• Jornal LexPrime

A privacidade de dados e o impacto na Arquitetura

Sob a influência de diversos aspectos da General Data Protection Regulation (GDPR), regulamentação europeia de proteção de dados, à partir de 18 de setembro de 2020, entrou em vigor a Lei Geral de Proteção de Dados  – LGPD (Lei nº 13.709/2018), passando então a surtir efeitos tanto no que diz respeito à Pessoa Jurídica, quanto à Pessoa Física.

Esta lei possui amplo alcance, fazendo com que as empresas, independentemente do ramo de atuação, comecem a estruturar uma linha de planejamento sobre a forma de proteção ao tratamento dos dados pessoais de seus clientes e colaboradores, a fim de evitar infrações, que certamente irão culminar em prejuízos financeiros e danos na reputação.

Embora a necessidade de proteção à privacidade já esteja devidamente norteada em nossa Constituição Federal, bem como no Código Civil e no Código de Defesa do Consumidor, a LGPD surge como uma forma de embasar, não apenas a proteção dos dados mas, sobretudo, esmiuçar devidamente suas particularidades, de forma que mantenha preservada a privacidade dos usuários e colaboradores, e também seus respectivos poderes de escolha.

A proteção e o sigilo dos dados dos usuários e todos os colaboradores envolvidos em uma empresa surgem apenas como plano principal revelando assim, por meio de uma análise mais aprofundada, a necessidade de que todos tenham ciência do tratamento adotado para as informações prestadas, bem como do seu destino.

A LGPD prescreve um conceito aberto a respeito de dados pessoais, considerando que toda e qualquer informação relacionada a pessoa natural identificada ou identificável, ou seja, informações como nome, endereço, telefone, profissão, dentre outros, que são capazes de identificar a pessoa natural ou torná-la identificável, automaticamente.

Seguindo a linha de raciocínio, a LGPD também trouxe catalogado os dados considerados pessoais sensíveis, quais sejam aqueles sobre: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico, quando vinculado a uma pessoa natural.

Deste modo, entende-se que o maior propósito a ser atingido pela aplicabilidade da Lei Geral de Proteção de Dados é a privacidade do indivíduo, o tratamento dos dados pessoais do indivíduo, bem como seu poder de decisão diante do destino deles.

Lembrando que tratamento de dados pessoais é toda operação realizada com os dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A Arquitetura, como atividade que, entre outras características, exprime em espaços e experiências, as transformações culturais, comportamentais e tecnológicas das sociedades, também deverá ser influenciada, em maior ou menor escala, dependendo do tipo de projeto e sua atuação de mercado, pela LGPD.

Não será a primeira vez que a Arquitetura pode ter que se adaptar e absorver soluções que não são de normas ou leis específicas à sua atuação, como é, por exemplo, a Norma de Desempenho de Edificações (Norma NBR 15575 da ABNT de julho de 2013), mas que surgiu de forma a sistematizar e aumentar a qualidade das edificações e assim abranger e atender, entre outras, a Lei de Defesa do Consumidor (Lei 8.078 de 11 de setembro de 1990).

Quanto as transformações culturais e comportamentais, podemos lembrar dos impactos na arquitetura e no design que a Covid-19 promoveu nas casas, escritórios, comércios, aeroportos etc. E é uma via de mão dupla: da mesma forma que são influenciados, a arquitetura e o design também influenciam ações e comportamentos.

Neste sentido, então, podem ser necessárias adequações nas estruturas físicas e arquitetônicas das empresas, para que também se enquadrem às determinações da LGPD, especialmente diante da possibilidade de acesso indevido por parte de terceiros a informações restritas e confidenciais, e os novos projetos já devem contemplar essas necessidades.

Definições básicas, por exemplo, de layouts em que os equipamentos sejam posicionados de forma que o ângulo de visão seja restrito, tais como não estarem voltados para vidros transparentes ou corredores de acesso público, não são mais apenas boas práticas da arquitetura, mas sim exigências contempladas no ISO/IEC 27002/2013 (norma que fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização); NIST 800/53 (catálogo de controles de segurança e privacidade para todos os sistemas de informação federais dos EUA); e PCI DSS (padrão de segurança de dados do setor de cartões de crédito e meios de pagamento).

É fundamental também a atenção dos arquitetos, engenheiros e projetistas na definição de espaços e soluções com controles de acesso e de monitoramento, itens quase onipresentes no mundo em que vivemos, ainda mais quando se fala de proteção de dados, mas que ao mesmo tempo exigem políticas e normas a serem respeitadas e que devem ser validadas com Encarregado de Dados do seu cliente. Em função dos avanços tecnológicos, como algoritmos de inteligência artificial, dados de localização e georreferenciamento, bem como reconhecimento facial, entre outros, é possível, por exemplo, examinar os perfis de comportamento de clientes e definir hábitos de compra, sem se limitar a estudos e técnicas psicológicas para identificar o índice de gasto de determinado grupo de consumidores e frequentadores casuais, tornando possível, por conseguinte, obter resultados mais precisos, assertivos e automáticos.

