Controla o ar. E os dados?
Uma polêmica em São Paulo. O Ministério Público do Estado acusa a Prefeitura e a Empresa responsável pela vistoria dos carros em relação à poluição de acesso indevido e ilegal aos dados dos motoristas do Estado de São Paulo.
Evidentemente a Empresa e a Prefeitura negam a irregularidade e prometem provar que tudo foi feito dentro da lei.
Concordo que é um assunto polêmico e a justiça deverá decidir, evidentemente após ouvir todas as partes. Com certeza a não existência de leis específicas sobre o acesso a dados pessoais e as reponsabilidades por organizações que possuem estes dados, complica a situação.
Como usuário, entendo que o serviço prestado pela empresa é bom, acho o valor alto, mas também faço uma observação: a empresa precisa ter os dados do veículo e não precisa ter os dados dos motoristas do Estado de São Paulo. Pelo menos para a vistoria.
Este é um caso específico e para fazer mais considerações precisaríamos de informações das partes. Isto deixarei para a justiça.
Gostaria de aproveitar este fato específico e lembrar que as organizações precisam ter cuidados quando do tratamento de dados de clientes e repassando para prestadores de serviço. Que tal pensar em responder algumas perguntas:
– É realmente necessário repassar todas as informações de clientes para o prestador de serviço?
– Como se sabe que o prestador de serviço protegerá adequadamente estas informações? Ele segue a norma NBR ISO/IEC 27002:2005?
– A organização pode fazer auditoria no prestador de serviço para ter a garantia que o que foi prometido está sendo cumprido?
– Existe alguma legislação ou regulamentos específicos para este tipo de informação ou para o segmento de mercado da organização?
– Quais são os incidentes que já aconteceram com este prestador de serviço?
– Existe no prestador de serviço um profissional dedicado à segurança da informação?
O controle precisa existir no ar e nos dados.
Edison Fontes, CISM, CISA, CRISC, MSc
Núcleo Consultoria em Segurança
