Setor de TI e implantação de regras de proteção de dados: uma intersecção necessária.

um aspecto fundamental da governança de TI é a proteção da informação e de sua confidencialidade, integridade e disponibilidade

O Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor no dia 25/05 afetando profundamente o modo como os dados pessoais dos cidadãos europeus devem ser tratados. Um ponto tem me chamado a atenção (aqui pelos lados do Brasil) muita gente do direito envolvida com os acontecimentos, mas pouca gente da área de Segurança da Informação – pelo menos essas pessoas não tem se manifestado – interessante esta constatação visto que a área mais afetada é a de SI especialmente na subárea de Governança de TI. Normas de proteção de dados afetam profundamente todo o processo de desenvolvimento, implantação e utilização de um sistema, afetam também a elaboração das políticas de segurança que devem ser muito mais rigorosas especialmente no quesito concessão de acesso. Tenho comigo a velha máxima de que as pessoas só devem ter acesso aos dados de que precisam para exercer bem sua função dentro de uma organização, nem mais, nem menos. Por exemplo, em um consultório a secretária não deve sob hipótese alguma ter acesso aos resultados dos exames dos pacientes que constam no sistema, porque essa informação é sensível, confidencial e possui alto valor de mercado . Diante disso, não tenho dúvidas de que o setor de TI é o mais afetado pelas mudanças trazidas por esse tipo de norma. Como o #GDPR não é um guia de como a proteção de dados deve ser implementada, mas é uma norma que prevê punições para quem não estiver em conformidade com os seus ditames, cabe ao profissional de TI, generalista ou especialista em #SI buscar na família #ISO27000 as especificações para a implantação de um sistema efetivo de gerenciamento de segurança da informação. Implementar a #ISO27001 é estar em conformidade com o GDPR e estar alinhado com a NIS Directive – legislação da EU sobre cibersegurança – o que significa estar apto para aproveitar oportunidades que surgirem ao redor do mundo. #direitodigital #digitalsecurity #womanintech #informationsecurity

“Quem cala não diz nada” – em épocas de GDPR o ditado popular se aplica perfeitamente.

IMG_20180523_112247_848

Assunto de maior importância para profissionais das áreas de #direito, #administração, #tecnologia abrangendo todos aqueles que coletam, utilizam ou tratam dados pessoais é a compreensão do que é CONSENTIMENTO.

Sexta – 25/05/2018 – entra em vigor a #GDPR – responsável por implementar novas regras acerca da proteção de dados – e traz consigo a imprescindibilidade do respeito à vontade do indivíduo, empoderando-o a partir da necessidade de CONSENTIMENTO claro e inequívoco para a realização de operações que envolvam os seus dados.

Pesquisa publicada ontem (22/05) pela Securityreport (http://www.securityreport.com.br/destaques/apenas-7-das-empresas-estao-em-conformidade-com-gdpr-ate-agora/#.WwWAX-4vxQI) apresenta o dado de que apenas 7% das empresas estão em conformidade com o GDPR e que cerca de 46% das organizações globais ouvidas acreditam que atingirão essa conformidade antes da entrada em vigor do novo regulamento.

Conforme Ronaldo Lemos, uma das referências brasileiras na área de #Direito Digital em entrevista concedida para o site meio&mensagem (http://www.meioemensagem.com.br/home/midia/2018/05/21/a-gdpr-tera-um-efeito-viral.html) a nova regulamentação terá efeito sobre todo o mundo empresarial, inclusive sobre as grandes de tecnologia que estão adaptando suas políticas de privacidade para estarem em acordo com a normatização europeia.

Para quem tiver interesse o texto da GDPR está disponível em português no link: http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=PT

Importante todos ficarmos atentos, grandes mudanças tendem a ocorrer em se tratando de Proteção de Dados Pessoais, basta perceber a crescente movimentação do legislativo brasileiro em torno da aprovação de um Projeto de lei que contemple a perspectiva brasileira em torno do tema.

#tech #direitodigital #direitoeletronico #protecaodedados #privacidade #direitosfundamentais #technology

 

AUTODETERMINAÇÃAO A

“Este é um mundo de executivos visionários, médicos idealistas, cientistas de dados, vendedores inteligentes e pacientes assediados porque dados médicos são tão ou mais vitais para o comércio e para a ciência quanto são potencialmente perigosos para o bem-estar do indivíduo” (Adam Tanner)

Os negócios estão cada vez mais dependentes dos dados dos indivíduos. De pequenas gotas fornecidas diariamente por cada um de nós para as mais variadas empresas surge um oceano de informação que se corretamente tratada tem valor comercial de diamante.

