Obsolescência do Consumo programado no contexto da pandemia COVID 19 e o impacto jurídico frente a LGPD

Com a pandemia causada pela COVID-19, o distanciamento social gerou, além de um sentimento de pânico nas pessoas, um novo cenário socioeconômico global.

Por Valéria Reani

Ao longo da história, outras pandemias já assolaram o planeta e causaram transformações significativas na sociedade.

As formas de consumo e de relação e as inovações tecnológicas visando à sobrevivência são exemplos do que podemos esperar.

O século XX foi marcado pela tecnologia digital, e a humanidade avançou consideravelmente. Agora, em um cenário crítico, é preciso repensar as estratégias e inovar até mesmo nas ferramentas já disponíveis, para que se adequam cada vez mais às mudanças sociais.

Para muitos estudiosos, o coronavírus acelera uma série de mudanças que já estavam em andamento. Exemplo disso é a educação a distância (EAD),

 “A pandemia Covid-19 mudou permanentemente os padrões de uso de dispositivos por funcionários e consumidores. Com o trabalho remoto se transformando em trabalho híbrido, a educação doméstica se transformando em educação digital e os jogos interativos migrando para a nuvem, os tipos e o número de dispositivos que as pessoas precisam, têm e usam continuarão a aumentar”, aponta o diretor sênior de pesquisa da Gartner, Ranjit Atwal. (1)

Com mais variedade e escolha, de smartphones 5G, os consumidores começaram a atualizar seus smartphones, ferramenta fundamental que as pessoas usam para se comunicar e compartilhar momentos durante o distanciamento e isolamento social.

A integração da vida pessoal e profissional, juntamente com uma força de trabalho muito mais dispersa, requer flexibilidade na escolha do dispositivo. Os trabalhadores estão cada vez mais usando uma combinação de dispositivos de propriedade da empresa e seus próprios dispositivos pessoais executados no Chrome, iOS e Android, o que está aumentando a complexidade do serviço e suporte de TI.

A conectividade já é um desafio para muitos usuários que trabalham remotamente. Mas, à medida que a mobilidade retorna à força de trabalho, a necessidade de equipar os funcionários com as ferramentas certas para trabalhar em qualquer lugar será crucial. A demanda por laptops 4G / 5G conectados e outros dispositivos aumentará conforme a justificativa de negócios aumenta.

Conforme dados da ABRANET, em 2022, a base global instalada de dispositivos deverá atingir 6,4 bilhões de unidades, um aumento de 3,2% em relação a 2021. Embora a mudança para o trabalho remoto tenha destacado o declínio dos desktops, o uso de tablets e laptops aumentou. 

Este cenário contribuiu para a aceleração da obsolescência do consumo programado dos respectivos dispositivos, vez que os produtos são fáceis de comprar, sobretudo via internet justamente por ocasião da pandemia, mas são desenhados para não durar. Como efeito, os consumidores são obrigados a descartar os produtos adquiridos em um prazo muito menor e substituí-los por novos, que provavelmente também tiveram sua durabilidade alterada. Além do prejuízo ao consumidor, essa ação causa um impacto ao meio ambiente, pelo uso de recursos naturais, energia e geração de resíduos.

Outrossim, além do impacto ambiental, ressaltamos que Estudo aponta que 90% dos dispositivos descartados contém dados confidenciais.

Muitos consumidores, que estão considerando o descarte ou a venda seus equipamentos eletrônicos usados precisam estar atentos aos dados neles contidos, é o que aponta um novo experimento realizado pela empresa de cibersegurança Kaspersky sobre revenda de eletrônicos. (2)

Os pesquisadores descobriram também ser possível extrair dados de 74% dos dispositivos usando o método de esculpimento de arquivos (file carving, em inglês), que recupera arquivos em mídias de armazenamento. Os dados variaram de compromissos de calendários e anotações de reuniões, fotos e vídeos pessoais, documentos fiscais, informações bancárias, credenciais de login e dados médicos. 

“Este experimento tem como objetivo principal alertar as pessoas sobre sua responsabilidade em relação a proteção de seus dados pessoais”, avalia Fabio Assolini, analista sênior de segurança da Kaspersky no Brasil.

