Artigo de Cinthia Obladen de Almendra Freitas – Diretora Acadêmica do Instituto Nacional de Proteção de Dados (iNPD)
Publicado no Portal Jota
Um ciclo tecnológico se estabelece da LGPD visando a proteção de dados com base na segurança da informação
Não importa por quais caminhos a Lei Geral de Proteção de Dados venha sendo estabelecida, ela vem movimentando o Brasil, tanto o setor público quanto o setor privado. E por que esta lei é tão importante? Por diversos motivos, entre eles pode-se mencionar: os fundamentos e princípios jurídicos que norteiam o texto legislativo, o consentimento, o interesse legítimo, os direitos dos titulares de dados, a criação da Autoridade Nacional de Proteção de Dados (ANPD), a responsabilização e o ressarcimento por danos causados a outrem por meio do tratamento de dados, as sanções administrativas e diversos outros aspectos. A LGPD, como é conhecida a Lei Geral de Proteção de Dados, Lei nº 13.709 de 14 de agosto de 2018, entrará em vigor em agosto de 2020 e exigirá das empresas e do setor público mais do que uma simples adequação jurídica, mas uma revolução tecnológica. Sem esquecer de outras normas já existentes, a exemplo da Lei de Acesso à Informação (Lei nº 12.527/2011), Marco Civil da Internet (Lei nº 12.965/2014), Código de Defesa do Consumidor (Lei nº 8.078/1990) e da própria Constituição Federal de 1988, a LGPD vem se configurando como um marco no que tange a privacidade e proteção de dados pessoais. Sim, dados pessoais! Finalmente, o Brasil entrou no cenário mundial da proteção de dados pessoais, não só para realmente olhar para as violações do setor privado no uso e tratamento de dados pessoais, sem esquecer que violações também ocorrem no setor público, mas também para acompanhar o movimento mundial de proteção desses dados. Esse movimento engloba desde a Diretiva 95 da ONU, passando pela legislação da Califórnia nos Estados Unidos da América e, principalmente, pelo General Data Protection Regulation (GDPR) da União Europeia. Este último regulamento com grande proximidade à legislação brasileira. Vivemos num cenário de Big Data e da coleta massiva de dados. Estima-se que 90% dos dados mundiais foram criados nos últimos 2 anos por conta do uso da tecnologia, especialmente os smartphones. A preocupação maior é proteger a privacidade na Era Digital. Colocar um freio na coleta de dados pessoais sem finalidade específica, criar a cultura da minimização de dados, da coleta restrita de dados pessoais e, muito mais do que isso, criar uma cultura de transparência e proporcionalidade na coleta de dados pessoais. A LGPD inspirada na GDPR, estabelece direitos aos titulares de dados pessoais, cria regras e procedimentos para controladores e operadores de dados pessoais. Mas o que muitas pessoas ainda não perceberam é que, ao mesmo tempo que a LGPD é uma lei de proteção de dados pessoais, ela contém em seu bojo um forte componente tecnológico. É uma lei que estabelece boas práticas de Segurança da Informação. O lado tecnológico é tão importante quanto o jurídico, de modo que se pode considerar a LGPD como uma lei de implementação tecnológica. Basta uma leitura mais atenta, para perceber que a LGPD traz um arsenal de termos técnicos da área de Segurança da Informação associados aos termos básicos da área de Ciência da Computação como um todo. Os termos “coleta de dados”, “tratamento de dados”, “anonimização”, “bloqueio”, “prevenção”, “riscos”, “medidas, salvaguardas e mecanismos de mitigação de riscos” e “relatórios de impacto à proteção de dados pessoais” são alguns exemplos de aspectos tecnológicos que permeiam o texto legislativo. Cabe lembrar que a unidade básica de proteção pela LGPD são os dados e sobre eles recaem todas as preocupações e modificações que precisam ser desenvolvidas e implantadas seja nos sistemas, nos processos ou na organização como um todo, pública ou privada. Inicialmente deve-se ter em mente que os dados possuem um ciclo de vida, ou seja, desde seu nascimento até sua morte. Para tal, tem-se o nascimento como a operação de coleta e a morte como as operações de eliminação ou descarte. São muitas as operações que compõem o ciclo de vida dos dados, o qual, por