Especialista da Genetec, líder em soluções de segurança, gestão operacional e inteligência de negócios, mostra que existem hoje soluções de segurança patrimonial e física modernas, em conformidade com a LGPD, que protegem as empresas, seus parceiros, clientes e colaboradores, mantendo a privacidade dos dados pessoais.
Na era digital, com o mundo cada vez mais conectado, as preocupações com a privacidade, principalmente em relação aos dados pessoais, só aumentam. Perguntas sobre quem tem acesso a quais informações e para quais propósitos são agora muito importantes. Esta é a razão de, até o momento, 71% dos países do mundo terem estabelecido alguma forma de legislação que assegura a proteção de dados e privacidade. No caso do Brasil está em vigor, há dois anos, a Lei Geral de Proteção de Dados (LGPD). Esses regulamentos visam estabelecer regras em relação ao tratamento (coleta, armazenamento, processamento, acesso etc.) de dados pessoais, incluindo imagens de vídeo, para ajudar a manter a privacidade e mitigar os riscos de atividades cibernéticas criminosas.
“Ao mesmo tempo, obter informações digitais é um componente vital para proteger pessoas e ativos. Governos e empresas privadas frequentemente coletam dados de indivíduos que estão dentro e em torno de suas instalações. Isso inclui dados pessoais que, segundo a LGPD, são quaisquer informações relacionada a pessoa natural identificada ou identificável, como imagens de vigilância, fotos, dados de controle de acesso e informações sobre placas de veículos. O grande desafio hoje é conciliar privacidade e segurança física”, diz Ueric Melo, Gerente de Especialistas de Aplicação e Gestor de Privacidade da Genetec.
Segundo Melo, uma questão complicada hoje é saber qual é a linha divisora em relação à dados pessoais, no contexto da LGPD. Ou seja, é preciso saber quando as imagens de vigilância são consideradas dados pessoais. A resposta nem sempre é direta, porque a definição de dado pessoal sob a ótica da legislação pode variar de acordo com o contexto. “Em geral, no entanto, não é o vídeo em si que é problemático. É a imagem de uma pessoa específica. Se o vídeo tiver uma resolução tão baixa que uma pessoa na câmera não possa ser, de nenhuma forma, identificada, ele não será considerado PII. Com a resolução das câmeras aumentando, proporcionando qualidade de imagem muito mais alta, está se tornando mais importante do que nunca que os profissionais de segurança tenham a certeza de estar totalmente cientes das regulamentações locais sobre privacidade e proteção de dados”, explica o especialista da Genetec.
Melo alerta que novos regulamentos e restrições sobre o tratamento e privacidade de dados pessoais são introduzidos constantemente em todo o mundo. Pode ser um desafio para os cidadãos e as pequenas empresas acompanhar todas essas mudanças, especialmente quando a legislação não é comunicada de maneira acessível e fácil de entender. Fornecedores e integradores podem ajudar a educar os usuários finais sobre essas diretrizes e promover a conscientização sobre as melhores práticas. “É uma boa prática para todos que capturam ou acessam vídeo, processem informações de controle de acesso ou manipulem qualquer outra disciplina de segurança física que processe dados pessoais, estejam atentos a quem tem acesso aos dados, bem como às regulamentações de privacidade”, ressalta o executivo.
É possível garantir privacidade e oferecer segurança
Equalizar segurança e privacidade não é um jogo de soma zero. Na verdade, muitas companhias hoje estão indo além dos requisitos regulatórios em torno da privacidade para garantir que não apenas protejam os dados pessoais, mas também garantam que aqueles que acessam os dados sejam responsabilizados por suas ações.
“As regulamentações de privacidade estabelecem um padrão mínimo de como os dados pessoais devem ser armazenados e gerenciados, mas as empresas podem fazer mais do que o mínimo. Modernos softwares de gerenciamento de vídeo (VMS), sistemas de controle de acesso e sistemas de reconhecimento automáticos de placas de veículos (ALPR) permitem que as empresas garantam que apenas pessoas autorizadas possam acessar dados pessoais, principalmente sensíveis”, enfatiza Melo.
De acordo ele, plataformas VMS com recursos de proteção de privacidade podem pixelizar pessoas em vídeos para anonimizar a identidade e fornecer trilhas de auditoria a fim de assegurar que haja um registro de quem acessou os dados e quando. “Da mesma forma, elas melhoraram a cybersecurity e a responsabilidade. Os sistemas ALPR podem, por exemplo, tornar os dados de placas não pesquisáveis ou rastreáveis por empresas privadas e velar os nomes dos proprietários de veículos, endereços e outros dados de identificação, acessíveis apenas em bancos de dados locais, estaduais e federais de registro e aplicação da lei”, explica o especialista da Genetec.
As leis geralmente se concentram em como os usuários finais operam o sistema. Os dados estão armazenados de forma segura? Há um processo claro para acessar dados confidenciais? No entanto, proteger informações pessoais é uma responsabilidade compartilhada:
O usuário final pode pesquisar fornecedores e seus recursos de proteção de privacidade.
O fornecedor de software pode fornecer as ferramentas certas para permitir que o usuário final proteja os dados, incluindo criptografia, autenticação, segurança e desfoque facial.
