![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2021\/04\/08045336\/6219_GTI_Logo_vert-3.png\"){kind=logo}
\t\t\t\t<\/a>\n\t\t\t\t\t\tMANTENHA-SE ATUALIZADO SOBRE A PROTE\u00c7\u00c3O DE DADOS<\/p>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t
Secure Futures Kaspersky<\/span><\/h3>\n\t\t\t\t\t\t\t\t\t\t\t<\/header>\n\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t\n\t\t\t\t\tINSCREVA-SE<\/a>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/article>\n\t\t<\/div>\n\t\nA jovem mulher, o capel\u00e3o e o hospital<\/strong><\/h2>\nAlguns instrutores de privacidade contam uma hist\u00f3ria sobre uma jovem mulher que teve que preencher um formul\u00e1rio quando ela foi internada em um hospital. Uma pergunta desse formul\u00e1rio era sobre sua religi\u00e3o. Talvez essa informa\u00e7\u00e3o fosse importante para o tratamento e ela j\u00e1 havia visto esse tipo de pergunta em outros formul\u00e1rios, ent\u00e3o ela respondeu \u00e0 pergunta sobre religi\u00e3o prontamente, como sempre havia feito.<\/p>\n
Por que essa pergunta? Esse hospital usa essa informa\u00e7\u00e3o para avisar ao capel\u00e3o do hospital que h\u00e1 um paciente que talvez queira uma visita, mas n\u00e3o avisam o paciente disso.<\/p>\n
Como o mundo \u00e9 pequeno, coincid\u00eancias acontecem: o capel\u00e3o do hospital era amigo da fam\u00edlia da jovem mulher. Ela, que n\u00e3o \u00e9 casada, est\u00e1 no hospital por causa de um problema relacionado \u00e0 sua gravidez. Sua fam\u00edlia n\u00e3o sabe que ela est\u00e1 gravida e ela n\u00e3o quer que eles saibam. Agora, a jovem mulher e o capel\u00e3o est\u00e3o em uma situa\u00e7\u00e3o desconfort\u00e1vel.<\/p>\n
N\u00e3o considerando a viola\u00e7\u00e3o da regulamenta\u00e7\u00e3o do uso de dados, alguns dir\u00e3o que a mulher \u00e9 livre para escolher se quer, ou n\u00e3o, compartilhar essa informa\u00e7\u00e3o, ent\u00e3o os resultados s\u00e3o de sua responsabilidade. Por outro lado, a confian\u00e7a que os pacientes t\u00eam no hospital \u00e9 crucial para que este possa atingir seus objetivos: ajudar os pacientes a melhorarem.<\/p>\n
Existe um princ\u00edpio da privacidade de dados: qualquer organiza\u00e7\u00e3o que recebe informa\u00e7\u00f5es pessoais, seja para ganhar dinheiro ou para ajudar pessoas a salvar o mundo, precisa ser confi\u00e1vel para ser efetiva.<\/p><\/blockquote>\n
Ser\u00e1 que essas organiza\u00e7\u00f5es est\u00e3o \u00e0 altura da confian\u00e7a que os consumidores depositam nelas?<\/p>\n
A reciclagem de dados acontece frequentemente<\/strong><\/p>\nV\u00e1rios casos que surpreenderam consumidores envolvendo a maneira como empresas usaram ou venderam seus dados t\u00eam se tornado pautas de jornais recentemente. Um exemplo \u00e9 de um aplicativo de acompanhamento do ciclo menstrual, que fornecia dados de consumidores ao Facebook<\/a>. Esses dados eram usados para fazer propaganda de produtos para mulheres gestantes. Uma usu\u00e1ria do app come\u00e7ou a receber propagandas desse tipo de produtos como se estivesse gr\u00e1vida, sendo que ela somente havia esquecido de atualizar seus dados no app durante um tempo. \u00c9 f\u00e1cil entender como essa forma de se utilizar de informa\u00e7\u00f5es sens\u00edveis pode prejudicar emocionalmente alguns consumidores.