RESUMO: A lei nº 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais – LGPD requer que as instituições revejam a maneira como realizam o tratamento dos dados das pessoas. Instituições de todos os portes serão impactadas pela LGPD. A adequação é obrigatória e exige esforços e comprometimento de todos os setores, incluindo a alta administração. É preciso avaliar se todos os dados tratados pelas instituições estão em conformidade as bases legais autorizadas pela Lei. Com isso, faz-se necessário um planejamento para a adequação dos processos das empresas com um olhar especial para a segurança da informação. Nesse processo, após um mapeamento completo com a identificação dos dados, departamentos, meios (físico ou digital), operadores internos e externos, passa-se para a fase de implementação, quando são tratados de elaboração de documentos, boas práticas e governança, bem como mitigação de riscos, a fim de cumprir o que dispõe a LGPD. Ainda, posteriormente à implementação é importante lembrar que a gestão de proteção de dados pessoais é cíclica, devendo ocorrer avaliações e melhoria contínua dos processos. Deste modo, as organizações deverão ser mais responsáveis transparentes em relação ao tratamento que é dado às informações pessoais sob o seu controle.

PALAVRAS-CHAVE: LGPD, segurança da informação, dados

1.Introdução

Tem-se ouvido cada vez mais de gestores de instituições dos mais diversos ramos, sejam eles, da indústria, do varejo ou da área financeira que os dados são o seu ativo mais valioso. É visível até mesmo a migração de negócios relacionados a bens tangíveis para negócios intangíveis baseados em dados, principalmente para empresas relacionadas à internet.

No Brasil, o que se tinha de legislação sobre o tema eram algumas regras gerais de privacidade no código civil, algumas referências sobre bancos de dados de consumo no código de defesa do consumidor, além do marco civil da internet, que regula provedores de internet. No entanto, não havia uma lei que detalhasse como as operações de tratamentos de dados deveriam ser realizadas.

A Lei Geral de Proteção de Dados - LGPD visa regulamentar a forma como as instituições, tanto públicas como privadas, realizam o tratamento de dados pessoais em território nacional.

A LGPD requer que as instituições revejam a maneira como realizam o tratamento dos dados das pessoas, com o intuito de assegurar mais segurança, transparência e privacidade no manejo de informações pessoais, possibilitando, assim, um maior controle das pessoas sobre seus dados.

O termo “tratamento de dados” refere-se a todas as ações tomadas sobre uma informação, o que inclui, entre outras: a coleta, classificação, reprodução, transmissão, distribuição, processamento, arquivamento, modificação, avaliação ou exclusão.

A LGPD descreve como deve ser feito o tratamento de dados. Para a lei brasileira, o tratamento de dados pode ser praticamente qualquer coisa que se faça com o dado, contendo cerca de 20 ações exemplificativas do que pode ser considerado tratamento de dados.

Para os fins desta lei considera-se dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável e são considerados dados pessoais sensíveis, quaisquer dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico, político, dado referente à saúde, à vida sexual, genético ou biométrico, quando vinculado a uma pessoa natural.

Assim, qualquer informação que possa estar relacionada a uma pessoa natural é um dado pessoal. Desta forma o dado pessoal vai além daquelas informações que descrevem a pessoa como nome, cpf, fotos e etc, abrangendo qualquer operação que essa pessoa tenha feito e haja algum dado ou anotação sobre essa pessoa.

2.A adequação à Lei Geral de Proteção de Dados

A adequação à LGPD é complexa pois envolve a atuação de várias áreas e é necessário desmistificar os impactos das novas regras para compreender o seu impacto nos negócios. Sendo importante estabelecer uma abordagem sobre como implementar a adequação aos requisitos da lei de uma forma segura.

A LGPD tem uma característica de lei de compliance, ou seja, ela descreve o que deve ser feito, sendo irregular o tratamento que não se encaixa no modelo descrito pela lei.