O integrador de sistemas pode configurar os sistemas corretamente e treinar o usuário final sobre como operá-los de maneira que respeite a privacidade.
Os operadores do usuário final podem ser treinados em processos internos para garantir que os dados sejam protegidos e não possam ser acessados sem a devida autorização.
A coleta consciente de dados leva a melhores decisões
Os sistemas de segurança estão mais predominantes e poderosos do que nunca, assim como os analíticos tornaram-se muito mais sofisticados. Agora que é mais barato e fácil capturar e interpretar imagens de vídeo, ALPR e dados de controle de acesso, mais empresas e indivíduos estão adicionando ou fazendo upgrades de câmeras.
“No entanto, mais dados nem sempre resultam em melhores decisões. O acesso a mais dados pode levar à sobrecarga de informações. Ao usar ferramentas para filtrar todas as entradas, é possível garantir que se está prestando atenção ao que é mais importante, mantendo a segurança dos outros dados”, detalha Melo. Uma forma de fazer isso é minimizar a quantidade de dados processados, mantendo só o necessário para alcançar os objetivos. Outra maneira é garantir que apenas aqueles que precisam das informações tenham acesso e nível de autorização adequado aos dados confidenciais. Por exemplo, os sistemas ALPR modernos normalmente armazenam somente o 'valor lido' de uma placa - não a imagem da placa em si e podem oferecer a opção de armazenar informações apenas se uma placa corresponder a uma lista de interesse.
Existe ainda a opção de implementar o “princípio dos quatro olhos”. Para garantir que os dados pessoais sejam vistos apenas por pessoas que precisam vê-los, algumas empresas exigem que duas pessoas forneçam credenciais para acessar determinados tipos de dados. Os rostos em gravações de vídeo, por exemplo, podem ser pixelados por padrão. Se um operador constatar um evento acontecendo, ele poderá pedir a um supervisor para desbloquear o vídeo. Para dados muito sensíveis, algumas empresas exigem que dois supervisores concordem em autorizar uma solicitação de acesso a dados.
Confiança é essencial
A privacidade está ligada à confiança. Todos os stakeholders precisam confiar que os dados são processados e armazenados com segurança e que a tecnologia e os sistemas da empresa estão sendo usados e funcionam conforme acordado. “As câmeras e controladores de porta que fazem parte de sua rede, instalados incorretamente ou inadequadamente, podem expor dados privados a hackers. Por isto, é fundamental avaliar de forma crítica que tipo de dados seu sistema está coletando, a qualidade desses dados e a eficácia dos mecanismos de controle em vigor”, comenta Melo
Para ele, a transparência é fundamental, pois a proteção de dados e privacidade tem tudo a ver com contexto. “As pessoas podem concordar em compartilhar sua localização enquanto usam determinados aplicativos em seus celulares, mas não querem que esses aplicativos continuem rastreando e compartilhando sua localização o tempo todo. Da mesma forma, o processamento de dados pessoais capturados por câmeras de vigilância, leitores de placas e sistemas de controle de acesso deve ser conduzido de forma transparente e responsável”, exemplifica o executivo da Genetec. Em determinadas situações, é necessário realizar o tratamento de dados pessoais sensíveis, e isso não viola a ética da privacidade, desde que os princípios previstos em lei sejam seguidos, como, por exemplo, transparência, finalidade e necessidade, que dizem que as pessoas envolvidas devem ser informadas sobre quais dados são tratados, quando, por quem e por quê.
Como desenvolver padrões éticos de privacidade sem comprometer a segurança
Existem várias maneiras pelas quais as companhias podem desenvolver padrões éticos de privacidade sem comprometer a segurança:
Serem seletivas sobre os dados que coletam - é preciso avaliar de modo criterioso quais informações são necessárias para alcançar seu objetivo. Por exemplo, ao coletar dados sobre visitantes, você precisa do endereço residencial completo ou basta verificar a identidade?
Desenvolver uma política de privacidade interna, ou seja, identificar um responsável pela proteção de dados para criar e manter políticas sobre quais dados são coletados, como são armazenados, quem pode acessar esses dados e em quais circunstâncias.
Procurar fornecedores de software de segurança certificados em proteção de privacidade, cybersecurity e governança, pois a certificação envolve uma verificação completa para garantir que os dados não possam ser acessados sem autorização. Não se trata apenas do produto em si, mas também da infraestrutura em torno dele, incluindo websites relacionados que armazenam dados do usuário.
As empresas devem trabalhar com fornecedores que desenvolvem ferramentas que incluem proteção de privacidade e segurança por design, o que lhes possibilitará selecionar e implementar soluções prontas para uso, que garantem melhor proteção contra ameaças cibernéticas e violações de dados já de fábrica, minimizando preocupações com as vulnerabilidades do sistema. “Essas soluções também podem dar a elas controle total sobre seus dados, para que possam ajustar métodos e processos de proteção a fim de atender às regulamentações em evolução e ajudá-las a configurar o sistema para definir quem tem acesso a dados e imagens confidenciais, sem diminuir os tempos de resposta ou investigações. Quando essas medidas estão em vigor, trata-se de um esforço em equipe para garantir a segurança com forte proteção de privacidade”, conclui Melo.
Comments