<\/p>\nEm 2017, a Comiss\u00e3o Federal de Com\u00e9rcio dos EUA registrou uma queixa fora dos tribunais contra a Uber. Parte da queixa tratava de que alguns funcion\u00e1rios da empresa usaram uma fun\u00e7\u00e3o chamada \u201cGood View\u201d<\/em> para rastrear as movimenta\u00e7\u00f5es de pol\u00edticos e celebridades e at\u00e9 de ex-namorados.<\/a> Embora a Uber tenha sancionado esses abusos, nenhum processo foi criado para prevenir esse tipo de a\u00e7\u00f5es efetivamente.<\/p>\nQuando s\u00e3o pegas reciclando informa\u00e7\u00f5es, as empresas muitas vezes dizem: \u201cn\u00e3o era nossa inten\u00e7\u00e3o\u201d. Pode ser at\u00e9 verdade, mas isso continua acontecendo.<\/p><\/blockquote>\n
Ser\u00e1 que as empresas, e seus funcion\u00e1rios, entendem quais s\u00e3o suas responsabilidades em limitar como usam os dados dos consumidores?<\/p>\n
\u00c9 permitida a reciclagem de dados pessoais? O que dizem as leis.<\/strong><\/h2>\nA GDPR quer que a limita\u00e7\u00e3o da finalidade seja um princ\u00edpio fundamental da prote\u00e7\u00e3o de dados<\/a>. A se\u00e7\u00e3o 1B do artigo 5 da norma destaca como os dados pessoais devem ser coletados somente quando o seu uso \u00e9 especificado explicitamente. Os dados n\u00e3o podem ser usados de outras formas que n\u00e3o condizem com seu proposito original. Existem algumas exce\u00e7\u00f5es para usos hist\u00f3ricos, cient\u00edficos e estat\u00edsticos, e \u201cse os interesses leg\u00edtimos desse controlador ou de terceiros se sobrep\u00f5e aos interesses da pessoa em quest\u00e3o<\/a>\u201d<\/p>\nA Comiss\u00e3o Europeia oferece orienta\u00e7\u00f5es para ajudar organiza\u00e7\u00f5es a saber se o que planejam fazer com os dados \u00e9 consistente, ou n\u00e3o, com seu prop\u00f3sito<\/a>. Eles sugerem, por exemplo, considerar se os dados s\u00e3o sens\u00edveis (incluem informa\u00e7\u00f5es de sa\u00fade, preferencias pol\u00edticas e mais)<\/a> e como continuar usando essas informa\u00e7\u00f5es pode afetar a pessoa que as forneceu.<\/p>\nEnquanto as penalidades por infringir o princ\u00edpio de limita\u00e7\u00f5es de finalidade ainda n\u00e3o s\u00e3o muito severas, uma grande quantidade de processos tem sido abertos, prejudicando a reputa\u00e7\u00e3o de certas empresas. A autoridade de prote\u00e7\u00e3o de dados da Noruega, por exemplo, \u00a0multou a Administra\u00e7\u00e3o de Vias P\u00fablicas do pa\u00eds em cerca de 50 mil d\u00f3lares por utilizar c\u00e2meras de \u201cseguran\u00e7a\u201d para monitorar o trabalho dos funcion\u00e1rios<\/a>. Mas infringir esse princ\u00edpio apenas com os dados de um consumidor n\u00e3o significa que as multas ser\u00e3o menores: autoridades espanholas multaram o banco Bankia em cerca de 50 mil d\u00f3lares por possuir e reutilizar dados de um consumidor 16 anos ap\u00f3s ele deixar de ser cliente do banco.<\/a><\/p>\nIsso porque ao considerar quem multar, os reguladores penalizam n\u00e3o pela viola\u00e7\u00e3o do princ\u00edpio, mas sim, pelas consequ\u00eancias. Por exemplo, se as companhias n\u00e3o seguirem os processos de limita\u00e7\u00e3o da finalidade de dados, elas podem estar infringindo outros requisitos da GDPR, tais como ter uma raz\u00e3o legitima para processar aqueles dados.<\/p>\n
N\u00e3o \u00e9 s\u00f3 a Europa que estabeleceu a limita\u00e7\u00e3o da finalidade nas leis de dados. A California adicionou em 2018 a cl\u00e1usula de limita\u00e7\u00e3o da finalidade ao California Consumer Privacy Act (CCPA)<\/a>, a nova lei da privacidade de dados do estado. A cl\u00e1usula estabelece que as empresas devem, antes de coletar informa\u00e7\u00f5es pessoais, informar seus consumidores sobre como essa informa\u00e7\u00e3o ser\u00e1 usada e que precisam ter o consentimento desses consumidores para usar os dados em outra finalidade.<\/p>\nO que fazem as empresas para respeitar as obriga\u00e7\u00f5es da limita\u00e7\u00e3o da finalidade?<\/strong><\/h2>\n\u201cCada empresa processa diferentes tipos de dados pessoais, de diferentes formas, com prop\u00f3sitos diferentes\u201d<\/em>, afirma Alexey Testsov, Head de Prote\u00e7\u00e3o de Dados e Privacidade da Kaspersky na Europa. A GDPR obriga os controladores e processadores de dados a manter registros de quais dados a empresa est\u00e1 coletando, do porqu\u00ea est\u00e3o coletando e at\u00e9 quando ir\u00e3o armazenar esses dados. Juntamente com a auditoria e o mapeamento dos dados, esses registros s\u00e3o essenciais para que as responsabilidades em rela\u00e7\u00e3o \u00e0 limita\u00e7\u00e3o da finalidade sejam respeitadas.<\/p>\n\u201cOs funcion\u00e1rios devem saber como coletar, armazenar e utilizar dados pessoais sem infringir a legisla\u00e7\u00e3o. Dados os altos riscos do processamento de dados, \u00e9 melhor discutir mudan\u00e7as no processamento com um respons\u00e1vel pela seguran\u00e7a ou com o departamento jur\u00eddico da empresa. Os funcion\u00e1rios devem saber como consultar os especialistas internos da empresa sem ter medo de fazer isso\u201d, <\/em>completa Testsov.<\/p>\nAqui est\u00e3o dois exemplos de problemas identificados que podem levar a falhas no controle de finalidade de uso de dados:<\/p>\n
Sistemas que mantem os dados separados<\/strong><\/h2>\n
\n<\/strong>Prote\u00e7\u00f5es eficientes contra o uso indevido de dados podem ter evitado recentemente alguns casos de reciclagem de dados. No Reino unido, o Gabinete de Comiss\u00e1rios da Informa\u00e7\u00e3o (do ingl\u00eas, Information Commissioners\u2019 Office<\/em> ou ICO) multou recentemente uma empresa de campanhas pol\u00edticas e uma seguradora em 120 mil libras cada. O ICO descobriu que informa\u00e7\u00f5es pessoais coletadas durante a campanha pol\u00edtica foram usadas para fazer propagandas de seguros, evidenciando falhas nos sistemas de prote\u00e7\u00e3o de dados das duas empresas<\/a>. \u201cOs sistemas que separam os dados pessoais de clientes de seguradoras dos dados coletados de inscritos pol\u00edticos foram ineficazes\u201d,<\/em> afirma o relat\u00f3rio do ICO.<\/p>\nControladores e processadores de dados devem ter em mente que avan\u00e7os adicionais nos softwares podem causar mudan\u00e7as na forma como os dados s\u00e3o utilizados. Isso \u00e9 conhecido como \u201cfunction creep\u201d<\/em>, quando o uso de uma tecnologia ou sistema vai al\u00e9m da finalidade para qual foi originalmente destinada, especialmente quando isso leva a uma potencial invas\u00e3o de privacidade.<\/p><\/blockquote>\n
A jovem mulher, o capel\u00e3o e o hospital<\/strong><\/h2>\nAlguns instrutores de privacidade contam uma hist\u00f3ria sobre uma jovem mulher que teve que preencher um formul\u00e1rio quando ela foi internada em um hospital. Uma pergunta desse formul\u00e1rio era sobre sua religi\u00e3o. Talvez essa informa\u00e7\u00e3o fosse importante para o tratamento e ela j\u00e1 havia visto esse tipo de pergunta em outros formul\u00e1rios, ent\u00e3o ela respondeu \u00e0 pergunta sobre religi\u00e3o prontamente, como sempre havia feito.<\/p>\n
Por que essa pergunta? Esse hospital usa essa informa\u00e7\u00e3o para avisar ao capel\u00e3o do hospital que h\u00e1 um paciente que talvez queira uma visita, mas n\u00e3o avisam o paciente disso.<\/p>\n
Como o mundo \u00e9 pequeno, coincid\u00eancias acontecem: o capel\u00e3o do hospital era amigo da fam\u00edlia da jovem mulher. Ela, que n\u00e3o \u00e9 casada, est\u00e1 no hospital por causa de um problema relacionado \u00e0 sua gravidez. Sua fam\u00edlia n\u00e3o sabe que ela est\u00e1 gravida e ela n\u00e3o quer que eles saibam. Agora, a jovem mulher e o capel\u00e3o est\u00e3o em uma situa\u00e7\u00e3o desconfort\u00e1vel.<\/p>\n
N\u00e3o considerando a viola\u00e7\u00e3o da regulamenta\u00e7\u00e3o do uso de dados, alguns dir\u00e3o que a mulher \u00e9 livre para escolher se quer, ou n\u00e3o, compartilhar essa informa\u00e7\u00e3o, ent\u00e3o os resultados s\u00e3o de sua responsabilidade. Por outro lado, a confian\u00e7a que os pacientes t\u00eam no hospital \u00e9 crucial para que este possa atingir seus objetivos: ajudar os pacientes a melhorarem.<\/p>\n
Existe um princ\u00edpio da privacidade de dados: qualquer organiza\u00e7\u00e3o que recebe informa\u00e7\u00f5es pessoais, seja para ganhar dinheiro ou para ajudar pessoas a salvar o mundo, precisa ser confi\u00e1vel para ser efetiva.<\/p><\/blockquote>\n
Ser\u00e1 que essas organiza\u00e7\u00f5es est\u00e3o \u00e0 altura da confian\u00e7a que os consumidores depositam nelas?<\/p>\n
A reciclagem de dados acontece frequentemente<\/strong><\/p>\nV\u00e1rios casos que surpreenderam consumidores envolvendo a maneira como empresas usaram ou venderam seus dados t\u00eam se tornado pautas de jornais recentemente. Um exemplo \u00e9 de um aplicativo de acompanhamento do ciclo menstrual, que fornecia dados de consumidores ao Facebook<\/a>. Esses dados eram usados para fazer propaganda de produtos para mulheres gestantes. Uma usu\u00e1ria do app come\u00e7ou a receber propagandas desse tipo de produtos como se estivesse gr\u00e1vida, sendo que ela somente havia esquecido de atualizar seus dados no app durante um tempo. \u00c9 f\u00e1cil entender como essa forma de se utilizar de informa\u00e7\u00f5es sens\u00edveis pode prejudicar emocionalmente alguns consumidores.<\/p>\nEm 2017, a Comiss\u00e3o Federal de Com\u00e9rcio dos EUA registrou uma queixa fora dos tribunais contra a Uber. Parte da queixa tratava de que alguns funcion\u00e1rios da empresa usaram uma fun\u00e7\u00e3o chamada \u201cGood View\u201d<\/em> para rastrear as movimenta\u00e7\u00f5es de pol\u00edticos e celebridades e at\u00e9 de ex-namorados.<\/a> Embora a Uber tenha sancionado esses abusos, nenhum processo foi criado para prevenir esse tipo de a\u00e7\u00f5es efetivamente.<\/p>\nQuando s\u00e3o pegas reciclando informa\u00e7\u00f5es, as empresas muitas vezes dizem: \u201cn\u00e3o era nossa inten\u00e7\u00e3o\u201d. Pode ser at\u00e9 verdade, mas isso continua acontecendo.<\/p><\/blockquote>\n
Ser\u00e1 que as empresas, e seus funcion\u00e1rios, entendem quais s\u00e3o suas responsabilidades em limitar como usam os dados dos consumidores?<\/p>\n
\u00c9 permitida a reciclagem de dados pessoais? O que dizem as leis.<\/strong><\/h2>\nA GDPR quer que a limita\u00e7\u00e3o da finalidade seja um princ\u00edpio fundamental da prote\u00e7\u00e3o de dados<\/a>. A se\u00e7\u00e3o 1B do artigo 5 da norma destaca como os dados pessoais devem ser coletados somente quando o seu uso \u00e9 especificado explicitamente. Os dados n\u00e3o podem ser usados de outras formas que n\u00e3o condizem com seu proposito original. Existem algumas exce\u00e7\u00f5es para usos hist\u00f3ricos, cient\u00edficos e estat\u00edsticos, e \u201cse os interesses leg\u00edtimos desse controlador ou de terceiros se sobrep\u00f5e aos interesses da pessoa em quest\u00e3o<\/a>\u201d<\/p>\nA Comiss\u00e3o Europeia oferece orienta\u00e7\u00f5es para ajudar organiza\u00e7\u00f5es a saber se o que planejam fazer com os dados \u00e9 consistente, ou n\u00e3o, com seu prop\u00f3sito<\/a>. Eles sugerem, por exemplo, considerar se os dados s\u00e3o sens\u00edveis (incluem informa\u00e7\u00f5es de sa\u00fade, preferencias pol\u00edticas e mais)<\/a> e como continuar usando essas informa\u00e7\u00f5es pode afetar a pessoa que as forneceu.<\/p>\nEnquanto as penalidades por infringir o princ\u00edpio de limita\u00e7\u00f5es de finalidade ainda n\u00e3o s\u00e3o muito severas, uma grande quantidade de processos tem sido abertos, prejudicando a reputa\u00e7\u00e3o de certas empresas. A autoridade de prote\u00e7\u00e3o de dados da Noruega, por exemplo, \u00a0multou a Administra\u00e7\u00e3o de Vias P\u00fablicas do pa\u00eds em cerca de 50 mil d\u00f3lares por utilizar c\u00e2meras de \u201cseguran\u00e7a\u201d para monitorar o trabalho dos funcion\u00e1rios<\/a>. Mas infringir esse princ\u00edpio apenas com os dados de um consumidor n\u00e3o significa que as multas ser\u00e3o menores: autoridades espanholas multaram o banco Bankia em cerca de 50 mil d\u00f3lares por possuir e reutilizar dados de um consumidor 16 anos ap\u00f3s ele deixar de ser cliente do banco.<\/a><\/p>\nIsso porque ao considerar quem multar, os reguladores penalizam n\u00e3o pela viola\u00e7\u00e3o do princ\u00edpio, mas sim, pelas consequ\u00eancias. Por exemplo, se as companhias n\u00e3o seguirem os processos de limita\u00e7\u00e3o da finalidade de dados, elas podem estar infringindo outros requisitos da GDPR, tais como ter uma raz\u00e3o legitima para processar aqueles dados.<\/p>\n
N\u00e3o \u00e9 s\u00f3 a Europa que estabeleceu a limita\u00e7\u00e3o da finalidade nas leis de dados. A California adicionou em 2018 a cl\u00e1usula de limita\u00e7\u00e3o da finalidade ao California Consumer Privacy Act (CCPA)<\/a>, a nova lei da privacidade de dados do estado. A cl\u00e1usula estabelece que as empresas devem, antes de coletar informa\u00e7\u00f5es pessoais, informar seus consumidores sobre como essa informa\u00e7\u00e3o ser\u00e1 usada e que precisam ter o consentimento desses consumidores para usar os dados em outra finalidade.<\/p>\nO que fazem as empresas para respeitar as obriga\u00e7\u00f5es da limita\u00e7\u00e3o da finalidade?<\/strong><\/h2>\n\u201cCada empresa processa diferentes tipos de dados pessoais, de diferentes formas, com prop\u00f3sitos diferentes\u201d<\/em>, afirma Alexey Testsov, Head de Prote\u00e7\u00e3o de Dados e Privacidade da Kaspersky na Europa. A GDPR obriga os controladores e processadores de dados a manter registros de quais dados a empresa est\u00e1 coletando, do porqu\u00ea est\u00e3o coletando e at\u00e9 quando ir\u00e3o armazenar esses dados. Juntamente com a auditoria e o mapeamento dos dados, esses registros s\u00e3o essenciais para que as responsabilidades em rela\u00e7\u00e3o \u00e0 limita\u00e7\u00e3o da finalidade sejam respeitadas.<\/p>\n\u201cOs funcion\u00e1rios devem saber como coletar, armazenar e utilizar dados pessoais sem infringir a legisla\u00e7\u00e3o. Dados os altos riscos do processamento de dados, \u00e9 melhor discutir mudan\u00e7as no processamento com um respons\u00e1vel pela seguran\u00e7a ou com o departamento jur\u00eddico da empresa. Os funcion\u00e1rios devem saber como consultar os especialistas internos da empresa sem ter medo de fazer isso\u201d, <\/em>completa Testsov.<\/p>\nAqui est\u00e3o dois exemplos de problemas identificados que podem levar a falhas no controle de finalidade de uso de dados:<\/p>\n
Sistemas que mantem os dados separados<\/strong><\/h2>\n
\n<\/strong>Prote\u00e7\u00f5es eficientes contra o uso indevido de dados podem ter evitado recentemente alguns casos de reciclagem de dados. No Reino unido, o Gabinete de Comiss\u00e1rios da Informa\u00e7\u00e3o (do ingl\u00eas, Information Commissioners\u2019 Office<\/em> ou ICO) multou recentemente uma empresa de campanhas pol\u00edticas e uma seguradora em 120 mil libras cada. O ICO descobriu que informa\u00e7\u00f5es pessoais coletadas durante a campanha pol\u00edtica foram usadas para fazer propagandas de seguros, evidenciando falhas nos sistemas de prote\u00e7\u00e3o de dados das duas empresas<\/a>. \u201cOs sistemas que separam os dados pessoais de clientes de seguradoras dos dados coletados de inscritos pol\u00edticos foram ineficazes\u201d,<\/em> afirma o relat\u00f3rio do ICO.<\/p>\nControladores e processadores de dados devem ter em mente que avan\u00e7os adicionais nos softwares podem causar mudan\u00e7as na forma como os dados s\u00e3o utilizados. Isso \u00e9 conhecido como \u201cfunction creep\u201d<\/em>, quando o uso de uma tecnologia ou sistema vai al\u00e9m da finalidade para qual foi originalmente destinada, especialmente quando isso leva a uma potencial invas\u00e3o de privacidade.<\/p><\/blockquote>\n
Existe um princ\u00edpio da privacidade de dados: qualquer organiza\u00e7\u00e3o que recebe informa\u00e7\u00f5es pessoais, seja para ganhar dinheiro ou para ajudar pessoas a salvar o mundo, precisa ser confi\u00e1vel para ser efetiva.<\/p><\/blockquote>\n
Ser\u00e1 que essas organiza\u00e7\u00f5es est\u00e3o \u00e0 altura da confian\u00e7a que os consumidores depositam nelas?<\/p>\n
A reciclagem de dados acontece frequentemente<\/strong><\/p>\n V\u00e1rios casos que surpreenderam consumidores envolvendo a maneira como empresas usaram ou venderam seus dados t\u00eam se tornado pautas de jornais recentemente. Um exemplo \u00e9 de um aplicativo de acompanhamento do ciclo menstrual, que fornecia dados de consumidores ao Facebook<\/a>. Esses dados eram usados para fazer propaganda de produtos para mulheres gestantes. Uma usu\u00e1ria do app come\u00e7ou a receber propagandas desse tipo de produtos como se estivesse gr\u00e1vida, sendo que ela somente havia esquecido de atualizar seus dados no app durante um tempo. \u00c9 f\u00e1cil entender como essa forma de se utilizar de informa\u00e7\u00f5es sens\u00edveis pode prejudicar emocionalmente alguns consumidores.<\/p>\n Em 2017, a Comiss\u00e3o Federal de Com\u00e9rcio dos EUA registrou uma queixa fora dos tribunais contra a Uber. Parte da queixa tratava de que alguns funcion\u00e1rios da empresa usaram uma fun\u00e7\u00e3o chamada \u201cGood View\u201d<\/em> para rastrear as movimenta\u00e7\u00f5es de pol\u00edticos e celebridades e at\u00e9 de ex-namorados.<\/a> Embora a Uber tenha sancionado esses abusos, nenhum processo foi criado para prevenir esse tipo de a\u00e7\u00f5es efetivamente.<\/p>\n Quando s\u00e3o pegas reciclando informa\u00e7\u00f5es, as empresas muitas vezes dizem: \u201cn\u00e3o era nossa inten\u00e7\u00e3o\u201d. Pode ser at\u00e9 verdade, mas isso continua acontecendo.<\/p><\/blockquote>\n Ser\u00e1 que as empresas, e seus funcion\u00e1rios, entendem quais s\u00e3o suas responsabilidades em limitar como usam os dados dos consumidores?<\/p>\n A GDPR quer que a limita\u00e7\u00e3o da finalidade seja um princ\u00edpio fundamental da prote\u00e7\u00e3o de dados<\/a>. A se\u00e7\u00e3o 1B do artigo 5 da norma destaca como os dados pessoais devem ser coletados somente quando o seu uso \u00e9 especificado explicitamente. Os dados n\u00e3o podem ser usados de outras formas que n\u00e3o condizem com seu proposito original. Existem algumas exce\u00e7\u00f5es para usos hist\u00f3ricos, cient\u00edficos e estat\u00edsticos, e \u201cse os interesses leg\u00edtimos desse controlador ou de terceiros se sobrep\u00f5e aos interesses da pessoa em quest\u00e3o<\/a>\u201d<\/p>\n A Comiss\u00e3o Europeia oferece orienta\u00e7\u00f5es para ajudar organiza\u00e7\u00f5es a saber se o que planejam fazer com os dados \u00e9 consistente, ou n\u00e3o, com seu prop\u00f3sito<\/a>. Eles sugerem, por exemplo, considerar se os dados s\u00e3o sens\u00edveis (incluem informa\u00e7\u00f5es de sa\u00fade, preferencias pol\u00edticas e mais)<\/a> e como continuar usando essas informa\u00e7\u00f5es pode afetar a pessoa que as forneceu.<\/p>\n Enquanto as penalidades por infringir o princ\u00edpio de limita\u00e7\u00f5es de finalidade ainda n\u00e3o s\u00e3o muito severas, uma grande quantidade de processos tem sido abertos, prejudicando a reputa\u00e7\u00e3o de certas empresas. A autoridade de prote\u00e7\u00e3o de dados da Noruega, por exemplo, \u00a0multou a Administra\u00e7\u00e3o de Vias P\u00fablicas do pa\u00eds em cerca de 50 mil d\u00f3lares por utilizar c\u00e2meras de \u201cseguran\u00e7a\u201d para monitorar o trabalho dos funcion\u00e1rios<\/a>. Mas infringir esse princ\u00edpio apenas com os dados de um consumidor n\u00e3o significa que as multas ser\u00e3o menores: autoridades espanholas multaram o banco Bankia em cerca de 50 mil d\u00f3lares por possuir e reutilizar dados de um consumidor 16 anos ap\u00f3s ele deixar de ser cliente do banco.<\/a><\/p>\n Isso porque ao considerar quem multar, os reguladores penalizam n\u00e3o pela viola\u00e7\u00e3o do princ\u00edpio, mas sim, pelas consequ\u00eancias. Por exemplo, se as companhias n\u00e3o seguirem os processos de limita\u00e7\u00e3o da finalidade de dados, elas podem estar infringindo outros requisitos da GDPR, tais como ter uma raz\u00e3o legitima para processar aqueles dados.<\/p>\n N\u00e3o \u00e9 s\u00f3 a Europa que estabeleceu a limita\u00e7\u00e3o da finalidade nas leis de dados. A California adicionou em 2018 a cl\u00e1usula de limita\u00e7\u00e3o da finalidade ao California Consumer Privacy Act (CCPA)<\/a>, a nova lei da privacidade de dados do estado. A cl\u00e1usula estabelece que as empresas devem, antes de coletar informa\u00e7\u00f5es pessoais, informar seus consumidores sobre como essa informa\u00e7\u00e3o ser\u00e1 usada e que precisam ter o consentimento desses consumidores para usar os dados em outra finalidade.<\/p>\n \u201cCada empresa processa diferentes tipos de dados pessoais, de diferentes formas, com prop\u00f3sitos diferentes\u201d<\/em>, afirma Alexey Testsov, Head de Prote\u00e7\u00e3o de Dados e Privacidade da Kaspersky na Europa. A GDPR obriga os controladores e processadores de dados a manter registros de quais dados a empresa est\u00e1 coletando, do porqu\u00ea est\u00e3o coletando e at\u00e9 quando ir\u00e3o armazenar esses dados. Juntamente com a auditoria e o mapeamento dos dados, esses registros s\u00e3o essenciais para que as responsabilidades em rela\u00e7\u00e3o \u00e0 limita\u00e7\u00e3o da finalidade sejam respeitadas.<\/p>\n \u201cOs funcion\u00e1rios devem saber como coletar, armazenar e utilizar dados pessoais sem infringir a legisla\u00e7\u00e3o. Dados os altos riscos do processamento de dados, \u00e9 melhor discutir mudan\u00e7as no processamento com um respons\u00e1vel pela seguran\u00e7a ou com o departamento jur\u00eddico da empresa. Os funcion\u00e1rios devem saber como consultar os especialistas internos da empresa sem ter medo de fazer isso\u201d, <\/em>completa Testsov.<\/p>\n Aqui est\u00e3o dois exemplos de problemas identificados que podem levar a falhas no controle de finalidade de uso de dados:<\/p>\n Controladores e processadores de dados devem ter em mente que avan\u00e7os adicionais nos softwares podem causar mudan\u00e7as na forma como os dados s\u00e3o utilizados. Isso \u00e9 conhecido como \u201cfunction creep\u201d<\/em>, quando o uso de uma tecnologia ou sistema vai al\u00e9m da finalidade para qual foi originalmente destinada, especialmente quando isso leva a uma potencial invas\u00e3o de privacidade.<\/p><\/blockquote>\n\u00c9 permitida a reciclagem de dados pessoais? O que dizem as leis.<\/strong><\/h2>\n
O que fazem as empresas para respeitar as obriga\u00e7\u00f5es da limita\u00e7\u00e3o da finalidade?<\/strong><\/h2>\n
Sistemas que mantem os dados separados<\/strong><\/h2>\n
\n<\/strong>Prote\u00e7\u00f5es eficientes contra o uso indevido de dados podem ter evitado recentemente alguns casos de reciclagem de dados. No Reino unido, o Gabinete de Comiss\u00e1rios da Informa\u00e7\u00e3o (do ingl\u00eas, Information Commissioners\u2019 Office<\/em> ou ICO) multou recentemente uma empresa de campanhas pol\u00edticas e uma seguradora em 120 mil libras cada. O ICO descobriu que informa\u00e7\u00f5es pessoais coletadas durante a campanha pol\u00edtica foram usadas para fazer propagandas de seguros, evidenciando falhas nos sistemas de prote\u00e7\u00e3o de dados das duas empresas<\/a>. \u201cOs sistemas que separam os dados pessoais de clientes de seguradoras dos dados coletados de inscritos pol\u00edticos foram ineficazes\u201d,<\/em> afirma o relat\u00f3rio do ICO.<\/p>\n