Existem três grandes personagens na Lei Geral de Proteção de Dados: O dono do dado, o controlador do dado e a autoridade nacional de proteção de dados. A LGPD deixa claro que o dono do dado não é a empresa e sim cada pessoa a quem aquele dado se refere. A empresa, a qual costumava se referir aos dados como seu ativo mais valioso, para ser considerada pela LGPD como uma mera controladora dos dados que pertencem a cada pessoa. O que dá uma noção de temporariedade, com a necessidade, inclusive de prestação de contas de por que aquele dado está armazenado em suas bases de dados.

A autoridade nacional de proteção de dados vai realizar a fiscalização e aplicação das penalidades previstas na LGPD, definindo os padrões nesta área. Em síntese, o proprietário do dado tem os direitos assegurados pela LGPD, o controlador do dado tem deveres definidos e a Autoridade Nacional de Proteção de Dados aplica as sanções.

O Proprietário do dado possui direitos variados como o direito de exigir dos controladores dos dados informações completas sobre que dados a empresa está tratando que sejam relacionados a esse proprietário, como esses dados são protegidos, quem possui acesso a esses dados, se eles são compartilhados ou não, quais medidas técnicas ou administrativas de segurança estão implementadas em relação a esses dados e etc.

Vale destacar que uma das justificativas para a empresa armazenar dados pessoais é o consentimento do proprietário do dado, existindo outras nove possíveis justificativas elencadas na LGPD que podem ser utilizadas. Caso seja utilizada uma das outras nove justificativas possíveis, como por exemplo, cumprimento de obrigação legal, não será necessário o consentimento do proprietário do dado.

Além disso o proprietário tem o direito de pedir uma cópia na íntegra desses dados com prazos definidos na LGPD para o atendimento a essas solicitações. O dono do dado também possui o direito de corrigir os dados a seu respeito, além do direito de que esses dados sejam excluídos da base do controlador dos dados caso a empresa esteja guardando estes dados com base na justificativa do consentimento do proprietário do dado, ou seja, assim como o dono do dado pode consentir com o tratamento do dado por parte do controlador, este proprietário do dado também pode revogar este consentimento.

Os direitos do proprietário dos dados podem ser exercidos diretamente com o controlador dos dados, com a LGPD definindo os prazos para o atendimento. Além disso, pode ser feito um requerimento para a Autoridade Nacional de Proteção de Dados, tendo-se também a possibilidade da via judicial.

O direito de esquecimento é o direito que toda pessoa tem de entrar em contato com a empresa para a qual ela cedeu os dados e solicitar a exclusão desses dados, independente do motivo.

Em um primeiro momento esse direito do usuário pode parecer muito simples, no entanto, existe uma complexidade por trás do exercício desse direito que são as questões regulatórias. Por exemplo, no caso do mercado financeiro as normas pertinentes à área especificam que as informações do cliente e das transações devem ser armazenadas por cinco a quinze anos. Com isso é preciso montar uma estratégia que concilie as exigências da LGPD com as demais exigências.

Outro ponto de complexidade relacionado ao direito de esquecimento é que não basta apagar os dados de suas próprias bases de dados, é preciso apagar essa informação em toda a cadeia de fornecedores na qual a empresa se relaciona tratando aqueles dados de alguma forma.

Outro direito concedido ao dono da informação é o da portabilidade da informação, o qual prevê ao usuário o direito de exportar a informação que uma determinada empresa tenha coletado sobre esse usuário. Nesse caso a empresa é obrigada a mandar a informação em um formato que seja legível para o usuário.

Além disso a LGPD prevê o direito de explicação, que é o direito de o usuário entrar em contato com a empresa e perguntar por que determinada decisão baseada em dados está sendo tomada. Por exemplo, o usuário pode questionar ao banco por que o crédito dele foi negado.

Vale ressaltar que boa parte das empresas, atualmente, não possuem um mapeamento adequado da origem desses dados, muito menos uma justificativa legal para cada dado que está sendo utilizado dentro do negócio da empresa.

Ao tentar adequar-se à LGPD, faz-se necessário um mapeamento inicial, no qual é primordial que todas as informações sejam transmitidas de forma clara e objetiva, de modo a apoiar a implementação correta das exigências legais.

