Idec aponta preocupação com privacidade em novo marketplace do Fleury

Idec aponta preocupação com privacidade em novo marketplace do Fleury. A nova LGPD (Lei Geral de Proteção de Dados) acelerou os questionamentos das entidades de defesa do consumidor. As abordagens ainda estão difusas, mas devem ganhar foco no médio prazo, segundo quem observa a evolução do assunto.

Dia 26 de outubrom a ONG Idec enviou questionamentos ao Fleury sobre o novo marketplace Saúde iD, lançado pelo laboratório em setembro para reunir prestadores de serviços, armazenar prontuários e outras funções como venda de medicamentos, alimentos saudáveis e uso de algoritmos para medicina preventiva.

O Fleury afirma que tem como princípio a administração responsável dos dados, seguindo as disposições da LGPD. Também diz manter rigoroso atendimento do sigilo médico.

Saúde ID

Em setembro, a rede de laboratórios Fleury anunciou o lançamento da plataforma Saúde ID, um marketplace que pretende reunir resultados de exames e informações correlatas para facilitar o acesso dos usuários a serviços médicos.

A iniciativa motivou o Instituto Brasileiro de Defesa do Consumidor (Idec) a notificar a empresa com base na Lei Geral de Proteção de Dados (LGPD), como informou a Folha de S. Paulo na segunda-feira dia 26. Isso porque os dados coletados pela plataforma são descritos como “sensíveis” pela legislação, e exigem atenção extra ao serem armazenados.

De acordo com o Serviço Federal de Processamento de Dados (Serpro), são consideradas sensíveis pela LGPD as informações que revelem as seguintes características dos usuários:

De acordo com o Serviço Federal de Processamento de Dados (Serpro), são consideradas sensíveis pela LGPD as informações que revelem as seguintes características dos usuários: 

  • Origem racial ou étnica;  
  • Convicções religiosas ou filosóficas;
  • Opiniões políticas e filiação sindical;
  • Questões relacionadas à saúde, vida sexual, genética ou biometria;

Conforme foi anunciado, uma das funções do Saúde ID seria armazenar e compartilhar prontuários com médicos, operadoras de planos de saúde, farmácias, entre outros. O Idec, então, pede que o Fleury forneça detalhes sobre como a ferramenta vai tratar e proteger esses dados.

O marketplace também tem a proposta de vender medicamentos e alimentos saudáveis, além de utilizar algoritmos para medicina preventiva. Nesse aspecto, o Idec questiona o que o grupo entende por “alimentação saudável”, e de que forma os dados pessoais dos pacientes serão utilizados para a venda de remédios.

Em nota enviada ao Olhar Digital, a diretora de Proteção de Dados do Grupo Fleury, Andrea Bocabello, afirmou que a rede “tem como princípio a administração responsável dos dados, seguindo as disposições da LGPD e o rigoroso cumprimento do sigilo médico”. A empresa garante ainda que vai armazenar apenas as informações permitidas pelos usuários.

Resultados Fleury

O Fleury (FLRY3) reportou forte alta dos indicadores financeiros e operacionais no terceiro trimestre, uma vez que a gradual flexibilização do isolamento social permitiu ao grupo de medicina diagnóstica ampliar receitas com consultoria e retomar procedimentos represados durante o pico da Covid-19.

A companhia anunciou na quinta-feira, dia 29 de outubro, que seu lucro de julho a setembro somou R$ 132,1 milhões, um aumento de 45% em relação a igual período de 2019.

Além da retomada dos chamados serviços eletivos, o Fleury teve o faturamento reforçado com a venda de testes para o coronavírus -já foram mais de 1,3 milhão – e por mais de 500 contratos de consultoria para empresas que estão retomando as atividades produtivas.

Assim, a receita líquida do trimestre cresceu 15,7%, para R$ 874,6 milhões. “Não apenas conseguimos protagonizar uma retomada vigorosa, como também (…) ajudamos centenas de empresas brasileiras a voltar ao trabalho de forma segura, saudável e sustentável”, afirmou a companhia no relatório.

E o resultado operacional medido pelo lucro antes de impostos, juros, amortização e depreciação (Ebitda), somou R$ 323,8 milhões, alta de 35,7% ano a ano e bem acima da previsão média de analistas consultados pela Refinitiv, de R$ 211,1 milhões. A margem Ebitda subiu 5,4 pontos percentuais, para 37%.

Mudanças nas empresas

A rotina das empresas e o mundo dos negócios foram afetados pela Lei geral de Proteção de Dados (LGPD), que entrou em vigor em 18 de setembro. estar em conformidade com a LGPD se tornou uma exigência e o tema já assume um papel de destaque nas negociações comerciais e serviços ao consumidor.

Empresas vêm solicitando a seus parceiros que demonstrem sua adequação à LGPD, mediante a apresentação de certificados e declarações de conformidade, ou mesmo realizando a inspeção de sistemas e controles de segurança da contraparte. Contratos têm sido aditados para acrescentar disposições sobre o assunto, incluindo a alocação de responsabilidades entre as partes quanto ao cumprimento de seus deveres como controladoras ou operadoras de dados pessoais, penalidades e possibilidade de rescisão contratual em caso de violação da LGPD pela outra parte, bem como direitos e procedimentos de auditoria.

Além disso, a exposição (ou não) a riscos de privacidade passou a ser considerada por compradores e vendedores nas operações de fusões e aquisições. Do lado dos compradores, seguindo tendência já consolidada na prática
internacional, a avaliação da conformidade da empresa-alvo à LGPD foi incluída nos processos de due diligence, assim como os contratos de aquisição têm incluído declarações e garantias (representations and warranties)
específicas dos vendedores a respeito. Do lado dos vendedores, a aderência às normas de privacidade é mais um ponto a ser levado em conta para agregar valor à empresa, tornando-a mais atrativa, potencializando o prêmio
recebido pela venda do negócio.

O Estadão ressalta que a LGPD também impactou o dia a dia das empresas, trazendo uma série de obrigações que deverão ser observadas no tratamento de dados pessoais, sob pena de responsabilização judicial, bem como a necessidade de criação de sistemas e processos para que os novos direitos conferidos aos titulares dos dados pessoais possam ser exercidos plenamente.

Publicamos aqui no Blog Minuto da Segurança que a Cyrela, apenas 12 dias depois de promulgada a lei, foi condenada ao pagamento de danos morais a cliente cujos dados pessoais foram compartilhados com parceiros sem sua autorização, tendo sido determinado que ela se abstenha de repassar informações de seus clientes de agora em diante, sob pena de multa. Foram determinados, ainda, o dano ao cliente e a responsabilidade objetiva da construtora pelo compartilhamento indevido dos dados (ou seja, responsabilização independente da culpa pela violação). A decisão, da qual cabe recurso, foi fundamentada na Constituição Federal, no Código de Defesa do Consumidor e na LGPD, um diálogo das fontes que será recorrente em situações envolvendo dados pessoais de consumidores.

Para lidar com tais situações e mitigar a exposição a incidentes envolvendo dados pessoais, é fundamental que as empresas implementem uma governança de privacidade, por meio da adoção de documentos, políticas e procedimentos, bem como a partir da conscientização de funcionários e parceiros através de treinamentos e workshops.

DPO

A figura do “encarregado”, similar ao Data Protection Officer previsto no General Data Protection Regulation europeu (GDPR) e outras normas estrangeiras, assume papel-chave nesta mudança. De acordo com a LGPD, os controladores deverão nomear um encarregado, que poderá ser pessoa física ou pessoa jurídica, que atuará como interface entre a empresa, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), sendo também responsável por gerir a governança de privacidade, orientando o público interno sobre o tema.

Daí surgem algumas perguntas: Qual o perfil deste profissional? Quem deve assumir o papelo de DPO? Um CISO ou CSO pode assumir a função de um DPO na LGPD?  