De um lado a ciência que enxerga os dados médicos como fonte de pesquisa para evolução de tratamentos, por outro um mercado que os trata como fonte de lucro há ainda um terceiro elemento nessa relação, o paciente, é ele que pode ser o mais prejudicado mas também o mais beneficiado pelo uso desses dados.

Um exemplo de como esse tipo de informação ao ser ventilada pode prejudicar o indivíduo aconteceu com o ator Charlie Sheen que após ser diagnosticado com HIV foi vítima de #extorsão por cerca de quatro anos, que lhe custou muito transtorno e cerca de $ 10 mi.

Não há mais como simplesmente proibir o uso desses dados, é algo inviável que beira ao impossível. Assim, resta-nos construir alternativas legais e soluções tecnológicas para que o tratamento de dados seja feito de forma ética. Legalmente é provável que o melhor caminho seja oferecer garantias concretas de #autodeterminação informativa aos indivíduos. Tecnologicamente uma solução possível é a utilização de #blockchain – apesar das discussões sobre a sua sustentabilidade energética –  em artigo publicado na página do #Serpro a utilização dessa tecnologia é uma possibilidade para “permitir que dados médicos […] sejam digitalizados e fiquem disponíveis para toda rede, mas com o acesso controlado pelo paciente”. Seria essa também uma forma de impedir que esses dados fiquem em bases de dados esparramadas nos mais diferentes locais que armazenam dados médicos e que são alvos fáceis para atacantes e também para aqueles que de má-fé resolvam comercializar essas informações. #direitodigital #tech #techandlaw #health #ehealth #lawstudents

“What is wrong with replacing imperfect bits of your body with artificial parts that will allow you to perform better – or which might allow you to live longer?” Kevin Warwick – The Guardian.

 

transumanismo

 

Há pouco tempo um seriado nos apresentou hipóteses de vida eterna para o ser humano – eu não assisti todos os episódios por falta de tempo –  mas #Altered Carbon – categorizado como ficção científica – tratava de seres humanos que não morriam e mais do que isso, continuavam jovens para sempre, desde que tivessem dinheiro para substituir partes do seu corpo por próteses desenvolvidas a partir de altíssima tecnologia.

Hoje encontro no The Guardian a reportagem intitulada – No death and an enhanced life: Is the future transhuman? Disponível aqui: https://www.theguardian.com/technology/2018/may/06/no-death-and-an-enhanced-life-is-the-future-transhuman que apresenta uma discussão sobre o #transumanismo e o que já é realidade, como, por exemplo, atletas que utilizam próteses conseguindo correr cada vez mais rápido, até mais rápido do que aqueles que usam as próprias pernas.

Esquecendo o lado da tecnologia o que importa aqui é a discussão #ética em torno no assunto: quanto ético é alterar humanos para que adquiram performance, para que vivam “eternamente”? Talvez o principal ponto aqui é se essa tecnologia estaria disponível para todos ou apenas para quem por ela pudesse pagar.  Por outro lado quanto ético é deixar pessoas sofrendo e morrerem de forma prematura por não considerarmos ético o uso dessas tecnologias?

Outro ponto a ser discutido e agora envolvendo o #direito – esses avanços tecnológicos serão considerados #crime? Uma pessoa que permita alterar seu corpo para que se torne melhor do que os outros em uma determinada área, poderia ser considerada uma #fraude? Como lidar com situações de desigualdade social cada vez mais agravada pela utilização desse tipo de tecnologia?

Essa é mais uma discussão pairando sobre a sociedade entre tantas outras que talvez sejam mais urgentes e também mais importantes… os avanços tecnológicos são um fato, quanto rápido eles acontecerão ainda não é possível prever.

#direitodigital #ia #inteligenciaartificial #transhumanism #tech

Sobre a digitalização de documentos de saúde no Brasil, carroças, bois e abóboras.

IMG_20180402_133723_912

Colocar a carroça na frente dos bois, é um ditado bem comum aqui na região onde vivo e tem o significado de atropelar as coisas, de tomar decisões sem planejar, é um velho problema do Brasil. Sabe aquele projeto que o cliente “queria pra ontem” e ao invés da gente fazer o desenho, analisar, corrigir, partimos direto para a execução. Quem nunca fez isso que atire a primeira pedra.

