InternetLab lança a sétima edição do “Quem Defende Seus Dados?”
A iniciativa tem como objetivo promover a transparência e a adoção de boas práticas em privacidade e proteção de dados pelas empresas provedoras de conexão à Internet no Brasil.
Aproveitando a data do Dia Internacional da Proteção de Dados, que será celebrado neste sábado (28/01), hoje lançamos a sétima edição do “Quem Defende Seus Dados?”, iniciativa do InternetLab que visa promover a transparência e a adoção de boas práticas em privacidade e proteção de dados pelas empresas provedoras de conexão à Internet no Brasil.
Neste ano, constatou-se que, apesar dos avanços, as operadoras ainda enfrentam desafios relacionados à proteção de dados, principalmente com relação à transparência de suas práticas.
Segundo dados do relatório da pesquisa, empresas de telecomunicações enfrentam problemas nos canais utilizados para atendimento aos direitos previstos na Lei Geral de Proteção de Dados (LGPD). Houve ocorrências de problemas técnicos nos portais de atendimento (como não reconhecimento do CPF de clientes atuais) ou entraves desnecessários à realização das demandas de acesso a dados. A maior parte das empresas não cumpriu o prazo estabelecido para resposta aos clientes.
A pesquisa também questionou a postura das empresas diante do uso de tecnologias de reconhecimento facial, que têm sido questionadas por conta de vieses discriminatórios e falta de acurácia. Apenas duas empresas avaliadas comprometeram-se a não utilizar o reconhecimento facial de maneira compulsória para registro de novos clientes.
Ainda que o documento aponte desafios, há avanços significativos. Dentre eles, a criação de portais exclusivamente dedicados ao tema da proteção de dados, que permitem a interação dinâmica dos usuários com as políticas de privacidade e transparência das empresas. Chama atenção, também, o fato de que a maioria das empresas, ao longo do último ano, agiu em defesa dos interesses de seus usuários no Judiciário, por meio da contestação de pedidos ilegais de acesso a dados por parte de autoridades públicas.
Veja os principais achados do relatório abaixo:
- Entre as seis empresas analisadas neste ano, apenas duas (Claro e Algar) foram capazes de cumprir com um prazo de 15 (quinze) dias para o fornecimento de declaração clara e completa de confirmação de tratamento de dados pessoais. Para as demais, não foi possível obter informação sobre a existência de tratamento de dados de clientes, tampouco sobre a qualidade e quantidade dos dados controlados pelas empresas.
- A maior parte dos ambientes voltados às solicitações de direitos contavam com limitações para informar aqueles que não são clientes. Por vezes, também, os portais disponibilizados tinham defeitos técnicos (como o não reconhecimento do CPF de clientes atuais) ou estabeleciam entraves desnecessários para responder às demandas de quem solicitava informações (por exemplo, exigência de documento assinado com reconhecimento de firma para solicitações feitas por não clientes).
- Quanto à transparência, a pesquisa aponta como aspecto positivo a disponibilização de informações sobre pedidos de acesso a dados feitos por autoridades públicas, incluídas em quase todos os Relatórios de Sustentabilidade das empresas analisadas. Apesar disso, ressalta-se que poderiam vir, em alguns casos, com maior grau de detalhamento, como o tipo de dado solicitado pela autoridade e o número de contas afetadas.
- Ainda em relação à transparência, destaca-se que nenhuma empresa pontuou no critério referente à publicização de relatórios de impacto à proteção de dados.
- Em relação à postura pública das empresas quanto à privacidade, a pesquisa avaliou o posicionamento sobre o uso de tecnologias de reconhecimento facial. Conforme aponta o relatório, de forma geral, houve pouco comprometimento das empresas com o aumento das proteções à privacidade diante da implementação de tais métodos de verificação, considerados especialmente invasivos. Neste quesito, a Oi se destacou por recusar-se ao uso do reconhecimento facial para prevenção de fraudes nos cadastros para serviços pré-pagos. A Tim, por sua vez, admitiu utilizar reconhecimento facial apenas mediante consentimento do titular da conta, não tornando o seu uso obrigatório como medida de segurança.
- Assim como nos últimos anos, nenhuma empresa comprometeu-se a notificar usuários sobre pedidos de acesso a dados por parte de autoridades públicas ou pelo judiciário, quando o sigilo não estiver determinado legalmente.
Alterações metodológicas
Em sua sétima edição, o projeto avaliou as seguintes empresas: Oi banda larga fixa e móvel; Vivo banda larga fixa e móvel, TIM banda larga fixa e móvel, NET, Claro, Brisanet banda larga fixa e móvel e Algar (apenas banda larga fixa). As operadoras foram avaliadas em seis categorias, dentre elas (i) informações sobre a política de proteção de dados, (ii) protocolos de entrega de dados para investigações, (iii) defesa dos usuários no judiciário, (iv) postura pública pró-privacidade, (v) relatórios de transparência e de impacto à proteção de dados, e (vi) notificação do usuário em casos de pedidos de acesso a dados.
A edição deste ano contou com algumas alterações metodológicas voltadas a aumentar o rigor com o qual as empresas foram avaliadas. Sub-parâmetros relacionados ao compromisso com a privacidade e proteção de dados foram expandidos, incluindo mais requisitos relacionados à transparência quanto ao compartilhamento de dados com terceiros. Além disso, foram incluídos novos critérios relacionados à transparência em relação a direitos de titulares e entregas de dados a autoridades, bem como a protocolos de segurança cibernética.
O projeto é realizado pelo InternetLab com a parceria da EFF (Electronic Frontier Foundation) – uma das principais organizações americanas de defesa de direitos digitais –, sendo a versão brasileira da pesquisa estadunidense “Who has your back?”.
Os resultados completos de 2022 estão disponíveis em quemdefendeseusdados.org.br.