Os projetos arquitetônicos devem, assim, considerar as necessidades e adaptações para as seguintes exigências legais, entre outras, que as empresas devem adotar em seus espaços visando a privacidade de dados:

  1. Procedimentos para formalização de inclusão, exclusão e revisão dos acessos físicos concedidos;

  2. Segregação física das áreas críticas (ex: atendimento, datacenter e processamento de informações confidenciais);

  3. Necessidade de controles de acesso: autorização para acesso às áreas críticas, por biometria, crachá ou senha;

  4. Monitoramento de CFTV (Closed Circuit Television), garantindo que todas as entradas, saídas e áreas críticas sejam monitoradas;

  5. Restrição de acesso a áreas confidenciais apenas a usuários autorizados, utilizando mecanismos de autenticação de, pelo menos, dois fatores (ex: biometria e senha);

  6. Ter isoladas as áreas de entrega e carregamento das demais dependências da empresa;

  7. Ter procedimento e local específico para retirada e devolução de documentos e equipamentos;

  8. Ter cabeamento da rede dentro de racks trancados com chave, quando não estiverem sofrendo manutenção;

  9. Proibir a entrada no ambiente das áreas críticas com pertences que possam ser utilizados para saída de informação (ex: papéis, bolsas, celulares etc.);

  10. Ter local apropriado para guarda de informações do negócio sensíveis ou críticas, em papel ou em mídia de armazenamento eletrônicas; e

  11. Orientar para que os documentos que contenham informação sensível ou classificada sejam removidos de impressoras, ou isolar tais equipamentos em salas específicas e controladas, para limitar o acesso.

O arquiteto passa, então, a aumentar o rol de itens na sua tomada de briefing com seus clientes e a atuar como importante agente de contribuição na implantação das políticas de proteção de dados das empresas, e se faz indispensável para a definição de soluções harmônicas, criativas e funcionais, minimizando impactos, melhorando os fluxos, experiências e a ambientação dos espaços.

A Lei Geral de Proteção de Dados não se limita apenas a gerir a relação de transparência junto aos seus clientes, colaboradores e fornecedores, mas também impõe penalidades àquelas empresas que não implementam procedimentos de segurança para proteger os dados pessoais desses clientes, desde a imposição de uma advertência até a imposição de uma multa na proporção de 2% sobre faturamento anual da empresa, podendo chegar a R$ 50 milhões.

Listamos alguns cuidados que devem ser levados em conta, quando o assunto é privacidade de dados:

(i) Segurança na captação dos dados do cliente;=

(ii) Selecione e trate apropriadamente os dados, de acordo com o seu impacto: se são apenas dados empresariais, não haverá impacto para a LGPD;

(iii) Utilize um software de auditoria;

(iv) Indique um encarregado de dados;

(v) Formalize políticas de segurança;

(vi) Treinamento;

(vii) Seguro contra ataques cibernéticos;

Decerto, a LGPD trará grandes mudanças positivas na estrutura de relacionamento entre as empresas e seus clientes, colaboradores e fornecedores, pois irá otimizar as relações para atender melhor as demandas, dentro do perfil de cada um, bem como trará grandes oportunidades de crescimento e transparência, especialmente, diante das condutas preventivas que precisam ser adotadas uma vez que a LGPD já entrou em vigor, como forma de minimizar ou até mesmo prevenir a incidência das severas penalidades, além da perda da reputação, cujo valor é inestimável e, muitas vezes, irrecuperável.

Autores:

Paulo Salvador Ribeiro Perrotti: Advogado da LGPDSolution (www.lgpdsolution.com.br), Presidente da Câmara de Comércio Brasil-Canadá, Professor de Cyber Security na Pós Graduação da Faculdade de Engenharia de Sorocaba (FACENS), com especialização em Direito Canadense e de Québec pela Université de Québec à Montreal – UQÀM, possuindo Pós Graduação em Administração de Empresas pela Fundação Getúlio Vargas de São Paulo, especialização em Direito de Informática (LLM) pelo IBMEC/SP, Mercado Financeiro pelo Instituto Finance, Responsabilidade Social pela ESPM/SP, Certified Secure Computer User (CSCU) pela EC-Council e membro da Comissão Especial de Relações Internacionais da OAB/SP.

Artur Jorge de Deus Lé: Arquiteto pela Universidade Mackenzie e com Pós Graduação nas áreas de administração e gestão pela FAAP e Universidade Mackenzie, é sócio da ANASTASSIADIS ARQUITETOS, em São Paulo, escritório com projetos nacionais e internacionais nas áreas corporativa, hoteleira, empreendimentos imobiliários e residencial, atendendo aos maiores players mundiais nestes segmentos.

0 visualização0 comentário