possível as informações porque esse é um tema que exige nossa atenção. A tecnologia que tem sido tão maravilhosa em unir pessoas, em extirpar fronteiras, em fornecer plataformas para fomentar a economia colaborativa, que pode nos servir com mecanismos anticorrupção, tem também um lado discriminatório que está sendo cada vez mais explorado. Os fatos apresentados nos remetem  à preocupação já expressa por Rodotà em sua obra “A vida na sociedade da vigilância”:

“A difusão do recurso aos perfis pode ocasionar a discriminação das pessoas que não correspondem ao modelo geral, acentuando a estigmatização dos comportamentos desviantes e a penalização das minorias… ao se privilegiar os comportamentos ‘conformes’ aos perfis predominantes, torna-se mais difícil a criação de novas identidades coletivas, com riscos para a própria dinâmica social e para a organização democrática”.

O sistema de credit score como hoje implementado e utilizado é um profundo desrespeito à dignidade humana, fundamento da democracia onde o sistema atua para privilegiar os privilegiados, agregado a tudo isso há um requinte de crueldade, não haverá o gerente do banco para ir conversar, a classificação de quem tem direito ou não será feita automaticamente por alguém a quem chamamos de bot*.


Bem-vindos ao novo (velho) modelo de mundo!


*Programa de computador capaz de automatizar procedimentos – robot (robô).