É preciso avaliar se todos os dados tratados pela instituição estão em conformidade com as bases legais autorizadas pela Lei. Além disso, para os dados considerados desnecessários, deve-se avaliar a possibilidade de descarte para redução de riscos de incidentes e vazamentos.

Após um mapeamento completo com a Identificação dos dados, departamentos, meios (físico ou digital) e operadores internos e externos. Passa-se, então, para a fase de implementação, onde são tratadas a elaboração de documentos, boas práticas e governança, bem como mitigação de riscos, a fim de cumprir o que dispõe a LGPD.

Ainda, posteriormente à implementação é importante lembrar que a gestão de proteção de dados pessoais é cíclica, devendo ocorrer avaliações e melhoria contínua dos processos.

3.A LGPD e a Segurança da Informação 

A segurança da informação é uma das prioridades da gestão de TI em relação à LGPD, atuando no sentido da prevenção, detecção e correção de possíveis violações de dados pessoais. A LGPD visa evitar os principais incidentes referentes ao tratamento de dados como vazamento do dado e a utilização inadequada da informação.

Vale lembrar, que a segurança da informação não envolve somente o setor de tecnologia da informação, e sim toda a empresa incluindo também seus processos, relação com fornecedores, auditoria, controle e decisões estratégicas.

Como a adoção de boas práticas será considerada um critério atenuante das penas, que poderão chegar a milhões de reais, a política interna da empresa precisará ser eficaz. Isso inclui ter um comitê de segurança, padronizar fluxos de trabalho e controlar o acesso aos dados, entre outras medidas. Ou seja, as organizações deverão ser mais responsáveis, pensando muito bem antes de solicitar qualquer informação do usuário e sendo transparentes quando essa ação for realmente necessária. Nesse sentido, a recomendação é minimizar a quantidade de dados solicitada, trabalhando apenas com as informações necessárias, tornando-as anônimas sempre que possível.

A LGPD é válida para empresas privadas e públicas, mas obviamente terá um foco maior em organizações que lidam com dados pessoais sensíveis e monetizam em cima deles, como companhias de telemarketing e e-commerce.

Ao mesmo tempo se observa que esses dados que são tão valiosos e que as empresas consideram muitas vezes o seu maior ativo é também um potencial risco muito relevante para as atividades empresariais.

O Fórum Econômico Mundial avalia periodicamente ameaças às operações das empresas. Em seu relatório de 2019, consta que o vazamento de dados é uma ameaça de alto impacto reputacional para as empresas, além dos impactos ocasionados pelas multas e processos ocasionados pelo vazamento. Além disso, conforme o relatório a probabilidade da ocorrência de vazamento de dados é altíssima. Isso justifica a necessidade de legislação sobre o tema. Visto que os dados são ativos muito valiosos e ao mesmo tempo uma ameaça com uma alta possibilidade de ocorrência.

É necessário estar preparado para situações que variam desde uma invasão hacker até o vazamento ocasionado por um funcionário que sai da empresa e leva junto informações estratégicas que pertencem ao negócio.

A LGPD não trata somente de dados digitais, referindo-se também a dados off-line, além disso, ela não fica restrita aos dados dos clientes das empresas, aplicando-se também aos dados dos colaboradores, prestadores de serviços e demais fornecedores sobre os quais haja alguma informação dentro da empresa.

Quanto às medidas que precisam ser implementadas pelas instituições, elas podem ser de duas naturezas: aquelas relacionadas a um plano de resposta a incidentes e remediação, e aquelas relacionadas a um programa de governança em privacidade.

O plano de resposta a incidentes de vazamento de dados deve definir quem será o responsável por tomar a liderança na reação da empresa, que irá dialogar com a Autoridade Nacional de Proteção de Dados e com as pessoas afetadas e quais medidas de TI serão implementadas.

No entanto o desafio mais relevante da LGPD consiste no programa de governança da privacidade que é um grande projeto de adequação que legitima tudo o que a empresa fez até agora. O que faz com que a empresa tenha que revisar os seus processos e os seus dados para fins de atender ao que a lei exige. Esses projetos envolvem uma primeira fase de diagnóstico e governança, na qual é necessário montar uma equipe interna para avaliar os riscos do negócio onde são avaliados alguns pontos primordiais como: a identificação dos locais onde há dados pessoais da empresa, quais são os processos que envolvem dado pessoal e uma análise de como se dá esse processo de tratamento de dados para permitir o posterior enquadramento dessas operações.