Portanto, sendo um consumidor, detentor de dados pessoais, antes de doar, vender ou mandar para reciclagem, lembre-se de fazer uma limpeza na máquina ou no gadget e retirar todos os seus arquivos, deixando-os livres para outros usuários, de forma segura e protegendo seus dados e mantendo sua privacidade conforme dicas abaixo: 

Fazer o backup

– Tire o cartão SIM: o cartão SIM é o da sua operadora, aquele que te permite fazer ligações, enviar SMS e conversar pelo WhatsApp ou Telegram. Parece óbvio que antes de vender celular usado é necessário retirá-lo, mas é normal esquecer essa parte

– Remova ou limpe o cartão SD ou MicroSD: É no cartão SD ou MicroSD que ficam armazenadas as suas fotos e vídeos, além de alguns áudios do WhatsApp, gifs, músicas e alguns aplicativos. Se você for vender o celular sem um dispositivo do tipo, é só retirá-lo abrindo a tampa do celular ou a gaveta hibrida para chip e cartão. 

– Criptografe os dados: Depois de cuidar de todos os componentes externos do celular, chegou a hora de pensar na parte interna. A primeira etapa é criptografar os dados do celular, para evitar que dados gravados na memória consigam ser acessados por hardwares especializados. Para fazer isso, basta ir às configurações do seu aparelho, escritas como “Configurar” ou “Configurações”, depois clicar em “Segurança” e depois em Criptografar dispositivo” ou “Criptografar telefone”. (3) 

– Reset do aparelho: Depois de realizar o backup, salvar seus dados e desvincular suas contas, você já pode resetar o aparelho e deixá-lo, ao novo proprietário, como veio de fábrica. 

Nesse cenário, é preciso avaliar a importância do descarte correto e responsável de aparelhos tecnológicos por parte dos consumidores e sobretudo pelas empresas, cujos ativos de TI são itens físicos e virtuais que formam uma rede corporativa.

No que concerne a responsabilidade Corporativa, de dados pessoais e fundamental sejam observados os dados armazenados nos diversos dispositivos corporativos a listados a seguir:

– Pendrive, HD externo e demais dispositivos móveis para armazenamento;

– Placa-mãe (CPU), memória RAM, processador, Hard Disk (HD) e demais componentes de um computador;

– Tablets, telefones celulares e smart phones

– Mouse, teclado, monitores e outros periféricos;

– Softwares e sistemas operacionais instalados em um computador;

– Switches, servidores e demais equipamentos;

– Impressoras conectadas à rede.

Gerenciar esses ativos significa pôr em prática diversas ações administrativas com o objetivo final de garantir a segurança dos dados (impacto da Lei Geral de Proteção aos Dados) e a conformidade com a lei de resíduos sólidos (leis estaduais que regulam o descarte de eletrônicos. 

No que tange a segurança dos dados, vale lembrar que a Lei Geral de Proteção de dados – LGPD lei 13.709/2018 estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.

A governança prevista nos artigos 49 e 50 da LGPD, e segurança da informação inclui a gestão de incidentes e de riscos, o mapa de dados, o DPO/Encarregado, e, quanto ao tema em foco, incluímos o Checklist para a gestão do descarte de ativos de TI.

Na hora de organizar os ativos e escolher um fornecedor para o descarte dos dispositivos, é prudente sejam analisados os pontos abaixo:

– Se o fornecedor de descarte de ativos de TI manipula com segurança meus ativos de TI, garantindo a privacidade e a conformidade com todas as normativas e leis;

– Se os processos de manipulação de ativos são seguros e claramente demonstrados pelo meu fornecedor para garantir assim a segurança dos dados de acordo com as Boas Práticas previstas na LGPD;

– Se atendem aos requisitos de segurança de dados corporativos em conformidade com a LGPD;

– De que maneira o fornecedor vai apagar os dados;

– Se efetuam a reciclagem dos equipamentos obsoletos ou danificados, adotando boas práticas de segurança de informação;

– Se esse serviço for subcontratado, se adotam as mesmas medidas dos itens anteriores;

– Quando os ativos saem da instalação corporativa, obter a garantia contratual de que o fornecedor protegerá os dados pessoais, de forma a garantir a reputação corporativa e marca, e a conformidade a LGPD já adotada pela, pela corporação, sob pena de responsabilidade solidária na hipótese de vazamento de dados;

– Garantir a transparência das operações do fornecedor;

– Garantir que permitem auditorias de clientes e Inspeções de instalações;

– Ter o conhecimento de que tipo de mídia de armazenamento de dados eles podem destruir; 

– Se os serviços e a logística estão em conformidade com a LGPD;

Sugerimos que esta checklist seja parte integrante de um contrato de prestação de serviços, entre a corporação e o fornecedor com cláusulas especificas de Privacidade e Proteção de dados pessoais, conforme a lei 13.709/2018, de forma a garantir as boas práticas previstas na LGPD, bem como haja a efetiva proteção aos dados pessoais contidos os ativos descartados ou vendidos. Essa prática proporciona ao gestor ter uma previsão de como se pode controlar e mitigar os riscos, tendo em vista que no âmbito de promoção da Segurança da informação, os processos e procedimentos devem assegurar a disponibilidade, integridade e confidencialidade de todas as formas de informação ao longo de todo o ciclo de vida do dado.

