BLOG


Órgão público inglês tem que deletar 5 milhões de registros biométricos com aplicação de GDPR

Mesmo sem nenhum incidente, a falta de clareza no consentimento e a possibilidade de compartilhamento das identidades de voz fazem regulador impor a eliminação dos dados coletados por órgão de serviços aos contribuintes.

Em 2017, os usuários do atendimento telefônico do HMRC (Her Majesty's Revenue and Customs - um órgão de gestão de tributos e benefícios) ganharam a facilidade de substituir as senhas e outras verificações de segurança para autenticação por voz.

No ano seguinte, a Big Brother Watch, uma ONG dedicada a privacidade, acusou inconformidades do serviço a GDPR (Regulamento Geral de Proteção de Dados), que começava a vigorar em maio de 2018. Neste mês, o Information Comissioner’s Office (ICO - a autoridade reguladora do Reino Unido) determinou a eliminação de 5,1 milhões de registros.

“As amostras de voz poderiam deixar os cidadãos comuns expostos à identificação por outras agências de governo em áreas que dizem respeito à sua vida privada”, argumenta Silkie Carlo, diretora da Big Brother Watch. O HMRC acatou a determinação do regulador e não teve nenhuma penalidade.

Em uma campanha para corrigir os termos de consentimento, cerca de 1,5 milhão de usuários confirmaram sua intenção de usar a facilidade de autenticação. “O serviço é popular entre nossos clientes, é a forma mais segura de proteger os dados das pessoas e permite que os usuários tenham um serviço mais rápido”, diz Jon Thompson, DPO do HMRC.

Rever consentimentos e classificar os dados evita problemas e qualifica os cadastros

O grande erro de quem conduziu essa inovação no HMRC foi não adotar o princípio de “compliance by design”. À época do lançamento, o GDPR já estava definido e as obrigações eram só uma questão de tempo. A grande lição é que começar certo sai mais barato e é muito mais seguro.

Em qualquer iniciativa ou projeto que envolva coleta e/ou processamento de dados pessoais, é preciso atenção aos processos de consentimento. Também é necessário refinar a gestão de dados, para amarrar cada pedaço da informação à finalidade e aos direitos de uso acordados com as pessoas que concordaram explicitamente em fornecer seus dados.

A revisão dos cadastros e das bases legadas é uma tarefa mais desafiadora, que é bom começar o mais rápido possível. Por isso não acredite que com a nova data (agosto de 2020) para entrar em vigor a LGPD (Lei Geral de Proteção de Dados), esteja sobrando tempo.

Em ambos os casos, o esforço para garantir a segurança, a governança dos dados e os direitos dos titulares não se justifica apenas pela obrigação regulatória. Mitigar os riscos de litígios e multas é importante, mas não é só isso. Ao refinar a classificação dos dados, se alavancam tanto a qualidade quanto o valor da base, que passa a ser mais confiável e útil.

Cuide bem dos clientes que mais valorizam seus serviços e os faça valorizar a ética de suas condutas. Tome as decisões certas e estamos prontos para ajudar a colocá-las em prática.

Caso queira tirar dúvidas ou falar com nossos especialistas sobre a LGPD, mande um email para: contato@first-tech.com

Fonte: https://www.bbc.com/news/business-48150575