Resultado: paredes tortas, cômodos sem janelas, calçadas sem escoamento de água, pontes que caem, casas que afundam, prédios que desmoronam. Mal do Brasil e do brasileiro e na área tecnológica não seria diferente, a inovação vem nos atropelando e sequer paramos para analisar qual o melhor passo ou pelo menos o passo menos inseguro a dar.

Quando ocorre a junção saúde – no quesito dados dos pacientes – e tecnologia, chegamos ao ápice da tragédia anunciada.

Se a solução para nos livrarmos de um monte de papel é digitalizar tudo, lá vamos nós, sem o menor preparo, editamos uma lei e está tudo certo.

A melhor tecnologia de armazenamento é na cloud (armazenamento na nuvem)? Ok, vamos pegar todos os prontuários e colocar lá e os crackers -ah esses duendes que vivem de surrupiar nossos dados – fazem a festa.

Com a iminente aprovação do PLS 167/2014 (que permite a digitalização de todos os prontuários médicos existentes) estamos a beira de banqueteá-los com milhões de dados e em consequência com milhões de dólares, porque como venho rotineiramente afirmando, dados médicos valem muito dinheiro, e o mercado está repleto de compradores.

Qual a solução? Armazenar tudo em papel? Do jeito que tratamos a segurança digital no Brasil, eu diria que sim, essa é a melhor solução, contudo, é uma solução impraticável.

Precisamos sim usar tudo de melhor que a tecnologia nos traz, a economia de espaço no armazenamento e a de tempo na busca de qualquer informação sobre um paciente, a possibilidade de se estar com a informação a um clique na hora que for necessária faz parte da universalização do atendimento médico e certamente favorece o atendimento do fundamento constitucional da dignidade humana, sem contar com a economia de recursos, que pode ser feita ao evitar repetições de exames, por exemplo.

Incontestável também é que não adianta esperar por nossos legisladores, a construção de qualquer lei no Brasil anda a passos lentos, vide a famosa lei de proteção de dados que até hoje não foi aprovada.

A mobilização mais uma vez terá que partir da sociedade civil, começando pela elaboração de um Código de Boas Práticas na área de armazenamento de registros médicos, como existe na Inglaterra, onde existe um guia, que apoiado em outros documentos técnicos – como por exemplo, um que define os critérios de confidencialidade – que prevê padrões e práticas para o armazenamento seguro de dados médicos.

Quanto ao PLS 167/2014, em minha opinião, novamente estamos produzindo uma lei com buracos, onde dizemos o que se pode fazer, mas não como se deve fazer. Confiar somente à certificação digital a confidencialidade e a integridade de uma base de dados com informações absolutamente sensíveis e que se divulgadas ao mercado podem submeter o ser humano às mais desprezíveis práticas discriminatórias, é no mínimo temeroso.

Definitivamente não podemos aplicar para assunto tão importante aquele outro ditado “é no andar da carroça que as abóboras se ajeitam” – que significa algo como: deixa estar que com o tempo as coisas se ajeitam sozinhas – uma vez que dados sensíveis violados causam um dano de tal magnitude ao indivíduo, que será impossível voltar a situação para o que ela era antes, ou para o status quo ante, como queiram.

Em se tratando de segurança digital a prevenção sempre será o melhor caminho. Precisamos lembrar que: todos os sistemas são violáveis, uns mais do que os outros.

Ou como diz alguém que eu não recordo o nome agora “todos os sistemas serão invadidos, só não sabemos o dia e a hora”.

Até o próximo post!

 

Dados médicos a venda. Quem deseja comprar?

A notícia no The Guardian é clara – “Nossos dados médicos estão à venda, um negócio que vale bilhões”

flying-2891745_1280

 

Confessionário, essa palavra poderia ser perfeitamente usada para descrever um consultório médico. Para muitos de nós o médico é quase um sacerdote para quem revelamos nossos segredos mais íntimos…

Agora você já pensou se imediatamente ao sair da consulta o médico começasse a gritar por todos os corredores tudo que contamos? Ou se ele entrasse em contato com nosso parceiro, nosso empregador ou nossos amigos e lhes contasse o resultado de todos nossos exames? Como nos sentiríamos? Qual o impacto que essa atitude teria em nossa vida?