A identificação de riscos e ameaças do ambiente organizacional envolve testes de vulnerabilidades, com o objetivo de encontrar ameaças e fragilidades do ambiente tecnológico. A partir da identificação, é feita uma análise da relação entre segurança da informação e LGPD e o que precisa ser ajustado conforme a lei.

É possível utilizar essa lista para conferir se o gerenciamento foi implantado com sucesso. Existem diversas particularidades que precisam ser analisadas nas alternativas, sendo que o principal objetivo deverá ser a segurança e a sustentabilidade do processo, sobretudo quanto à conformidade da Lei geral de Proteção de dados, e demais regramentos ambientais.

É prudente, testar, conferir e revisar a checklist para ver se ela realmente atende às demandas relacionadas a Conformidade a LGPD já aderentes a corporação.

Conseguir alcançar um nível de maturidade interessante em todo processo de gestão de ativos de TI é algo que leva tempo. O inventário de TI deve adotar as boas práticas previstas na LGPD, e que seja agregada à cultura organizacional desde a alta administração a todos os colaboradores.

É muito importante que a LGPD, seja aplicada de forma especial no tocante a matéria de proteção de dados pessoais, não excluindo, a aplicação das demais leis de forma a complementar ou subsidiar, sejam leis nacionais ou tratados internacionais, que devam ser interpretados de forma harmoniosa e integradora.

Finalmente, ressaltamos que a responsabilidade da Proteção de dados pessoais, é de todos nós.

Referência Bibliográfica

• ABRANET- Covid-19 dispara consumo de PCs, tablets e celulares no mundo, disponível aqui! Acesso em 27/04/2021
• BRASIL,Lei 13.709 de 2018 Lei Geral de Proteção de dados. Disponível aqui! Acesso em 21/04/2021
• Kaspersky sobre revenda de eletrônicos. Disponível aqui! em acesso em 27/04/2021
• Cuidados antes de descartar o Celular ou vender. Disponível aqui! Acesso 2m 27/04/2021
• TOMASEVICIUS FILHO, Eduardo. A Política Nacional de Resíduos Sólidos e a Lei Geral de     Proteção de Dados Pessoais,Conjur, disponível aqui! Acesso em 27/04/2021

       

*VALÉRIA REANI RODRIGUES GARCIA

• Advogada Presidente da Comissão Especial de Privacidade e Proteção de dados Pessoais, OAB Campinas 2020
• Membro convidada do INPD Instituto Nacional de Proteção de dados
• Vice Presidente Comissão Direito Digital OAB Campinas 2017 até então
• Curso de extensão em “Strategic Thinking” pela University a Albany (State University of New York).
• Especialista em Direito e Privacidade de Dados Pessoais pela UNL – Universidade Nova Lisboa – Portugal.
• Curso Avançado Contratos Digitais e a LGPD na PUC Paraná.
• Curso Information Security Management Professional Based on Iso/IEC 27001 Exin.  Curso Avançado USP-FEA—LGPD/GDPR – DPO- “Data Protection Officer “.
• Especialista em Direito Digital e Compliance pela Faculdade Damásio Educacional.
• Especialista em Gestão Empresarial pela PUCC – Pontifícia Universidade Católica de Campinas e em Direito do Trabalho e Direito Processual do Trabalho pela Escola Superior de Advocacia – ESA/SP. Coordenadora Pedagógica, Científica e Docente dos cursos de Direito Digital e Inovação da ESA – Escola Superior de Advocacia de Santos, Santo André e Campinas.
• Escritora Colunista sites Jurídicos; autora de obras; Direito Digital – Debates Contemporâneos, 2019; Compliance Digital, 2020 ambas pela Thonsom Reuters e LGPD Aplicada, 2021 Editora GenJuridico;

Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!

Crypto ID Entrevista: Sergio Muniz e o papel da proteção de dados no combate à pandemia

Entrevista com Daniela Costa – VP da Arcserve LATAM – sobre Proteção de dados e soluções de backup