Objetivo

O monitoramento de sites é uma plataforma que faz o scan completo de páginas de um determinado domínio com objetivo de extrair dados e monitorar a adequação para a lei de proteção de dados pessoais (LGPD). 


Premissas

Para utilizar o monitoramento de sites, as seguintes premissas devem ter sido respeitadas:

1 - Ter o acesso a área administrativa da Privacy Tools 

2 - Estar com o cadastro e validação de um ou mais domínios, para dúvidas clique aqui.

3 - O scanner(análise) funciona a partir do INDEX. Exemplo: “privacytools.com.br” ok!  Ou seja, não pode ser usado o scanner em links específicos. Exemplo: “https://privacytools.com.br/a-empresa/” .


Estrutura do monitoramento de sites

Este módulo faz 3 importantes etapas ao iniciar a análise de um site, segue detalhes:

  • Coleta - O intuito é navegar nos deep links do site e coletar o máximo de informações, para estruturar o resultado de modo a facilitar as validações.

  • Processamento - Realiza as regras essenciais de uma validação, com o objetivo de gerar um resultado.

  • Entrega - Com o processamento finalizado, ter um relatório com as informações, sendo 'Relatório técnico' e 'Relatório de conformidade'.


Como fazer?

Segue abaixo como fazer a análise de um site cadastrado:

  1. Iniciar a análise acesse Marketing e Privacy UX e clique em Monitoramento de sites.

  2. Selecione o site cadastrado e clique em Iniciar análise.

  3. Pode demorar um pouco para concluir todas as 3 etapas acimas explicadas, não feche a tela até a análise finalizar. Será enviado um e-mail notificando a conclusão do processamento e indicando que o usuário acesse a área administrativa para visualizar o relatório.

  4. Após concluir, aparece na tela o Relatório técnico e o Relatório de conformidade


Relatório Técnico

O resultado detalhado de todos os processamentos, para exibir toda a informação técnica relevante. A visualização é através de uma página web, se dividindo entre os grupos:


Dados coletados: Exibir o máximo de informações de forma estruturada, com objetivo de mostrar as quantidades de cada item, como ex: URLs, Cookies, Forms entre outros. Segue print da tela:


Verificação de políticas: Faz uma varredura para verificar se possui as políticas criadas no site, com o objetivo de mostrar em um local centralizado a existência ou não das políticas de privacidade, termos de uso e de cookies, segue print de exemplo da tela:

Formulários: Encontrar todos os formulários, para fazer um mapa dos labels conhecidos como ‘dados sensíveis’(alguns desses dados são mais críticos que outros). Por isso, têm a classificação automática por notas, segue exemplos:

Religião = 10

Orientação sexual = 10

Gênero = 9

Sexo = 9

Salário = 8

Renda familiar = 8

Nome = 7

E-mail = 7

CPF = 7


Na análise identificar que têm dados pessoais, faz as seguintes validações:

  1. A média do grau de risco.

  2. Campos opcionais.

  3. Existe checkbox solicitando autorizações.


Segue de exemplo um print da tela:



Cookies: O último grupo de processamento envolve fazer as seguintes validações:

Tabela de cookies: Extrair todos os cookies e fazer um mapa conhecido de websites terceiros que aplicam cookies no site. Ex: (facebook, addthis etc). Também extrair todos os dados do cookie, como ex: validade, host.

Conferência do cookie policy: Os cookies e/ou seus websites/hosts devem estar disponíveis no texto da política de cookies com a devida explicação/motivação da sua coleta. Se o site gera cookies para “facebook.com” mas não há menção ao “facebook.com” na política de cookies, então a política existe, mas é falha.

Conferência do consentimento: Verificar se o portal solicitou o pedido de uso de cookies. Na prática, se você conseguiu coletar cookies sem clicar em algum “aceito” o portal já está ferindo a lei geral de proteção de dados pois a coleta de cookies deve iniciar após o aceite e não antes.

Países: Extrair o país do host do website.


Segue de exemplo um print da tela:


Relatório de conformidade

O relatório de conformidade é mais adequado para gestores e diretores, porque, com os números disponíveis nos relatórios, é importante para ser utilizado na tomada de decisão das regras para o tratamento de dados pessoais. A visualização é através de uma página web, se dividindo entre os grupos:

Políticas: Faz uma varredura no site, para mostrar no relatório se o site possui as políticas necessárias para estar em conformidade com a LGPD. Caso não possua, pode criar as políticas e fazer a integração com o site, mais informações, clique aqui.

Privacidade: O objetivo é monitorar e exibir no relatório se os critérios estão em conformidade ou não. Segue uma breve explicação para cada critério:

  1. Percentual de risco - Nesta funcionalidade é feito um cálculo usando as informações de todos os demais critérios do relatório, para assim, poder apresentar um percentual de risco da empresa.

