Direito Digital e Compliance
Direito Digital e Compliance

A quarta revolução industrial chegou. Assuntos como privacidade e proteção de dados, segurança da informação, crimes digitais, criptomoedas, Blockchain, Big Data, Inteligência Artificial, Robótica, Internet das Coisas, dentre outros, devem ser tratados por quem tem um olhar jurídico orientado a esses problemas e tecnologias.

Artigos Recentes


Mais Lidos


Conecte-se comigo


Categorias


Direito Digital e Compliance

Como a LGPD impactará a segurança da informação

Leis de proteção de dados estimulam o aprimoramento da segurança da informação.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

A Lei Geral de Proteção de Dados (LGPD) 1 , que passará a vigorar em agosto de 2020, tem como objetivo regulamentar o tratamento de dados pessoais no Brasil.

A lei brasileira foi inspirada no Regulamento Europeu de Proteção de dados, conhecido como GDPR.

A ideia é proteger os direitos fundamentais de privacidade, liberdade e de livre desenvolvimento da personalidade, proporcionando aos indivíduos um maior controle sobre seus dados pessoais.

Mas qual o impacto das regulamentações de proteção de dados pessoais na segurança da informação? As empresas e organizações brasileiras estão se preparando, avaliando os seus sistemas e processos, a fim de atender à exigências da LGPD?

A transformação digital nos levou para uma economia baseada em dados. Os dados pessoais pululam. A tecnologia mudou a forma como devem ser tratados.

Em seu cerne, as leis de proteção de dados, diante da explosão de dados e da falta de transparência como são tratados, foram criadas para proteger os dados pessoais e a privacidade dos indivíduos.

Quase sempre não sabemos como nossos dados são manipulados ou se estão sendo protegidos. Para piorar a situação, as organizações, muitas vezes, negligenciam aspectos de segurança da informação. Isso é assustador, pois cria uma janela de oportunidades para que violações de dados pessoais ocorram, provocando prejuízos: os indivíduos ficam expostos a quem pode fazer mau uso dos seus dados; as empresas e organizações sofrem danos à imagem e sanções, como multas.

A segurança da informação é um elemento essencial nas iniciativas de conformidade à LGPD.

Ter controle e registrar o que acontece com seus dados reforça a capacidade de cumprir a LGPD.

Da Segurança e das Boas Práticas

Na LGPD, é no Capítulo VII, Seções I e II, artigo 46 ao 51, em que observamos os principais comandos diretamente relacionados à disciplina de segurança da informação. A esse propósito, vale destacar que a segurança e a prevenção são princípios elencados no artigo 6º, os quais as atividades de tratamento de dados pessoais deverão observar. Vejamos o que a lei diz sobre cada um deles:

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

É comum afirmar que “você pode ter segurança sem privacidade, mas não pode ter privacidade sem segurança”. De fato, para garantir a privacidade dos indivíduos é preciso proteger seus dados pessoais, adotando-se medidas de segurança, técnicas e administrativas.

Medidas técnicas de segurança, por exemplo, podem incluir o uso de mecanismos de criptografia, autenticação e autorização.

O Artigo 46 da LGPD determina que os agentes de tratamento de dados devem adotar medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais contra acessos não autorizados e de incidentes, acidentais ou ilícitos, que acarretem na destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Os agentes de tratamento de dados são o controlador e o operador.

Caberá, portanto, ao controlador e ao operador, como agentes responsáveis pelo tratamento de dados pessoais, a adoção de medidas de proteção adequadas e específicas no tratamento dos dados pessoais.

Em relação aos padrões técnicos mínimos adotados, estes poderão ser definidos pela autoridade nacional (ANPD), levando em consideração a natureza das informações tratadas, características do tratamento e o estado atual da tecnologia.

Privacidade by design

O comando do parágrafo 2º do artigo 46 determina que as medidas de proteção deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Isso significa que os riscos relacionados à privacidade devem ser avaliados cuidadosamente, e as medidas e procedimentos técnicos e administrativos devem ser levados em consideração desde a concepção de um novo produto ou serviço, garantindo que o tratamento dos dados pessoais esteja em conformidade com a LGPD.

Portanto, as organizações deverão rever a forma como foram concebidos seus produtos e serviços , a fim de ficarem em compliance com a lei.

As regras de segurança devem ser aplicadas no processo de design e não posteriormente. A privacidade não é um componente para ser adicionado ao final.

Auditoria

Mesmo após o termino do tratamento de dados, a segurança da informação deve ser assegurada por todos os agentes de tratamento. Este é o comando do artigo 47 da LGPD. Aqui, o legislador levou em consideração a importância da auditoria como um dos pilares para a segurança da informação. Para fins de apuração de eventuais ilícitos, é importante preservar os registros.

