Uma nova preocupação tem rondado o dia a dia dos DPO’s: as fraudes nas requisições de dados dos titulares. Temos visto um aumento alarmante no número de fraudes e tentativas de extorsão no mundo digital. A criatividade dos que estão do lado errado parece infinita e é seguramente maior do que nossa capacidade de reagir ou evitar problemas. Por isso devemos estar sempre atentos. De maneira geral, no mercado, a maior parte das organizações têm recebido poucas requisições de titular, mas isso não deve ser motivo para relaxar e qualquer requisição deve ser tratada com atenção e cuidado, tanto para disponibilizar as informações corretas como para evitar fraudes.
O objetivo da LGPD é “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” (art 1), na lei, a “pessoa natural” ganha o rótulo de “titular“, e este titular tem o direito ao “acesso facilitado às informações sobre o tratamento de seus dados” (art 9) e a “obter do controlador, em relação aos dados do titular por ele tratados” (art 18). Estes direitos são chamados em inglês de “subject access request” (SAR) ou “data subject access request” (DSAR).
Dentro do que podemos chamar de “espírito da lei”, um recurso criado para garantir os direitos individuais não deve servir para fraude ou mau uso, em geral contra esses mesmos indivíduos que a lei deseja proteger.
Este é um direito garantido a todos os titulares que têm seus dados tratados pelo controlador, que precisa estar sempre atento para que o recurso disponibilizado para atender os direitos não sirvam para fraude ou mau uso. Algumas possibilidades que simulam casos reais:
• Um titular estava envolvido em um litígio e a outra parte fingiu ser o próprio titular e, com um e-mail falso, requisitou dados pessoais por meio do serviço de uma empresa que o titular havia trabalhado. O controlador em questão não realizava a autenticação, e aceitou os dados básicos de cadastro para entregar por e-mail os dados requisitados. Neste caso a parte não desejava utilizar estes dados como prova, mas obter informações para compor o processo judicial;
• Golpistas ao avaliar que um controlador franqueava o acesso aos dados pessoais de forma fácil e automática criou um processo para obter dados pessoais de titulares e aplicar golpes;
• Uma empresa financeira, ao saber que o contratante havia sido cliente de uma grande organização, exigiu o relatório de dados pessoais do titular como um dos documentos para fechar o negócio.
O controlador deve estar atento a duas obrigações:
1. Fornecer os dados pessoais ao titular que requisitar; e
2. Não fornecer os dados do titular a uma pessoa errada ou a um robô.
Há três principais ações que devem ser tomadas para garantir um serviço de atendimento ao direito do titular íntegro e protegido contra fraudes:
1. Autenticar o titular para garantir que a solicitação está sendo realizada por quem tem direito (isso pode ser feito por exemplo por meio de ferramentas de autenticação similares às utilizadas pelos bancos para abrir contas on-line; por MFA – Múltiplos Fatores de Autenticação; por serviços de autenticação como o Gov.BR; pela verificação de documentos remota, on-line por videoconferência gravada, ou digital; ou por um conjunto destes);
2. Manter uma política interna para o entendimento da demanda, coleta dos dados pessoais e entrega do resultado; e
3. Implementar um procedimento para a entrega do resultado. Conforme o caso, a entrega pode ser realizada também meio de videoconferência gravada.
Projetos de conformidade com a LGPD não são iguais, as atividades dependem da forma de uso de dados pessoais pelos titulares, da avaliação de riscos e da decisão baseada nos objetivos de negócio. Cada controlador deve utilizar um modelo baseado em gestão de riscos para medir o grau de sofisticação das medidas a serem adotadas.
Se você tiver alguma dúvida sobre situações reais, ou precisar discutir ações preventivas sobre como podemos nos proteger desses novos tipos de tentativas criminosas, procure seu consultor da InvitaTECH e vamos conversar.
Um abraço e até a próxima.