Depois de um período de férias, o site DPO na Prática “volta à ativa” trazendo notícias, novidades e experiências reais de quem trabalha no dia a dia da proteção de dados. E não poderíamos regressar com outro tema que não este: cuidado com o uso de apps de mensagem!
Não é de hoje que eu aviso para os riscos inerentes ao uso de apps de mensagem, especialmente o WhatsApp.
Tanto é que em janeiro de 2021 fiz uma live no YouTube com a Viviane Maldonado que durou quase 4h e dissecamos o aviso de privacidade do WhatsApp (antes mesmo da ANPD divulgar seus questionamentos sobre este app).
E mesmo antes disso, ainda em 2020, seja em treinamentos internos para empresas, seja em cursos desenvolvidos em conjunto com a TIexames, alerto para o tema. E sempre reforço: mesmo que estes apps tratem dados “apenas de maneira anonimizada”, temos de tomar cuidado!
Agora foi a vez da ICO, a Autoridade de Proteção de Dados do Reino Unido, divulgar um relatório a respeito do uso de tais aplicativos pelo Departamento de Saúde e Cuidados Sociais (DHSC, sigla em inglês) durante a pandemia.
A investigação da ICO constatou que a falta de controles claros e o rápido aumento no uso de aplicativos e tecnologias de mensagens – como o WhatsApp – tiveram o potencial de fazer com que informações importantes em torno da resposta do governo à pandemia fosse perdida ou tratada de forma insegura.
Um exemplo disso incluiu algumas informações marcadas como devendo ser protegidas que estavam localizadas em contas não corporativas ou privadas fora dos sistemas oficiais do DHSC. Estas informações, que tinham sido armazenadas em servidores externos, mostram uma falta de consideração do armazenamento e retenção destas informações e os riscos associados que isto poderia trazer.
A ICO concluiu que havia riscos reais à transparência e responsabilidade dentro do governo e agora solicitou uma revisão das práticas, bem como medidas a serem tomadas para garantir que sejam feitas melhorias em relação à forma como os funcionários e ministros utilizam os canais de correspondência privada no futuro.
Veja a seguir alguns dos resultados da investigação da ICO:
- Houve amplo uso de canais de correspondência privada por parte dos Ministros e do pessoal empregado pelo DHSC. Evidências mais amplamente disponíveis no domínio público também sugerem que esta prática é comumente realizada em grande parte do resto do governo e é anterior à pandemia.
- Embora haja evidências claras de que os ministros copiavam regularmente informações para as contas do governo para manter um registro dos eventos, havia o risco de que estes arranjos nem sempre fossem seguidos por todos os ministros e precisassem ser melhorados.
- O DHSC não tinha controles organizacionais ou técnicos apropriados para garantir a segurança eficaz e o gerenciamento de risco dos canais de correspondência privada que estavam sendo utilizados. Por exemplo, o Departamento não tinha informações sobre onde os dados pessoais sobre contas de terceiros eram hospedados, pois o DHSC não gerencia servidores de terceiros.
- As políticas e procedimentos do DHSC eram inconsistentes com a política do Gabinete do governo sobre o uso de e-mails privados (junho de 2013) e tinham algumas lacunas significativas com base na forma como os indivíduos-chave estavam trabalhando na prática. Isto representava um risco para o tratamento eficaz dos pedidos de informação de acordo com os códigos de prática relevantes sob a legislação de acesso à informação do Reino Unido.
- O uso de tais canais desta forma também apresentava riscos para a confidencialidade, integridade e acessibilidade dos dados trocados.
- A ICO reconhece que o uso de canais privados trouxe alguns benefícios operacionais reais em uma época em que o Reino Unido enfrentava pressões excepcionais em toda a pandemia COVID-19. No entanto, é preocupante que tais práticas continuaram sem qualquer revisão de sua adequação ou dos riscos que apresentavam, e a ICO fez recomendações para melhorar o DHSC.
Além de recomendações práticas com melhorias, a ICO também emitiu uma reprimenda com base na legislação de proteção de dados, exigindo que o DHSC melhore seus processos e procedimentos em torno do tratamento de dados pessoais por meio de canais de correspondência privada e garanta que as informações sejam mantidas seguras.
E você, tem cuidado com o uso de apps de mensagem? O que você faz para evitar os riscos à privacidade decorrentes do uso de tais apps? Deixe abaixo a sua experiência prática sobre este tema!