MPDFT requisita que Vivo elabore DPIA sobre informações coletadas pelo Vivo Ads. O Ministério Público do Distrito Federal e Territórios (MPDFT), por sua Unidade Especial de Proteção de Dados e Inteligência Artificial, no Inquérito Civil Público n. 08190.005366/18-16 em 16 de abril, requisitou à Telefônica Brasil S.A. (Vivo) que elabore Relatório de Impacto à Proteção de Dados Pessoais (Data Protection Impact Assessment – DPIA), em um prazo de 60 (sessenta) dias, em relação ao tratamento dos dados usados para o produto Mídia Geolocalizada do serviço Vivo Ads.
O MPDFT quer saber como a Vivo trata os dados pessoais coletados e armazenados, como ela usa estes dados e quem possui acesso a eles, incluindo se existe operadores (pessoas) que tratam estes dados e por quanto tempo estes dados são armazenados.
Segundo o comunicado do MPDFT o escoo é o que tratamento de dados coletados abrange, incluindo:
- A natureza dos dados pessoais;
- O volume e a variedade dos dados pessoais;
- A sensibilidade dos dados pessoais;
- A extensão e frequência do tratamento;
- A duração do tratamento;
- O número de dados envolvidos;
- A área geográfica coberta;
- A fonte dos dados;
- A natureza do relacionamento da organização com os indivíduos;
- Até que ponto os indivíduos têm controle sobre seus dados;
- Até onde os indivíduos provavelmente esperam o tratamento;
- Se entre os indivíduos incluem-se menores de 18 anos ou outras pessoas vulneráveis;
- Quaisquer questões atuais de interesse público;
- Seus interesses legítimos, quando relevantes;
- O resultado pretendido para os indivíduos;
- Os benefícios esperados para a organização ou para a sociedade como um todo.
O comunicado pede ainda que a Vivo faça uma avaliação dos riscos de segurança, incluindo fontes de risco e o impacto potencial de cada tipo de violação (incluindo acesso
ilegítimo, modificação ou perda de dados pessoais).
Para avaliar se o risco é alto, o MPDFT recomenda que a Vivo considere tanto a probabilidade quanto a gravidade do possível dano e afirma que o dano não precisa ser inevitável para se qualificar como risco. Qualquer possibilidade significativa de danos muito sérios pode ser suficiente para se qualificar como alto risco. A organização deve se atentar para o fato de que uma alta probabilidade de danos generalizados, ainda que com impactos menores, pode ser igualmente considerada de alto risco, e fornece a seguinte tabela referência:
fonte: despacho MPDFT
O MPDFT quer saber como a organização identifica, mitiga e registra a fonte dos riscos identificados, como por exemplo:
- Decidir não coletar certos tipos de dados;
- Reduzir o escopo do processamento;
- Reduzir os períodos de retenção;
- Tomar medidas adicionais de segurança tecnológica;
- Treinar os colaboradores para garantir que os riscos sejam antecipados e gerenciados;
- Anonimizar ou pseudoanonimizar os dados, sempre que possível;
- Elaborar orientações ou processos internos para evitar riscos;
- Colocar em prática acordos claros de compartilhamento de dados;
- Fazer alterações nas políticas de privacidade;
- Implementar novos sistemas para ajudar os indivíduos a exercerem seus direitos.
Fonte: Ministério Público do Distrito Federal e Territórios (MPDFT)
Veja também:
- Patch Tuesday de Abril da Microsoft Afeta McAfee, Sophos e Avast
- Amazon Alexa compartilha gravações de voz de usuários com milhares de “escutadores”
- A indústria dos dados pessoais e os data brokers
- Mulheres ganham espaço em Cybersecurity
- Microsoft informa usuários sobre violação que afetou o Outlook
- Vários aplicativos corporativos de VPN permitem que invasores ignorem a autenticação
- MS nega vazamento de 2 Milhões de dados do SUS
- CrowdStrike nomeado como “Líder” com a maior pontuação possível em 6 critérios
- Virou rotina: milhões de dados de usuários do Facebook em claro na Internet.
- Vulnerabilidade permite alterar o resultado de uma Tomografia Computadorizada
- Câmera escondida monitora família hospedada pelo Airbnb
- Hackers ignoram o MFA em contas na nuvem por meio do protocolo IMAP
Deixe sua opinião!