A LGPD define regras para a proteção de dados pessoais espelhando-se na Regulamento Geral de Proteção de Dados (GDPR) da União Europeia que foi instituído em 25 de maio de 2018 para decidir sobre como as empresas e entidades devem abordar e garantir a proteção de dados pessoais. Mais especificamente, a LGPD, assim como GDPR, é um conjunto de diretrizes sobre como as empresas devem gerenciar seus cenários de TI, equipe, parceiros e processos operacionais, a fim de garantir a segurança, confidencialidade, integridade e privacidade de qualquer dados que possua (por si só ou quando cruzado) referenciado como dados privados, pessoais ou pessoais sensíveis.

 LGPD define a obrigação das empresas / entidades de nomear um Encarregado pelo Tratamento de Dados Pessoais, comumente chamado Diretor de Proteção de Dados (DPO), se planejarem realizar atividades de tratamento de dados pessoais (coleta, armazenamento, processamento ou compartilhamento) atuando na função de Controlador (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais).

A função de DPO é definida no Art 41, bem como menciona que ele deverá ser anunciado publicamente e estabelece as suas atividades básicas:

Do Encarregado pelo Tratamento de Dados Pessoais
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção
de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Para efeito de nosso estudo, vamos considerar CISO como a função responsável por Segurança de TI (a parte operacional de segurança como o controle de acesso e implementação de controles de firewall e outras tarefas operacionais)  e CSO como Segurança da Informação, onde a responsabilidade recai sobre políticas, compliance de segurança, monitoração, estratégia e outras atividades focadas em governança .

De fato, quando analisamos o papel do DPO podemos dizer que é  muito similar ao papel de uso CISO ou CSO, sendo um ponto essencial para a conformidade corporativa com a LGPD e, em alguns casos, um requisito legal.

A LGPD não afirma especificamente se a pessoa que desempenha a função de DPO pode ou não ter outras responsabilidades dentro da empresa. No entanto, precisamos analisar se a função de DPO e CISO ou CSO não constituem conflito de interesses para garantir que o LGPD seja observado.

Uma diferença significativa em comparação com o papel do CISO ou CSO é que o DPO deve se reportar exclusivamente à posição hierárquica mais alta da organização e nunca à gerência intermediária ou sênior, isso pode implicar em conflito de interesses.

Então: Um CISO ou CSO pode assumir a função de um DPO na LGPD?

Para entender se um CISO pode assumir o papel de DPO na mesma empresa, precisamos entender as tarefas e deveres de ambos os perfis e avaliar se há conflitos de interesse que possam comprometer a garantia exigida da Proteção de Dados Pessoais.

Ambos os papéis parecem semelhantes e complementares, o que sugere que o CISO ou CSO pode, com algum treinamento e educação adicional, assumir o papel de DPO.

Para evitar conflitos de interesse, a GDPR determina que o DPO deve se reportar diretamente ao Conselho de Administração ou COO / CEO da empresa e não a quaisquer cargos de gerência média ou sênior.

A LGPD não determina tal nível hierárquico e deixa aberto para as empresas a definição de onde está posição deverá estar localizada na estrutura organizacional.

Tradicionalmente, o CISO se reporta ao CIO, que então se reportará ao CEO (outra parte interessada da organização), em instituições financeira, no Brasil,  é obrigatório que a posição de segurança da informação esteja fora da TI, assim além da função do CISO acumulando todas as funções de segurança (operacionais e governança), pode haver outros dois modelos :

  1. CISO reportando a TI + o CSO reportando fora da TI;
  2. CISO/CSO acumulando atividades operacionais e de governança reportando fora da TI.

A diferença entre este dois modelos é que no modelo 1 a parte operacional de Segurança fica dentro da TI, enquanto as atribuições relativas a política, “compliance de si”, monitoração e estratégia ficam fora, criando assim um fator feito / conferido. Já no modelo 2 tanto a parte operacional como de governança ficam em uma área fora de TI.

Desta forma, se um CISO acumular a função de DPO e ele estiver reportando-se dentro da TI isso constitui um claro conflito de interesses para a função de DPO, porém se a função de CISO estiver fora da TI, reportando-se ao CEO / COO não teríamos o mesmo conflito.