Muitos podem dizer que não tem nada a esconder talvez até por nunca terem parado para refletir sobre algumas situações. Assim, façamos uma breve reflexão: como nosso parceiro reagiria se soubesse por outras pessoas que somos portadores de HIV? O que nosso empregador faria se fosse notificado por nosso médico sobre possuirmos algum tipo de doença que eventualmente nos afastaria do trabalho?  Como nosso plano de saúde nos trataria se nosso histórico médico anterior à contratação fosse revelado? Honestamente, a maioria de nós nem conseguiria tirar uma carteira de motorista porque uma das perguntas presentes no formulário da avaliação médica é se já tivemos alguma tontura ou desmaio.

O que ocorre é que pessoas portadoras de doenças, inclusive as que podem ser facilmente tratadas, são discriminadas. Nenhum empregador fica feliz quando apresentamos um atestado médico, assim como a seguradora de saúde também não dá pulos de alegria ao ter que pagar mais uma consulta ou bancar uma cirurgia, por exemplo. E por todos esses motivos que os nossos dados médicos são (ou deveriam ser sigilosos), é o que dizem os Códigos de Ética da área de saúde. Ou seja, o sigilo é direito do paciente e dever do médico. Vale lembrar que o médico goza da prerrogativa do sigilo profissional.

Porém (e tudo na vida tem um porém), hoje os resultados dos nossos  exames, as doenças que temos e o histórico familiar médico, os remédios que tomamos, além de nossos hábitos tais como a prática de atividade física, se bebemos ou fumamos, nossos traços genéticos (e que fique claro que não é preciso fazer um exame de DNA para isso), tudo isso consta no nosso PEP -Prontuário Eletrônico do Paciente – tudo digital, aquela ficha antiga guardada no arquivo do consultório ou do hospital é coisa do passado. A modernidade chegou no setor da saúde trazendo benefícios obviamente, hoje, nosso médico pode carregar o consultório no bolso, literalmente, porque é possível através do smartphone acessar os dados dos pacientes. E aí nos vemos às voltas com o problema da segurança digital, tudo porque com a digitalização de nossas informações médicas elas estão mais expostas e essa exposição desperta interesse nos criminosos porque dados médicos valem muito dinheiro. Para termos noção do valor monetário dessas informações elas são negociadas no mercado negro (Deep Web) por valores que variam entre quatro e seis vezes o valor pago por um número de cartão de crédito válido.

medical-563427_1280

Os altos valores atribuídos a esse tipo de informação se justificam por vários motivos, a título de exemplo, vou enumerar apenas três:

1 – golpes, pessoas de má-fé ao terem acesso às nossas informações médicas se passam por falsos médicos oferecendo produtos que milagrosamente curaram “qualquer doença”, ou ainda criminosos que se utilizam dessas informações para chantagearem os familiares se aproveitando do momento de fragilidade emocional;

2 – indústria farmacêutica – aqui o interesse é dúbio, se por um lado se utilizam dessas informações para pesquisas sobre novos medicamentos, por outro também atuam com interesses escusos ao explorarem essas informações para elaborarem seu marketing direcionado para um nicho específico da população;

3 – empresas de seguro saúde (planos de saúde) – que ao terem acesso a esses dados se negam a oferecer seu serviço para uma determinada pessoa, ou dificultam o acesso a determinadas coberturas;

Essas são situações mais palpáveis, mas tudo pode ficar muito pior se considerarmos que essas informações poderiam chegar ao conhecimento do empregador. E aqui sejamos honestos, quem contrataria alguém doente? Ou ainda pior, já chegando numa espécie de “teoria da conspiração”, que empresa contrataria alguém que pelo perfil traçado nos exames médicos tem altas chances de ser portador (embora ainda não saiba) de uma doença degenerativa? Stefano Rodotà trata um pouco sobre essa questão em sua obra “A vida na sociedade da vigilância”.

Aqueles com maior conhecimento tecnológico podem alegar que existem formas de anonimizar (desvincular o nome do paciente dos dados médicos, tratando essas informações apenas como estatística), contudo, essa promessa apresenta falhas, e é o que defende Adam Tanner em seu livro Nossos corpos nossos dados (em tradução livre). Se há um algoritmo que consegue separar nome e dados médicos, existem algoritmos que conseguem cruzar os dados “anonimizados” obtidos de uma ficha de saúde com os nossos dados pessoais que estão em nossas redes sociais e emails e tornam possível a repersonalização de qualquer paciente. Importante aqui lembrar que ao falarmos de Internet estamos falando de uma grande rede onde basta a utilização de alguns algoritmos para que tudo se interligue.