Existem diversos níveis de segurança que devem ser tratados no contexto da segurança da informação. Quando se trata especificamente da atuação do setor de TI, uma das primeiras ações que devem ser observadas é a utilização de ferramentas antivírus. O antivírus é uma ferramenta importante pois ele permite gerenciar quais são os usuários que apresentam os comportamentos mais arriscados dentro de uma rede administrada, como instalação de software de fontes duvidosas, visitas a sites indevidos, etc. Outro ponto é a implementação de um firewall bem configurado, com a presença de um intrusion detection system - IDS ou um intrusion protection system - IPS.

Com relação aos processos e pessoas, é fundamental ter na empresa um responsável específico pela segurança da informação. Neste contexto o ideal é que seja designada uma pessoa para cuidar somente disso ao invés de somente adicionar mais uma responsabilidade a um cargo já existente. Visto que a quantidade de demandas que esta pessoa terá que atender é muito grande.

Um outro ponto é a necessidade de uma análise dos contratos jurídicos que são impactados, incluindo, entre outros, os contratos de trabalho, passando por códigos de conduta, terceirização da área de TI, enfim, todos os contratos devem ser analisados para conter cláusulas que protejam a empresa no contexto da LGPD.

É necessário revisar todos os contratos e relacionamentos com todo mundo que de alguma forma trata dados que o cliente compartilhou, visto que a LGPD estabelece que a responsabilidade é compartilhada por todos os que lidam com a informação de modo a garantir que todas as empresas de uma determinada cadeia de informações estejam de acordo com as regras. Assim, se houver vazamento das informações, todas as empresas que tratam aquele dado de alguma forma serão responsabilizadas. Com isso, todos os relacionamentos com fornecedores que recebam dados de alguma forma precisam ser revisados para garantir que a outra empresa também esteja adequada aos requisitos da LGPD.

Deste modo, caso haja alguma empresa fornecedora ou cliente de dados que não esteja adequada à LGPD, é necessário pesar a relação de custo benefício entre o ganho e as possíveis sanções, para avaliar se vale a pena ou não manter um relacionamento com esta empresa, ou seja, em casos extremos pode ser importante extinguir o relacionamento com um parceiro comercial que não esteja adequado à LGPD.

Uma vez revisado o relacionamento com os cliente e fornecedores da cadeia a qual a empresa trabalha, faz-se necessário implantar os processos que atendem aos direitos do usuário. Nesse contexto, um dos processos mais importantes é aquele que envolve a exportação dos dados do usuário.

É preciso estruturar um processo de exportação dos dados mediante uma solicitação. Esse processo contém algumas características principais. Ele precisa ser seguro, ou seja, é preciso garantir que somente o próprio usuário, e não um terceiro, é quem irá conseguir exportar os dados referentes a ele próprio. Isso pode parecer simples no contexto de um usuário que tenha login de acesso para acessar suas informações em determinada empresa. No entanto, podem existir outros contextos mais abertos que a empresa trate dados de uma determinada pessoa e não haja essa facilidade do login. Independente disso a empresa passa a ser obrigada a garantir esse controle de acesso para o proprietário do dado.

Outra característica importante deste processo é a velocidade, ou seja, é preciso ter um tempo de resposta razoável. Além disso o processo de exportação precisa ser simples, ou seja, a empresa precisa exportar esses dados para o usuário de forma que seja legível para ele. Com isso, é necessário implantar um processo que atenda a esses requisitos e a forma ideal de realizar esta tarefa depende de diversos fatores como: os sistemas que estão por trás do tratamento desses dados, as integrações que esses sistemas possuem e a maneira como as informações desses usuários estão sendo armazenadas.

No entanto, o importante é possuir um processo para responder ao usuário que faça essa solicitação e a empresa disponha dos elementos técnicos por trás para poder entregar o objeto da solicitação.

