'Most Innovative Startup 2020 'by RSA - Assista ao vídeo de argumento de venda

Veja mais

Já há alguns anos que temos visto algumas movimentações legislativas pelo mundo no que diz respeito à proteção de dados pessoais. De forma mais intensa, a partir do Regulamento 2016/679 (conhecido como GDPR) vigente desde 25 de maio de 2018, temos visto mais discussões e inovações sobre o tema. Foi assim com a Alemanha (Lei Federal de Proteção de Dados de 2017 – Bundesdatenschutzgesetz – BDSG) e a França (Lei de Proteção de Dados nº 2018-493 de junho de 2018), além, claro, do Brasil, com a nossa LGPD, Lei 13.709/18 foi, de alguma forma, inspirada no GDPR.

Neste ponto é fundamental notar que não se trata de leis que dizem respeito apenas a situações de incidentes de violações de dados pessoais. Evidentemente, o tema “incidentes de violação de dados pessoais” é muito importante. Deveria ser consenso que toda instituição será, em algum momento, vítima de incidentes com dados e, apesar de dizermos isso em aulas, palestras, congressos, salas de aula há anos, muitas vezes percebemos que essa realidade parece ser ainda ignorada por muitos.

Infelizmente não temos elementos que permitam listar as razões pelas quais isso acontece, mas é notório que o tema “segurança da informação” está intimamente relacionado com a proteção de dados pessoais e deveria ser visto com muita atenção pelas instituições.

Precisamente sobre a LGPD podemos afirmar com certeza de que não se trata de uma lei cujo o escopo seja a segurança da informação, já que sua principal preocupação é mais ampla: a privacidade dos titulares de dados pessoais. Não é, portanto, uma lei que trate de segurança da informação, senão de forma tangencial.

Vejamos, rapidamente, a estrutura da lei:

  1. Capítulo I – Disposições preliminares.
  2. Capítulo II – Do tratamento de dados pessoais.
  3. Capítulo III – Dos direitos do titular.
  4. Capítulo IV – Do tratamento de dados pessoais pelo Poder Público.
  5. Capítulo V – Da transferência internacional de dados.
  6. Capítulo VI – Dos agentes de tratamento de dados pessoais.
  7. Capítulo VII – Da segurança e das boas práticas.
  8. Capítulo VIII – Da fiscalização.
  9. Capítulo IX – Da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
  10. Capítulo X – Disposições finais e transitórias.

 

Ainda no Capítulo I a LGPD diz no art. 6º,  VII, que as atividades de tratamento de dados pessoais deverão observar a boa-fé e o princípio da segurança, definindo-o como a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Não há, apesar disso, um detalhamento do que seria aceitável em termos de medidas técnicas para a proteção dos dados pessoais.

Mais a frente, no Capítulo II, o art. 12, §3º quando a LGPD fala em anonimização, há menção que a autoridade nacional poderá dispor sobre padrões e técnicas e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

No que diz respeito a transferências internacionais, no Capítulo V, precisamente no art. 34, a LGPD determina que o nível de proteção de dados do país estrangeiro ou do organismo internacional será avaliado pela autoridade nacional, que levará em consideração a adoção de medidas de segurança previstas em regulamento (embora não haja uma menção clara a qual regulamento se refere).

No Capítulo VI, art. 38 a LGPD determina que a autoridade nacional de proteção de dados poderá determinar que o controlador de dados pessoais elabore o relatório de impacto à proteção de dados pessoais e o seu parágrafo único dispõe que no relatório pode-se exigir a demonstração da a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Já o art. 40 dispõe que a autoridade nacional poderá dispor sobre padrões de segurança, entre outros.

No art. 44 também verificamos a menção a segurança quando determina que o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titulara dele pode esperar, considerando-se a análise do modo pelo qual é realizado (I), o resultado e os riscos que razoavelmente dele se esperam (II) e as técnicas de tratamento de dados disponíveis à época em que foi realizado (III).

É o no Capítulo VII, todavia, que a LGPD tem maior direcionamento para a segurança das informações quando, no art. 46, estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. E o art. 47 segue determinando que os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista na lei.

O art. 48 é o principal dispositivo que menciona violações aos dados pessoais e determina que o controlador comunique à autoridade nacional de proteção de dados e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano aos titulares, mas, para isso, não impõe um prazo específico, mencionando que isso deve ser feito em prazo razoável. Estabelece, no entanto, os requisitos mínimos da comunicação, que incluem a descrição e natureza dos dados afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial, os riscos relacionados ao incidente, os motivos da demora, no caso de a comunicação não ter sido imediata e, ainda, as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

O §2º dispõe que a autoridade nacional verificará a gravidade do incidente e poderá determinar que o controlador faça ampla divulgação nos meios de comunicação e tome medidas para reverter ou mitigar o incidente.

Por sua vez, o §3º diz que o juízo de gravidade do incidente deverá levar em consideração a comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Note-se, porém, que as normas que discorrem sobre os incidentes de violações não são específicas em termos de processos ou ferramentas, não se falando em penetration tests ou DLP. E o art. 49 comprova tal afirmação na medida em que diz que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Mas, então, como fazer com as questões técnicas? Para que se possa atingir a conformidade com a lei de forma mais abrangente, sugere-se seguir o disposto no art. 50, que dá diretrizes do que se pode chamar de um programa de compliance digital ou privacy compliance. Isto é, seguir os pilares de um programa de privacy compliance para que se possa ter o apoio da alta direção, para que se procedam risk assessments para áreas de risco, que sejam formalizadas normas nas políticas e nos códigos de conduta, que haja meios de monitoramento e auditoria dos fluxos de dados pessoais e que se possa providenciar a devida comunicação interna e treinamentos adequados. Os riscos técnicos devem ser apreciados num contexto de privacy compliance para que estejam incorporados com os demais riscos para a proteção de dados pessoais.

Assim, reitera-se que a LGPD não é uma lei que trata minuciosamente da segurança da informação, sendo principiológica com diretrizes para melhor governança dos dados pessoais.