A pergunta que fica é: como dados que são sigilosos vão parar na Internet?

A exposição indevida ocorre principalmente de duas formas:

  1. ataques cibernéticos como os ocorridos no ano passado (https://g1.globo.com/sp/ribeirao-preto-franca/noticia/apos-ciberataque-hospital-de-cancer-de-barretos-estima-5-dias-para-normalizar-atendimentos-em-todo-o-pais.ghtml)
  2. ou porque algum colaborador da empresa de saúde copia os dados e os repassa.

Por estarmos tratando de uma situação tão delicada com dados extremamente sensíveis e diante da qual a impotência do paciente é absoluta, compete exclusivamente às casas de saúde trabalharem para minimizar os riscos. Digo minimizar porque quando se trata de segurança digital sempre haverá uma brecha e a eliminação total do risco é tarefa praticamente impossível.

A regra de ouro é atuar de modo preventivo. Investir na qualificação dos colaboradores de forma que entendam as consequências dos seus atos, investir em uma boa política de segurança da informação de forma a garantir que cada pessoa acesse somente aqueles dados que são necessários para a realização do seu trabalho e por fim em ambientes digitalmente seguros: redes isoladas, firewall, atualização do sistema operacional utilizado nas estações de trabalho associados a bons antivírus diminuem substancialmente o risco.

Pelo lado jurídico a utilização correta e integrada desses mecanismos preventivos pode proporcionar uma boa tese de defesa culminando com o afastamento da responsabilidade civil em caso de ações de reparação de danos motivadas pelo vazamento desses dados sigilosos.  Considerando ainda que a relação jurídica estabelecida entre o estabelecimento de saúde e os pacientes é de consumo ensejando, portanto, responsabilidade civil objetiva, e que segundo o Marco Civil da Internet a correta guarda dos dados é responsabilidade de quem os coleta, armazena e trata, é prudente que o profissional/estabelecimento de saúde opte por adotar todas as precauções possíveis por se tratarem de dados com alta carga valorativa monetária e também emocional.

Uma observação final, uma regra que vale para a coleta, armazenamento e tratamento de qualquer dado no caso se pretender utilizá-los, utilizar a regra do consentimento do paciente, de forma clara e inequívoca, por escrito, deixando detalhadamente especificado para quais finalidades eles serão utilizados.

Link para a reportagem completa clique aqui.

 

Regras são regras! A forma até pode mudar mas elas ainda estarão presentes.

Por que estou compartilhando informações de um evento de tecnologia aqui?

Porque isso tem tudo a ver com Direito Digital!

Quando compramos um café numa destas máquinas espalhadas por aí, temos uma relação contratual entre o homem e a máquina onde esperamos receber algo em troca de moeda. Esta relação também está presente quando uma máquina estabelece interconexão com outra. Em ambos cenários temos os Smartcontracts ou contratos inteligentes que regem toda a negociação inter equipamentos e entre as pessoas e os sistemas automatizados..

proteção de dados ganha um novo significado nestes moldes e mais do que nunca se discutirá a responsabilidade civil envolvida em caso de danos provocados por máquinas (robôs) em outras máquinas ou mesmo em seres humanos, afinal de contas quem responde se houver um cyberataque que paralise todo o transporte público, por exemplo?!

A tecnologia está aí, cabe ao direito se reinventar e discutir novas soluções para novas demandas.

 “O mundo moderno é o mundo do contrato” – Caio Mário da Silva Pereira.

Sobre o evento que citei é a primeira edição do Smart City, segue abaixo trecho da reportagem de Elena Costa repórter da StarSe:

“Previsto para ocorrer nos dias 28 de fevereiro e 1º de março no Expo Renault, o evento tem como expectativa 5 mil visitantes, 3 diálogos, 13 conferências, 60 palestrantes e moderadores, 3 sessões plenárias e 8 sessões paralelas que terão como temas principais tecnologia disruptiva, governança, futuras cidades sustentáveis e inovação digital e desenvolvimento econômico.” 

Quem quiser ver na íntegra é só acessar: https://conteudo.startse.com.br/…/1a-edicao-do-smart-city-…/ 

Quer saber mais sobre Direito e Tecnologia? Siga-nos nas redes sociais: @guardedireito no Instagran e também no Facebook www.facebook.com/angelamariarosso.

Se preferir pode nos contatar pela nossa página www.guardedireito.com/contato.

GuardeDireito e até mais.