Por Giovanni Carlo
Lei Federal n° 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), trouxe diversas responsabilidades para as organizações que tratam dados pessoais dos titulares, que são pessoas físicas. Uma das responsabilidades que a LGPD exige é o respeito aos direitos dos titulares.
Os direitos do titular são baseados principalmente no conceito de autodeterminação informativa, que é o direito de alguém saber como seus dados estão sendo utilizados por diversas organizações com as quais o titular compartilha suas informações pessoais. Citando cada um dos direitos que a LGPD traz, eles são: acesso; correção; explicação; anonimização, bloqueio e eliminação; portabilidade; revogação do consentimento; informação; revisão de decisões automatizadas.
Os titulares devem ter fácil acesso ao canal de comunicação da organização para dar efetividade ao exercício de seus direitos, por isso, a maneira de comunicar deve ser, por exemplo, informada de forma ostensiva no site. O responsável em receber e administrar essas solicitações dos direitos do titular é o Encarregado, uma figura que a LGPD trouxe com o intuito de intermediar a comunicação entre os titulares e a organização.
Para atender aos pedidos dos titulares, o Encarregado deve ter a certeza de que quem solicita o direito de acesso, por exemplo, é realmente o titular daqueles dados. Caso medidas de segurança não sejam usadas para identificar corretamente as pessoas, é possível que o Encarregado seja alvo de alguma falsificação realizada por fraudadores, que terão acesso a dados pessoais de terceiros indevidamente, o que a LGPD considera como um incidente de violação de dados pessoais e que é passível de punição pelo órgão fiscalizador.
Para que uma organização possa ter certeza de quem solicita um pedido é realmente quem se diz ser, surgiu a autenticação. A autenticação é uma forma de provar que um fato ou algum documento é genuíno. Em termos digitais, a autenticação é mais utilizada para confirmar a identidade de alguém.
Para que o Encarregado possa exercer seu trabalho com segurança, é recomendável que ele aplique fatores de autenticação para confirmar a identidade dos titulares solicitantes.
Dessa forma, é recomendável aos Encarregados fazerem o uso de autenticação para atender aos pedidos dos titulares, para que eles atendam às solicitações com segurança e também que garanta os direitos dos titulares como determina a LGPD.
Existem várias formas de se fazer a autenticação de alguém, focando principalmente aspectos de algo que você conhece, algo que você tem e algo que você é.
O Encarregado deve ter bastante sensibilidade nesse momento de escolher qual metodologia de autenticação ele aplicará em uma organização que ele trabalha, porque as possibilidades de autenticação são muitas e elas são realmente interessantes do ponto de vista da segurança, contudo, podem ser inviáveis legalmente e operacionalmente. Nesse contexto, o Encarregado deve ter uma visão do negócio da organização, entender como ela funciona, quais são os custos envolvidos e na capacidade de investimento. A segurança da informação possui soluções atrativas, porém, algumas são muito caras e é possível solucionar o problema de forma eficiente, com menos custos.
A autenticação baseada em algo que você conhece, comumente é feita através de uma senha pessoal, ou respostas a perguntas aleatórias que você respondeu previamente. Já a autenticação baseada em algo que você tem, utiliza como prova algum dispositivo, geralmente são smartphones, tokens ou no próprio e-mail da pessoa. Por fim, as autenticações que utilizam atributos do que você é, normalmente usam a biometria: impressão digital, íris, reconhecimento facial e por voz.
Na hora de escolher qual a autenticação mais adequada à organização em que se presta serviços, o Encarregado deve estar atento para não coletar mais dados na autenticação do que os próprios dados pessoais tratados em seus sistemas, ou seja, não usar um rifle para matar uma formiga.
Devemos considerar também, no momento de optar por um método de autenticação, se ele cumpre com os princípios da necessidade e adequação, que estão descritos no art. 6 da LGPD. Considerando, por exemplo, a autenticação com base no que você é, utilizando algum método biométrico de reconhecimento facial, por exemplo, para que a pessoa possa exercer seus direitos de acesso a um cadastro de e-commerce. Nesse caso, o Encarregado deve observar que a biometria é um dado sensível, que demanda maior proteção do que os próprios dados pessoais cadastrais (nome, endereço, e-mail, CPF) que a empresa já possui, sendo este tipo de autenticação não recomendado nesse caso de exemplo. Portanto, o Encarregado deve sempre se atualizar nos métodos de autenticação e agir com muita moderação nas escolhas que fará pela empresa que ele trabalha.
Outro ponto que merece ser discutido nesse âmbito da autenticação é sobre quando começa a contagem do prazo para o atendimento das solicitações dos titulares. Se a empresa controladora possui um sistema de autenticação, é mais seguro que o atendimento só ocorra após a confirmação da identidade do solicitante, pois evita-se de gastar tempo e recursos com requisições apócrifas. Dessa forma, a empresa controladora consegue trabalhar de forma mais eficiente e segura, evitando ainda ataques de negação de serviço (DoS), em que solicitações de titulares são realizados em massa, para prejudicar toda a operação de atendimento por meio da saturação de toda a estrutura montada, culminando numa possível perda prazos legais e, com isso, sofrer uma sanção da ANPD por não ter atendido alguma solicitação verdadeira de um titular.
Assim, sempre pautado pela razoabilidade e proporcionalidade, o Encarregado deve escolher os meios adequados para autenticar os titulares solicitantes de sus direitos, e com isso ainda evitar um possível ataque DoS, perpetrado por malfeitores que querem prejudicar a empresa controladora para tirar algum proveito.
Giovanni Carlo Batista Ferrari é Advogado, Aluno do DTIBR e sócio da EZprivacy