MPDFT requisita que Vivo elabore DPIA sobre informações coletadas pelo Vivo Ads

MPDFT requisita que Vivo elabore DPIA sobre informações coletadas pelo Vivo Ads. O Ministério Público do Distrito Federal e Territórios (MPDFT), por sua Unidade Especial de Proteção de Dados e Inteligência Artificial, no Inquérito Civil Público n. 08190.005366/18-16 em 16 de abril, requisitou à Telefônica Brasil S.A. (Vivo) que elabore Relatório de Impacto à Proteção de Dados Pessoais (Data Protection Impact Assessment – DPIA), em um prazo de 60 (sessenta) dias, em relação ao tratamento dos dados usados para o produto Mídia Geolocalizada do serviço Vivo Ads.

O MPDFT quer saber como a Vivo trata os dados pessoais coletados e armazenados, como ela usa estes dados e quem possui acesso a eles, incluindo se existe operadores (pessoas) que tratam estes dados e por quanto tempo estes dados são armazenados.

Segundo o comunicado do MPDFT o escoo é o que tratamento de dados coletados abrange, incluindo:

  • A natureza dos dados pessoais;
  • O volume e a variedade dos dados pessoais;
  • A sensibilidade dos dados pessoais;
  • A extensão e frequência do tratamento;
  • A duração do tratamento;
  • O número de dados envolvidos;
  • A área geográfica coberta;
  • A fonte dos dados;
  • A natureza do relacionamento da organização com os indivíduos;
  • Até que ponto os indivíduos têm controle sobre seus dados;
  • Até onde os indivíduos provavelmente esperam o tratamento;
  • Se entre os indivíduos incluem-se menores de 18 anos ou outras pessoas vulneráveis;
  • Quaisquer questões atuais de interesse público;
  • Seus interesses legítimos, quando relevantes;
  • O resultado pretendido para os indivíduos;
  • Os benefícios esperados para a organização ou para a sociedade como um todo.

O comunicado pede ainda que a Vivo faça uma avaliação dos riscos de segurança, incluindo fontes de risco e o impacto potencial de cada tipo de violação (incluindo acesso
ilegítimo, modificação ou perda de dados pessoais).

Para avaliar se o risco é alto, o MPDFT recomenda que a Vivo considere tanto a  probabilidade quanto a gravidade do possível dano e afirma que o dano não precisa ser inevitável para se qualificar como risco. Qualquer possibilidade significativa de danos muito sérios pode ser suficiente para se qualificar como alto risco. A organização deve se atentar para o fato de que uma alta probabilidade de danos generalizados, ainda que com impactos menores, pode ser igualmente considerada de alto risco, e fornece a seguinte tabela referência:

tabela-de-risco

fonte: despacho MPDFT

O MPDFT quer saber como a organização identifica, mitiga e registra a fonte dos riscos identificados, como por exemplo:

  • Decidir não coletar certos tipos de dados;
  • Reduzir o escopo do processamento;
  • Reduzir os períodos de retenção;
  • Tomar medidas adicionais de segurança tecnológica;
  • Treinar os colaboradores para garantir que os riscos sejam antecipados e gerenciados;
  • Anonimizar ou pseudoanonimizar os dados, sempre que possível;
  • Elaborar orientações ou processos internos para evitar riscos;
  • Colocar em prática acordos claros de compartilhamento de dados;
  • Fazer alterações nas políticas de privacidade;
  • Implementar novos sistemas para ajudar os indivíduos a exercerem seus direitos.
Fonte: Ministério Público do Distrito Federal e Territórios (MPDFT) 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

6 Trackbacks / Pingbacks

  1. Marcus Hutchins, "herói" do WannaCry, se declara culpado pelo malware Kronos
  2. MPDFT multa em 10Milhões operadora de Bitcoins por vazamento de dados
  3. Docker sofre violação e 190k usuários são afetados
  4. Cisco adverte sobre falha crítica no Nexus 9000 e outros equipamentos
  5. Falha no software da SAP coloca em risco milhares de empresas
  6. Marco Civil da Internet completou 5 anos e pouco mudou até agora

Deixe sua opinião!