  2. Dados sensíveis - O conceito de dado pessoal sensível está no artigo 5º, inciso II da LGPD – dado pessoal sensível é aquele sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Com o conhecimento do conceito de dados sensíveis, na plataforma da PrivacyTools é durante o Scan do site que valida se possui ou não estes dados, colocando um Sim ou Não no relatório.

  3. Minimização de coleta - Poder iniciar, é importante ter uma breve definição da minimização de coleta. Um dos 10 princípios da LGPD, é o da necessidade que estipula que a coleta de dados deve se dar de maneira restritiva, prezando pelo tratamento de dados pessoais estritamente necessários ao atendimento da finalidade pretendida, dispensada a coleta excessiva.


No scan feito no site, a plataforma da PrivacyTools usa machine learning(IA), na qual, foi feita pesquisa e criada uma base de dados dos principais sites do mercado que já utilizam a minimização de coleta, então se os formulários do site da sua empresa possui coleta de dados maior que a necessidade da finalidade pretendida, no relatório de conformidade vai ficar como ‘não’, segue print:


  1. Finalidade de processamento - Dentre os princípios da LGPD, tem especial relevância o da transparência para o uso de dados pessoais e a respectiva responsabilização, o da adequação, ou seja, a compatibilização do uso dos dados pessoais com as finalidades informadas, da proteção do usuário em toda arquitetura do negócio. Caso o site não atenda estes requisitos, no formulário vai aparecer como ‘Não’. Segue print

        

  1. Abuso de monitoramento - No site não pode conter elementos que monitorem os titulares dos dados.

  2. Privacy by default - Esse conceito significa que, assim que um produto ou serviço for lançado ao público, as configurações mais seguras de privacidade deverão ser aplicadas por padrão, sem nenhuma entrada manual do usuário final. Além disso, todos os dados pessoais fornecidos pelo usuário para permitir o uso ideal de um produto devem ser mantidos apenas pelo tempo necessário para fornecer o produto ou serviço. Se mais informações do que o necessário para fornecer o serviço forem divulgadas, esse conceito será violado.

  3. Compartilhamento de dados - Dentre as inúmeras novas regras trazidas pela LGPD, vale destacar uma delas, a qual afeta diretamente os serviços prestados entre empresas (business to business): a necessidade de consentimento expresso e específico do titular dos dados para qualquer operação envolvendo o tratamento de dados pessoais de terceiros, inclusive no tocante à coleta e ao compartilhamento.


Inclusive, ressalta-se que eventual afronta às obrigações impostas pela referida lei, tais como o compartilhamento de dados pessoais sem o consentimento do titular dos dados, poderá ensejar uma sanção administrativa a ser aplicada pela Autoridade Nacional de Proteção de Dados (ANPD), que pode, em casos graves, traduzir-se em multa de até 2% (dois por cento) do faturamento da pessoa jurídica, grupo ou conglomerado no seu último exercício, para cada infração cometida.



Segurança: A chegada da LGPD para os profissionais de tecnologia de segurança da informação é benéfica, pois a Lei prevê a utilização de medidas técnicas e administrativas aptas a proteger os dados, tornando necessária haver a Governança dos Dados. identificando onde residem, qual seu fluxo, classificando seu nível (dados pessoais, sensíveis ou não), gerenciando seu uso e ciclo de vida, protegendo de possíveis vazamentos ou deleções indevidas e monitorando sua utilização.


Para garantir a adequação à legislação, é valiosa a criação de um grupo de trabalho multidisciplinar, composto por representantes de todas as linhas de negócios da companhia, sempre com o suporte do Jurídico, de Compliance e da área de Segurança da Informação. Deve-se, contudo, atacar 4 pilares principais: Identificação, Gerenciamento, Proteção e Monitoramento. Para cada pilar ainda é preciso buscar soluções e processos. No pilar de Proteção, por exemplo, é importante verificar a classificação dos dados, se é pessoal ou sensível.


No scan frequente feito no site através de uma integração com a plataforma da PrivacyTools, que têm o intuito de monitorar os requisitos de segurança e para montar o relatório com os critérios de segurança listados abaixo:


  • Protocolo SSL - Secure Socket Layer (SSL) é um padrão global em tecnologia de segurança. Ele cria um canal criptografado entre um servidor web e um navegador (browser) para garantir que todos os dados transmitidos sejam sigilosos e seguros. Milhões de consumidores reconhecem o "cadeado dourado" que aparece nos navegadores quando estão acessando um website seguro. Caso o site não possua esse certificado integrado, no relatório de conformidade vai estar aparecendo como ‘Não’, ou seja, não atendendo requisito de segurança.

  • Armazenamento de consentimento - O ato de consentir deve ser praticado pelo titular dos dados, ou responsável legal, devendo ser uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. 

  • Quantidade de scripts - Feita uma análise da quantidade de scripts importados de empresas terceiras que usou para desenvolver o site, porque, se ocorrer um ataque a empresa que usa o script, o usuário final do site(titular do dado) pode ser impactado.