Manter registros para fins de auditoria é crucial para que exista auditoria.

Comunicação de incidentes de segurança da informação

Os incidentes de segurança da informação deverão ser comunicados pelo controlador à Autoridade Nacional de Proteção de Dados (ANPD), naqueles casos que possam acarretar risco ou dano relevante aos titulares dos dados.

Caberá a ANPD avaliar a gravidade do incidente. Caso necessário poderá determinar ao controlador que divulgue do incidente em meios de comunicação e adote medidas para reverter ou mitigar os efeitos do incidente.

A LGPD determina que a comunicação será feita em prazo razoável, o qual será estabelecido pela ANPD. De acordo com o parágrafo primeiro do artigo 48, nos comunicados as organização deverão mencionar, no mínimo:

I – a descrição da natureza dos dados pessoais afetados;

II – as informações sobre os titulares envolvidos;

III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV – os riscos relacionados ao incidente;

V – os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Indicação de um Encarregado pelo Tratamento de Dados Pessoais

Como observado, ser transparente passará a ser uma exigência legal. Já vale mencionar que o Encarregado pelo Tratamento de Dados Pessoais (DPO – Data Protection Officer) indicado pelo controlador, dentre outras funções, atuará como canal de comunicação entre o controlador e os titulares e a ANPD.

Informar e aconselhar a organização sobre a conformidade da proteção de dados estão entre as principais atribuições do DPO, indo além de um mero canal de comunicação. O bom desempenho da sua função exigirá um trabalho interdisciplinar com os times de segurança da informação e com a área de compliance, sobretudo nas iniciativas de fomento à cultura de proteção de dados e de cumprimento das regras de governança corporativa.

Segurança dos sistemas de tratamento de dados pessoais

De acordo com a lei, os procedimentos, sistemas e equipamentos utilizados para tratar dados pessoais devem atender aos requisitos mínimos de segurança da informação, padrões de boas práticas e de governança, bem como aos princípios gerais previstos na LGPD e em demais normas regulamentares.

É importante considerar a contratação de serviços para adequar os sistemas já existentes, com o fim de preparar a organização para estar em conformidade com a lei.

Das Boas Práticas e da Governança

A Seção II da LGPD tem dois artigos de cunho programático, isto é, dois dispositivos que apontam caminhos para os controladores e operadores atingirem a vontade do legislador, que é a efetiva proteção dos dados pessoais.

No estabelecimento das regras de boas práticas, o controlador e o operador poderão, diz a lei, poderão formular regras de boa prática e de governança, levando em consideração a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamentos de dados do titular.

Por fim, caberá à ANPD estimular a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.

Conclusão

A LGPD traz princípios, direitos e obrigações em relação ao tratamento dos dados pessoais. A responsabilidade das organizações, sejam públicas ou privadas, aumentará substancialmente, exigindo que entrem em conformidade.

Com sanções, como advertências, suspensão parcial ou total do funcionamento do banco de dados, multas por infração que podem chegar a 2% do faturamento (limitado ao montante de R$ 50 milhões), dentre outras, é imperioso que as organizações preocupem-se, cada vez mais, com a segurança da informação.

No nosso ponto de vista, a LGPD trouxe uma oportunidade para as organizações enfrentarem os problemas relacionados à segurança da informação. As sanções têm efeito dissuasivos sobre quem não dá importância ao compliance. Estar em conformidade, longe de ser uma opção, é um requisito. A lei estimula a adequação que, certamente, prevenirá a perda de receita ou clientes, em função das penalidades e danos à reputação.

Na Europa, em função dos descumprimentos ao GDPR, milhares de empresas já foram notificadas pelas autoridades de proteção e penalidades estão sendo aplicadas. Engana-se quem pensa que apenas grandes corporações, como a Google, são visadas. Na Alemanha, por exemplo, a autoridade local de proteção de dados já emitiu 41 multas.2

A sua empresa considera aspectos de segurança da informação no tratamento de dados pessoais para mantê-los protegidos, assegurando a privacidade das pessoas naturais?

Toda empresa que processa dados pessoais, a partir de agora, deverá colocar a proteção de dados no topo de sua lista de prioridades. Estar em compliance com a Lei de Proteção de Dados deve ser uma parte importante do negócio.

Referências

  1. Lei Nº 13.709, de 14 de agosto de 2018: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
  2. German Authorities Issue 41 GDPR Fines: Report: https://www.mediapost.com/publications/article/332404/german-authorities-issue-41-gdpr-fines-report.html

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.