O que é importante saber quando se trata de biometria e de atender aos requisitos compliance ?
Conversamos com a assessora jurídica e diretora de Compliance Aware , Sarah Eckert, para obter informações sobre a relação entre compliance e biometria e o que é essencial para as organizações considerarem ao usar a biometria.
P: O que é compliance?
R: Compliance abrange uma ampla gama de aspectos, incluindo compliance legal,compliance segurança e compliance financeira. Dependendo de onde você está fazendo negócios, você está sujeito a diferentes regulamentações. Se estivermos falando do setor jurídico para o mundo corporativo, estaremos mais voltados para a compliance com a privacidade,compliance com segurança , bem como nos Estados Unidos, como uma empresa de capital aberto, como Aware, estaremos voltados para a compliance a SEC, requisitos de relatórios financeiros, etc.
P: O que é importante para uma organização comum entender sobre compliance?
R: É importante que as organizações se certifiquem de que estão em conformidade com os regulamentos que se aplicam diretamente à sua empresa. Especificamente, se você é uma empresa que opera na Europa, precisa estar em conformidade com o GDPR para privacidade e processamento de dados. É preciso ter certeza de que está lidando adequadamente com os dados europeus. O mesmo se aplica ao Brasil, que também tem uma lei de processamento de dados semelhante. A falta de compliance pode colocar uma organização em uma série de problemas, resultando em grandes multas, responsabilidade civil e, em alguns casos, responsabilidade criminal para os diretores da empresa.
P: O que é importante considerar em termos de compliance quando se trata de biometria?
R: As informações biométricas são consideradas, de modo geral, quando você analisa as normas de privacidade de dados, como um interesse especial ou uma categoria especial de PII (também conhecidas como informações de identificação pessoal). É uma categoria de interesse especial porque é algo que não pode ser alterado. Diferentemente do seu número de segurança ou do seu endereço de e-mail, por exemplo, que podem ser alterados se forem violados. As senhas podem ser alteradas em caso de violação. As informações biométricas não podem ser alteradas e, portanto, a proteção delas é extremamente importante. É extremamente importante que você tenha controle sobre para onde elas vão e quais empresas têm acesso a elas. Portanto, elas são cobertas por regulamentações específicas no âmbito do GDPR, bem como por algumas regulamentações de privacidade de dados e regulamentações de processamento nos Estados Unidos, como a CCPA e a CPRA. E, no Brasil, há a LGPD, que abrange o mesmo tipo de informação que o GDPR.
P: Qual é a função da privacidade e da proteção de dados na compliance?
R: Ao analisar a privacidade e a proteção de dados, é importante garantir que você tenha os padrões internos segurança adequados para que os dados não sejam acessíveis a todos os funcionários da empresa. Os dados acessíveis devem ser armazenados adequadamente e acessíveis somente aos funcionários que precisam ter acesso a esses dados.
P: E quanto à função de retenção de dados?
R: A retenção de dados é importante porque um dos "princípios" do GDPR é a minimização de dados, o que significa que você não deve armazenar ou manipular dados mais do que o necessário ou por mais tempo do que o necessário para executar as tarefas de processamento que lhe foram atribuídas. Por exemplo, para nós aqui na Aware, isso significa que normalmente armazenaremos dados como padrão, de acordo com o cumprimento de nossas obrigações contratuais durante a vigência do contrato. Isso é feito para que possamos continuar a autenticar os usuários depois que eles se inscreverem em nosso sistema. Para nossos clientes, no entanto, temos mecanismos para que nossos clientes empresariais possam remover usuários. Se esse usuário não estiver mais ativo em nosso cliente comercial ou se o titular dos dados quiser que removamos as informações, poderemos garantir que as informações sejam removidas adequadamente.
P: Você pode falar mais sobre o papel da transparência e do consentimento na compliance?
R: A transparência é uma grande parte do motivo pelo qual o GDPR foi aprovado pela União Europeia. Ele trata muito dos direitos do consumidor, garantindo que os consumidores saibam como seus dados estão sendo processados, quais dados estão sendo processados e o que você faz com essas informações depois de tê-las. Muitas dessas informações envolvem algumas categorias de dados de interesse menos especial, como e-mails, nomes, endereços, informações sobre funcionários ou outras informações sobre seu empregador que possam ser usadas para identificá-lo. Tudo isso é coberto pelo GDPR. Portanto, como parte da garantia de transparência, é necessário informar antecipadamente ao consumidor ou ao titular dos dados que você está coletando esses dados, exatamente o que está fazendo com eles, como serão armazenados e como eles podem solicitar que sejam alterados ou removidos. O consentimento explícito também deve ser dado pelos titulares dos dados.
Principais conclusões:
- Compliance de bloqueio: Certifique-se de que seus dados biométricos sejam gerenciados de acordo com o GDPR, a CCPA e outras regulamentações globais. Caso contrário, você estará em risco.
- Controle a retenção de dados: Mantenha apenas o que você precisa. Certifique-se de poder excluir os dados quando eles não forem mais necessários.
- Exigir transparência: Saiba exatamente como seus dados estão sendo usados, armazenados e protegidos. Se você não estiver informado, isso é um sinal de alerta.
- Acesso interno seguro: Limite quem pode acessar os dados biométricos em sua organização. Somente as pessoas certas devem ter esse privilégio.
- Fique à frente em nível global: Certifique-se de que suas práticas estejam em conformidade não apenas localmente, mas também globalmente. Não deixe que regulamentos negligenciados o coloquem em perigo.