Essa medida criaria um conflito, pois permitiria ao CISO decidir quais investimentos são necessários e resolver quaisquer problemas de segurança digital que existam ou possam surgir ao mesmo tempo que estaria atuando na parte operacional da empresa. Portanto, principal conflito de interesses deriva do papel operacional específico do CISO.

Conforme descrevemos, se a  função de segurança for bipartida entre CISO e CSO (modelo 1), poderíamos ter o CSO atuando como DPO sem conflitos pois a sua função, pois assim como o DPO o CSO estaria auditando as diretrizes corporativas para garantir a conformidade com a LGPD .

Para esclarecer, o CISO, conforme definição utilizada aqui, define as ações técnicas a serem adotadas para garantir a segurança dos ativos e dados corporativos de TI, e isso pode ser contraditório com a segurança dos dados pessoais, a privacidade e a garantia de confidencialidade.

De fato, o DPO estará auditando ativamente os conselhos, decisões e políticas do CISO, bem como de todos os outros departamentos, da mesma forma que o CSO realiza nos dias de hoje, a diferença é que se o CSO acumular a função de DPO a sua atuação seria expandida para cobrir todos os aspectos de privacidade dentro da empresa e não somente as questões técnicas de controles. compliance e segregações de funções.

“O CSO na função de Segurança Informação, sem as atribuições operacionais de segurança, poderia acumular a função de DPO”

Na GDPR já houveram vários casos em que as autoridades de supervisão penalizaram as empresas por esse tipo de organização conflituosa. Por exemplo, a Autoridade de Proteção de Dados da Baviera penalizou uma empresa por ter seu gerente de TI atuando como DPO porque foi entendido como um conflito de interesses. A Autoridade afirmou que o gerente de TI estava essencialmente se auto-monitorando, negando a independência obrigatória, enquanto atuava como DPO da empresa.

O mesmo conceito e experiência pode ser considerada quando falamos de LGPD.

Conclusão

O fato é que, as partir de agora, as empresas terão que considerar as normas de privacidade na estruturação de seus processos (privacy by design), de modo a impedir, com o emprego de medidas técnicas e organizacionais, o tratamento excessivo ou desnecessário de dados pessoais (privacy by default).

Para tanto, deverão se manter atualizadas quanto aos muitos desenvolvimentos em matéria de proteção de dados que são esperados para os próximos meses. Dentre eles, a perspectiva real do início das atividades da ANPD, após a recente indicação pelo presidente da República dos cinco membros do Conselho Diretor da ANPD, órgão máximo de direção da Agência, cuja efetiva nomeação está sujeita à aprovação pelo Senado Federal. A ANPD terá a função, entre outros, de regulamentar muitos dos pontos da LGPD que ainda estão em aberto, como aqueles relativos à transferência internacional de dados.

Assim, o CISO , em sua função operacional deve atuar como uma função de suporte ao DPO, ao CIO, ao departamento jurídico e o gerente de cada departamento. Atuando de forma operacional na segurança, o CISO não deve desempenhar simultaneamente a função de DPO.

No entanto, o CSO na função de Segurança Informação, sem as atribuições operacionais de segurança, poderia acumular a função de DPO ou assmir a função naturalmente, devido a seus conhecimentos.

Em sua trajetória funcional o CSO acostumou-se a tratar temas de compliance, privacidade e regulamentações em sua função cotidiana, por isto outra possibilidade é o que possamos considerar a migração de um CSO para a função de DPO de forma natural.

Por isto, considero mais natural um CSO migrar para DPO do que um advogado ou qualquer outra função, que em sua trajetória não teve nenhum contato ou necessidade de atuar com as decisões que envolvem diversas tecnologias, possibilidades de controles ou mesmo investigações forenses, o que certamente é algo bastante complexo para ser absorvido rapidamente por pessoas que nunca tiveram contato com isto.

 

Fonte:  Olhar Digital & 1Bulhão & Idec & Estadão & Blog Minuto da Segurança

 

Veja também:

About mindsecblog 2776 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. A LGPD e o mito do advogado que entende de dados

Deixe sua opinião!