A segurança da informação já é
norteada por normas, requisitos e boas práticas para proteção da confiabilidade
da informação, antes mesmo das normas específicas relativas a proteção de dados
pessoais entrarem em vigor.
As imposições trazidas pela
general Data Protection Regulation e Lei Geral de Proteção de Dados demandaram uma análise
e revisão dos processos de segurança da informação nas empresas e agentes de
tratamento. Muitas empresas, no entanto, se questionam sobre a relação da
proteção de dados e segurança da informação, e é comum que fiquem na dúvida
sobre a aderência dos seus controles de segurança da informação já existentes.
Basicamente, a segurança da
informação já é norteada por normas, requisitos e boas práticas para proteção
da confiabilidade da informação (confidencialidade, integridade, disponibilidade),
antes mesmo das normas específicas relativas a proteção de dados pessoais
entrarem em vigor. Protege-se com elas a informação na empresa e não somente
dados pessoais.
Portanto, é evidente que os
controles existentes que sigam os requisitos da ISO 27001 e demais normas são
considerados pelas leis de proteção de dados e compatibilizam-se com elas.
Estão intimamente ligados. As normas de proteção de dados (GDPR e LGPD)
enaltecem a segurança da informação a todo o instante, não só estabelecendo a necessidade
de agentes de tratamentos, controladores e operadores, em implementarem medidas
técnicas e organizativas para proteção de dados, trazendo também exemplos de
boas práticas técnicas como pseudonimização e criptografia, mas principalmente,
ambas as normas trazem a segurança (exatidão) como princípio relativo à
proteção de dados.
A relação entre as regras de
proteção de dados e a segurança da informação é tão evidente que a própria
formação do Data Protection Officer, encarregado de proteção de dados nas
empresas, tem necessariamente conhecimentos de fundamentos de segurança da
informação, ativos, análises de risco, continuidade de negócio, dentre outros
conhecimentos inerentes a security officers e profissionais de SI em geral.
Conquanto as normas de proteção
de dados preocupem-se com o data breaches e não com qualquer evento ou
incidente de segurança da informação, é evidente que estabelecem como um dos
pontos de conformidade, o estabelecimento por parte dos agentes de tratamento
de uma gestão efetiva de incidentes, bem como a concepção de procedimentos
claros, diante de um vazamento de dados, envolvendo notificação à autoridade de
controle e em casos específicos, comunicação aos titulares dos dados, sempre,
informando a natureza, extensão do incidente e quais medidas estão sendo
tomadas ou práticas para mitigar os riscos (lembrando que este ponto ainda
carece de regulamentação na LGPD).
Se o gerenciamento de incidentes
de segurança da informação e resposta forense aos incidentes era um requisito
de normas de melhores práticas em si, agora, ele é elevado a um dos itens de
adequação para as normas de proteção de dados. Assim, as equipes de resposta a
incidentes são válidas, pertinentes e precisam se adaptar aos requisitos e
particularidades envolvendo proteção de dados. Vale destacar que na
consideranda 49 da GDPR a existência do CSIRT (time de resposta a incidentes)
apresenta-se como fundamental, definindo na consideranda 83 a importância da
análise de risco, disciplinando ainda a norma no seu art. 32 o dever dos
agentes de tratamento em assegurarem um nível de segurança adequado ao risco,
inclusive prevendo os testes em seus sistemas (como os pentests, validações de
programação segura, dentre outros), na sua alínea “d”, ao estabelecer que os
agentes devem adotar “Um processo para testar, apreciar e avaliar regularmente
a eficácia das medidas técnicas e organizativas para garantir a segurança do
tratamento.”
Ademais, no Brasil, com base no
art. 38 da LGPD, espera-se que a Autoridade Nacional de Proteção de Dados passe
a exigir relatório de impacto a proteção de dados dos agentes de tratamento,
que deverá indicar, pelo menos a metodologia utilizada para coleta e segurança
das informações tratadas. E o mais grave: pela lei brasileira, um tratamento de
dados não será só considerado irregular quando tratado sem uma premissa legal
ou consentimento, mas principalmente, quando “não fornecer segurança que o
titular dele possa esperar”, sendo que controladores e operadores poderão
responder por danos diante do afrouxamento de controles de segurança, previstos
no artigo 46, que estabelece que os agentes de tratamento devem adotar medidas
de segurança, técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito.
Não bastasse todas as relações
acima trazidas, é importante destacar que uma empresa que se demonstre madura
em termos de segurança da informação e processos para identificar e tratar
incidentes de dados, poderá muitas vezes minimizar o impacto da norma e sua
responsabilização por incidentes. Procedimentos claros de perícia digital em
dados serão úteis para, a exemplo, demonstrar a inexistência de violação
(fakeleaks) a dados ou mesmo a culpa exclusiva do titular dos dados, como
estabelece o art. 43 da norma brasileira.
A perícia de informática ou em
dados também será útil nas controvérsias envolvendo a realização ou não de um
tratamento, onde o titular afirma que o controlador ou operador fazem o
tratamento, e estes negam. Além disso, será muito útil nas questões envolvendo
confirmação ou não de consentimento eletrônico (ou mediante telas sistêmicas),
onde a controvérsia está se houve ou não o referido consentimento, dentre
outras hipóteses em que se revela boa prática que as empresas mantenham
profissionais de digital e data forensics sempre por perto.
Como visto, a segurança da
informação é direito do titular, medida técnica e organizativa indicada e
elencada à princípio para as normas de proteção de dados, sendo elemento
fundamental para assegurar a conformidade de agentes de tratamento às
diretrizes das normas e principalmente, agora, para evitar responsabilizações
junto à ANPD (Autoridade Nacional Brasileira) e até judiciais, diante de danos
decorrentes de tratamento de dados. Do mesmo modo, uma resposta a incidentes
efetiva e adequada à norma, com recursos para investigação digital e em dados,
é mais que boa prática para empresas que queiram reduzir riscos de problemas
jurídicos e responsabilizações diante de incidentes envolvendo dados, aos quais
todo agente de tratamento está sujeito.
*José Antonio Milagre é advogado especialista em Direito Digital e
Proteção de Dados, fundador do Instituto de Defesa do Cidadão e Consumidor na
Internet - IDCI, presidente da comissão de direito digital da regional da Vila
Pudente da OAB/SP.
*Carolina Bonfim Coelho é especialista em Direito Digital e Dados,
membro do escritório José Milagre & Associados.
Fonte: Migalhas