sua vez, está diretamente ligado com a definição de “tratamento de dados” (LGPD, art. 5º, inciso X): “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. São 20 diferentes operações listadas de modo exemplificativo e não restritivo. Essas operações não compreendem o conjunto completo de possibilidades de tratamento de dados pessoais ou sensíveis. Deve-se ter em mente que o texto legislativo não se prende às técnicas ou aos métodos computacionais ou operacionais, uma vez que a partir de determinadas operações exemplificadas no art. 5º, inciso X, pode-se realizar desde a captura do dado até a aplicação de técnicas de Mineração de Dados (Data Mining) ou Aprendizagem de Máquina (Machine Learning). E, por sua vez, a proteção de dados une-se à Segurança da Informação que tem por base algumas propriedades, a saber: “preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas”. Tais propriedades constam definidas na Norma ISO/IEC 13335-1, a saber: * disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada;
* confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;
* integridade: propriedade de salvaguarda da exatidão e completeza de ativos;
* autenticidade: propriedade de salvaguarda da veracidade ou originalidade de ativos. Propriedade que garante que a identidade de um sujeito ou recurso seja a reivindicada. Autenticidade se aplica a entidades como usuários, processos, sistemas e informações;
* não repúdio: a capacidade de provar que uma ação ou evento ocorreu, para que esse evento ou ação não possa ser repudiado antes, ou seja, não se pode negar a existência de um fato;
* confiabilidade: propriedade que se refere aos comportamentos e resultados pretendidos consistentes. A Segurança da Informação nunca esteve tão em evidência como a partir da promulgação da LGPD. E, entre a proteção de dados e a Segurança da Informação, há que se entender que a proteção é sobre os dados (unidade originária), mas a segurança considera uma abrangência maior, ou seja, os dados, os sistemas, os processos e a organização. Por isso, o art. 6º, incisos VII e VIII, da LGPD estabelecem que o tratamento de dados deve observar a boa-fé e, ainda, a segurança e a prevenção. Ambos englobando a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão” e a “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”. Neste sentido, as normas ISO/IEC da família 27000 foram preparadas para “prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).” Assim, as normas relacionadas à Segurança da Informação não mencionam dados ou informações, mas ativos que representam “qualquer coisa que tenha valor para a organização”. Deste modo, do ponto de vista tecnológico, a LGPD aponta como aspecto formal a manutenção de registro das operações de tratamento de dados por parte tanto do controlador quanto do operador, ou seja, pelos agentes de tratamento de dados, especialmente quando o tratamento tiver por base o legítimo interesse (art. 37). O lado tecnológico da LGPD fica ainda mais evidente em razão da recente publicação da norma ISO 27701, que estabelece um novo padrão internacional específico para tratar da extensão de privacidade da norma ISO 27001. Tal norma tem por objetivo aprimorar o Sistema de Gestão de Segurança da Informação (SGSI) sob a ótica da privacidade de dados. Isto no intuito de estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Informações de Privacidade – SGIP. Neste encadeamento de soluções tecnológicas, a LGPD não deixou de considerar os princípios da responsabilização e da prestação de contas, pelos quais preconiza a “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas” (art. 6º., inciso X). Há, portanto, um ciclo tecnológico que se estabelece a partir da LGPD visando a proteção de dados com base na segurança da informação. Tal ciclo é composto pelas etapas de prevenção, coleta, tratamento, registro e prestação de contas. A discussão é longa e a necessária atuação de todos é mais premente do que se possa imaginar. Devemos estar atentos à relação jurídica e tecnológica existente na LGPD e, portanto, atuar profissionalmente de modo a incentivar as discussões, levantar pontos polêmicos e apresentar propostas e soluções.
Comments