Sistema Fetranspor na era da segurança da informação

08/03/2021 |
O impacto da Lei Geral de Proteção de Dados (LGPD) no setor de transporte de passageiros por ônibus

Em janeiro deste ano, um megavazamento de dados pessoais, de 223 milhões de brasileiros vivos e até mortos, foi descoberto. Foi o maior da história do Brasil. No dia 10 de fevereiro deste ano, um novo vazamento gigante de dados foi descoberto. Desta vez, 100 milhões de números de celular foram expostos na dark web – incluindo o do presidente da República, Jair Bolsonaro, e dos jornalistas William Bonner e Fátima Bernardes. Os registros envolvem operadoras de telefonia celular e incluem, além do número, o tempo de duração de ligações e outras informações pessoais. Bem… vazamento de dados é um problema das operadoras de telefonia e empresas de tecnologia… não afeta empresas do setor de transporte… Não é bem assim!

Em agosto de 2020, entrou em vigor a Lei nº 13.709, mais conhecida como LGPD, Lei Geral de Proteção de Dados, após quase 10 anos de discussões entre Congresso Nacional e sociedade, sendo dois deles de vacância (prazo determinado para a sociedade se adequar à nova legislação). Com tantas idas e vindas, muitas pessoas estavam esperando até o último momento para ver se a lei iria vingar mesmo. Mas o dia chegou. Agora o Brasil tem uma nova lei, com o objetivo de garantir a qualquer pessoa física o direito de acessar, mudar e proteger seus dados pessoais. Esta norma estabelece regras para todos que coletam, armazenam e compartilham dados pessoais, assim como as empresas de transporte. Para garantir que esses direitos sejam preservados, foi constituída a Agência Nacional de Proteção de Dados (ANPD), órgão que irá fiscalizar o cumprimento da LGPD. As sanções legais relativas ao descumprimento chegam até 2% do faturamento, com um limite de valor de R$ 50 milhões por infração. A inevitável perda de credibilidade da instituição negligente com os dados de seus usuários, parceiros ou colaboradores, porém, pode se tornar um prejuízo ainda maior.

AÇÕES DO SISTEMA FETRANSPOR
No início de 2020, antecipando a vigência da Lei 13.709, o Sistema Fetranspor começou um processo de mapeamento de todos os dados que trata. No segundo semestre, contratou um profissional especializado, que ficou encarregado de cuidar das questões referentes à proteção dos dados da organização e de seus clientes, assim como:
• gerenciamento interno;
• criação ou aprimoramento das políticas e procedimentos relativos a dados, como as políticas de privacidade;
• avaliação das portas de entradas, onde os dados são coletados;
• avaliação sobre o uso dos dados coletados;
• auxilio ao departamento jurídico nas cláusulas relativas à LGPD de contratos com fornecedores;
• criação de um mecanismo de recebimento de pedidos de titulares de dados que queiram exercer seus direitos, agora estabelecidos em Lei;
• coordenação do cronograma de conformidade da LGPD;
• avaliação, junto com as demais áreas, de uma ferramenta de gestão da LGPD. Segundo Renato Santa Rita, o Data Protection Officer (DPO) contratado para realizar esta tarefa em todo o Sistema Fetranspor, o trabalho está sendo baseado em três pilares:
• Conscientização interna – Criação de massa crítica de valores e processos entre os colaboradores, que gere atenção, cuidado e uso responsável de dados pessoais.
• Direitos do titular – Garantia aos titulares de dados de acesso aos direitos previstos na lei.
• Governança – Segurança da informação; uso saudável dos dados para gerar confiança em todos os envolvidos; estrutura de resposta, com procedimentos para os casos de crises e quebras de segurança.

Em relação ao volume de dados e pessoas envolvidas, um caso especial dentro do Sistema é a operação do cartão Riocard Mais, que tem milhões de usuários e milhões de registros de viagens todos os dias. Isso exige um cuidado todo especial com a segurança e utilização responsável desses dados.

“Não existe, sob hipótese alguma, comercialização de dados pessoais dos usuários do Riocard Mais. Estamos identificando e otimizando todos os pontos de entrada, com o objetivo de que o usuário sempre possa optar, conscientemente, por fornecer seus dados para finalidades específicas”, afirma Renato.

DIRETRIZES MÍNIMAS PARA ADEQUAÇÃO À LGPD
O objeto de proteção da LGPD é o dado pessoal, ou seja, toda informação que possa identificar um indivíduo. Por exemplo, RG, CPF, e- -mail, telefone (fixo ou celular), endereço residencial, entre outros.

O que pode ser considerado dado pessoal para proteção da LGPD dependerá, em muitos casos, do contexto em que esta informação está inserida. O dado referente à pessoa natural é aquele que a identifica ou tem potencial para tal.

A LGPD protege com mais vigor os dados pessoais sensíveis, que são aqueles que podem gerar qualquer tipo de discriminação, como os biométricos, incluindo os faciais. Os dados de crianças e adolescentes também são objeto de proteção especial.

Na prática, a LGPD conceitua e regulamenta o tratamento dessas informações. Ações como acesso, consulta e armazenamento também são tratamento de dados. Vale ressaltar que, independentemente do meio em que é tratado, seja digital ou analógico, o processo deve se enquadrar na LGPD.

As empresas de transporte deverão adotar medidas para proteger os dados pessoais de: acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Duas diretrizes mínimas para adequação à LGPD são a definição e publicação de uma política de privacidade de dados, promovendo as ferramentas adequadas e o treinamento dos colaboradores. Além disso, a transportadora deverá:
• entender que dados a empresa possui e como são utilizados;
• manter uma lista de dados tratados, para que os colaboradores tenham consciência da segurança demandada;
• verificar se, de fato, esses dados são necessários para a organização;
• eleger um encarregado pelo tratamento de dados pessoais na empresa;
• adotar protocolos de atendimento às demandas dos usuários;
• implementar uma política de segurança da informação;
• criar procedimentos para casos de quebra de segurança, como vazamentos. Por exemplo: a lei exige a comunicação imediata à Autoridade Nacional de Proteção Dados, em casos de vazamentos significativos.

Para assegurar o cumprimento de todas essas diretrizes, a segurança dos dados pessoais tratados é imprescindível. É crucial tomar todas as medidas cabíveis para garantir que, tanto administrativa quanto tecnicamente, eles estejam devidamente protegidos e mantidos em integridade.

“Apesar de uma multa de até 50 milhões de reais ser um valor expressivo, um vazamento de dados tratados pelo Sistema Fetranspor poderá fazer com que a ANPD ou alguma instância judicial decrete, por exemplo, a proibição parcial ou total da atividade, o que acarretará prejuízos muito superiores à organização. Então, adequar o Sistema Fetranspor à LGPD precisa ser uma prioridade, não é uma opção”, conclui Renato Santa Rita.

Comente aqui

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *