22.1 C
São Paulo
terça-feira, dezembro 3, 2024
InícioColunistasDados pessoais no descarte de equipamentos eletrônicos

Dados pessoais no descarte de equipamentos eletrônicos

O mercado de tecnologia é estimulado a consumir cada vez mais novos produtos e serviços, mais rápidos, com mais funcionalidades e maior capacidade de armazenamento. Este cenário resulta na obsolescência percebida dos dispositivos usados que, apesar de suas condições de uso, serão substituídos e jogados fora, gerando o chamado descarte de eletrônicos.

De acordo com a União Internacional de Telecomunicações (UIT) da ONU, somente 17% destes dispositivos descartados são oficialmente coletados e reciclados. Entre eles estão os equipamentos de tecnologia da informação e comunicações (TIC) – como celulares, tablets, notebooks, e-readers, além dos mais diversos dispositivos de internet das coisas (IoTs), tais como smartwatches e smartTVs,  que por coletarem e usarem cada vez mais dados para seu funcionamento, incluindo os pessoais, quando descartados de forma inadequada apresentam riscos à privacidade e ao sigilo das informações.

Isso porque seja por necessidade ou até mesmo como oportunidade de negócios, o descarte de equipamentos eletrônicos demanda planejamento e preparação para os envolvidos devido não apenas às obrigações de sigilo, inclusive contratuais, como também às exigências legais, em especial aquelas trazidas pela Lei Geral de Proteção de Dados Pessoais e suas regulamentações (LGPD), ponto que abordaremos neste texto.

Gestão Adequada de Resíduos Eletrônicos: Como Minimizar os Riscos à Privacidade

A LGPD estabelece as diretrizes para os diferentes usos dos dados pessoais, incluindo em meio físico mas principalmente no meio digital, por pessoas físicas e jurídicas, tanto de de direito público quanto privado. Promulgada em 2018, suas obrigações estão em vigor a partir de 2020 e as multas que podem chegar a 50 milhões de reais podem ser aplicadas desde agosto de 2021. Ou seja, não temos mais a desculpa de estarmos diante de uma lei nova, e o dever da segurança da informação no manuseio de informações pessoais é imprescindível para garantir o direito à privacidade dos titulares destes dados.

A gestão de riscos à proteção de dados pessoais é baseada em três fundamentos:

  • gestão: os tratamentos de dados pessoais devem ser mapeados e inventariados, contemplando todos os usos na empresa, desde a coleta até a destruição do dado pessoal ao final de seu ciclo de vida, incluindo o descarte de equipamentos eletrônicos;
  • governança: advém das políticas e procedimentos que orientam o uso dos dados pessoais na organização, incluindo as próprias normas de retenção e no descarte, as políticas de privacidade uso externo e interno, as cláusulas de privacidade nos contratos com fornecedores, clientes e colaboradores, nas análises de risco e legitimidade de uso de dados pessoais e nos procedimentos de resposta às requisições dos titulares e planos de resposta a incidentes de segurança, o que abrange também a comunicação à ANPD e aos titulares no caso de ocorrências envolvendo dados pessoais que tragam risco relevante aos impactados;
  • transparência: é verificada através da informação fornecida aos titulares sobre os tratamentos executados, suas finalidades, possíveis compartilhamentos de seus dados pessoais, tempo de retenção, dentre outros.

Diante de tais fundamentos podemos perceber que o descarte indevido de resíduos eletrônicos pode trazer risco de violação da privacidade, pois informações pessoais podem estar armazenadas nestes dispositivos e assim serem acessadas indevidamente.

É sabido que a legislação brasileira estabelece a responsabilidade do consumidor[2], o usuário doméstico dos dispositivos eletrônicos, por eliminar seus dados pessoais destes equipamentos antes de descartá-los. No entanto, a obrigação do consumidor descrita acima incide somente sobre o descarte doméstico e nessas relações de consumo.

Quando o descarte for não doméstico, como de produtos de uso corporativo ou utilizados por profissionais para processos produtivos, tal obrigação recai tanto sobre a empresa que está descartando quando sobre aquela que está participando do descarte. Assim, para mitigar o risco é importante que as empresas contem com a gestão adequada do resíduo eletrônico por meio de programas e procedimentos que governem o processamento com segurança dos equipamentos descartados, protegendo os titulares das informações pessoais.

Este sistema de gestão de segurança da informação deve refletir a estratégia de reciclagem adotada, que pode considerar: (a) reciclar, através de medidas de eliminação física de dados pessoais, ou seja, destruir discos rígidos, chips e cartões de armazenamento; ou (b) reutilizar, contando com medidas que permitam a reutilização de componentes em boas condições através de recurso de criptografia.

Boas Práticas no Descarte de Eletrônicos: Garantindo Conformidade com a LGPD

Diante destes cenários, como proteger a privacidade no descarte de resíduos eletrônicos?

(i) Controle cada etapa do processo: As empresas devem gerenciar o processo logístico para garantir a rastreabilidade dos dispositivos descartados, desde a coleta ou recepção do equipamento e durante todo o procedimento de transformação que será executado de acordo com a estratégia do negócio. Esta ação é denominada gestão da cadeia de custódia deste resíduo. O ambiente de preparação e manuseio de equipamento descartado deve ter acesso restrito àqueles envolvidos nas atividades de tratamento definidas no procedimento a ser executado. Não dá para deixar uma pilha de HDs no canto da sala ou em um depósito que muitas pessoas possam ter acesso.

(ii) Fique atento às diversas fontes de informações: por vezes, os equipamentos descartados podem ser acompanhados de documentos, embalagens, pacotes, contendo dados pessoais. Estes resíduos devem ser tratados através de medidas de eliminação ou ocultação dessas informações, seja através da remoção física como destruição de etiquetas, trituramento de documentos, ou aplicação de tinta ou outra medida sobreposta aos dados pessoais de forma que impossibilite sua visualização.

O dispositivo eletrônico descartado precisa passar por um processo de apagamento das informações armazenadas. Na estratégia de reciclagem é necessária a destruição física dos dispositivos, como o uso de técnicas de perfuração mecânica, esmagamento ou trituração dos dispositivos de armazenamento (memory cards, HDs e SSDs, CDs, DVDs, pendrives, etc).

Já na estratégia de reutilização, partem para a recuperação do dispositivo e o apagamento das informações armazenadas, excluindo todos os arquivos. Porém, vale lembrar que, mesmo após apagar digitalmente os dados pessoais nos dispositivos, existem procedimentos que podem ser adotados para tentar recuperá-los, inclusive para fins ilícitos. Definitivamente, restaurar a configuração de fábrica não é suficiente, sendo recomendada a utilização de técnicas de gravação de conteúdo novo sobre o existente, e de aplicação de criptografia antes de apagá-lo. Desta forma, mesmo que um hacker consiga recuperar os dados gravados, estas informações estarão criptografadas e, portanto, inacessíveis caso este não consiga acesso àa chave criptográfica utilizada.

(iii) Tenha a documentação necessária: A empresa de reciclagem deve contar com Políticas de Privacidade que apresentem de forma clara os usos que faz dos dados pessoais, suas finalidades e canais de comunicação disponíveis aos titulares, além de informar sobre a destruição de dados pessoais implementada e controlada, incluindo os procedimentos para eliminar estes dados mantidos nos componentes de armazenamento e destruir os dispositivos que não possam ser limpos.

As empresas devem descrever claramente (a) como os dispositivos que contêm dados pessoais são apagados, tal como o uso de software que atenda aos padrões da indústria e (b) como destrói fisicamente o dispositivo que não puder ter os dados eliminados, por exemplo com o uso de triturador.

É importante também atentar quanto à documentação que o cliente espere receber para acompanhar o descarte do resíduo, como um certificado de destruição ou eliminação de dados pessoais.

Ter uma política clara de destruição de dados é importante não apenas para proteger não apenas os dados pessoais, mas também as informações confidenciais.

(iv) Treine para reduzir riscos de incidentes de segurança envolvendo dados pessoais em empresas de reciclagem: Estudos sobre os incidentes de privacidade nos EUA indicam que cerca de 25% das violações de informações são causadas por negligência, seja dentro da organização, como por deixar seu usuário e senha anotados onde no bom e velho post-it colado na tela. Mas também acontece quando uma empresa compra novos computadores e descarta os antigos sem o devido apagamento dos dados armazenados nos dispositivos.

A conscientização por meio do treinamento de colaboradores, prestadores de serviço, fornecedores e coletores é de extrema importância para prevenir incidentes de segurança envolvendo informações armazenadas em meio físico ou digital.

(v) Garanta o exercício dos direitos dos titulares: Além de importantes definições, a LGPD também traz princípios e direitos aos titulares, que devem ser obedecidos por todas as organizações que tratem dados pessoais.

As empresas de reciclagem devem estar preparadas para atender às possíveis requisições de titulares. Para cumprir com esta obrigação legal, a empresa precisa contar com inventário de uso de dados pessoais devidamente documentado e com normas que orientem como deve ser processada uma solicitação desta natureza, visto que existem prazos legais para o fornecimento das informações, sendo:

(a) imediato, para as informações resumidas ou (b) até 15 dias para informações detalhadas. O consumo de produtos tecnológicos aumenta ano após ano e, com isso, a necessidade da devida destinação dos equipamentos defasados. Assim, a governança, a gestão e a transparência são fundamentais para assegurar a conformidade com os requisitos legais, em especial da LGPD, mitigando riscos de passivos decorrentes da violação da privacidade

Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!

Postagens recomendadas
Outras postagens