Um outro ponto importante nesta mesma linha é a questão do aviso ao usuário em caso de falhas de segurança. O usuário não pode ser o último a saber que houve uma falha de segurança envolvendo uma informação dele.

As empresas são obrigadas a monitorar ativamente os seus sistemas para identificar quaisquer falhas de segurança e avisar ao usuário no momento em que elas forem detectadas. Além disso, as empresas precisam prestar o apoio que for necessário em caso de vazamento de informação. Deste modo é necessário implantar na empresa um canal de comunicação com os usuários.

Nesse contexto de falhas de segurança, entra em cena os seguros contra o roubo da informação, os quais não são obrigatórios, no entanto, são uma opção interessante a ser considerada pelas empresas.

Já existem seguradoras que oferecem produtos de seguro contra roubo de dados que cobrem casos de falha de segurança em que haja vazamento de dados de usuário. Nestes casos o seguro pode cobrir os custos que a empresa teria para responder pelo processo do vazamento de dados dos usuários, o que pode abranger desde os custos técnicos, ou de apoio ao usuário onde venha a ser necessária alguma contrapartida financeira ao usuário afetado pela falha de segurança, até o custo de alguma possível ação judicial decorrente do vazamento de dados.

Com relação aos elementos técnicos, existem quatro grandes grupos de elementos inter-relacionados em um ciclo que são: a segurança dos sistemas e da informação, criptografia e proteção de dados, auditoria e rastreio, e comprovação da origem e do direito de uso dos dados.

Com relação a segurança dos sistemas e da informação, existem dezenas de princípios de segurança da informação que incluem algumas questões básicas como: a segregação das permissões e acessos, ou seja, não se deve permitir que todos tenham acesso a tudo. Uma boa parte do problema de segurança pode ser resolvida com um bom trabalho de segregação e limitação de permissões de acesso a informações. Ainda nesse ínterim, são necessários os testes de penetração e vulnerabilidades dentro dos sistemas da empresa. Existem empresas especializadas em fazer esse trabalho.

Uma empresa que nunca realizou um teste de vulnerabilidade não tem ideia do risco que está correndo. A ideia por trás dos testes de penetração e testes de vulnerabilidade é identificar onde estão os problemas para poder resolvê-los. Além disso, também é preciso monitorar os acessos aos sistemas, por exemplo a implementação de alarmes automatizados que avisem no caso de algum acesso indevido ser efetuado.

Com relação a criptografia e proteção de dados, a proteção dos dados com criptografia e outras práticas relevantes deve fazer parte do dia a dia de todos os que trabalham com ele, visto que caso os dados estejam criptografados mesmo que haja um vazamento desses dados, eles não poderão ser lidos e estarão protegidos.

Com relação a auditoria e controle, tudo o que está sendo feito com a informação precisa ser monitorado. Esta é uma forma de tentar identificar quando vier a acontecer algum vazamento. Se a empresa não monitora o que está acontecendo, ela está correndo um sério risco.

Com relação à comprovação da origem e direito de uso dos dados, mesmo que a empresa esteja com todos os processos adequados, se ela está trabalhando com informações obtidas de maneira indevida ou que o fornecedor daquelas informações tenha obtido elas de forma indevida, a empresa está em desacordo com a LGPD. Com isso a empresa que trata o dado tem que ter certeza sobre a origem e o direito de uso daquela informação.

Também há a responsabilidade solidária, por exemplo, se várias empresas colaboram para a prestação de um determinado serviço, todas elas respondem conjuntamente. Este ponto é especialmente importante para a área de tecnologia da informação, visto que, muitas empresas se valem da prestação de serviços de terceiros, por exemplo, para hospedagem de dados, além de outros tratamentos das mais diversas formas. Sendo importante, portanto que se assegure contratualmente que essas empresas contratadas cumpram todos os deveres na forma exigida pela LGPD.

Os processos relacionados a esses direitos possuem benefícios como a inversão do ônus da prova, ou seja, quem tem a obrigação de provar que a empresa está cumprindo com as obrigações definidas na LGPD é a própria empresa. A empresa controladora dos dados possui responsabilidade objetiva, isto é, não importa, por exemplo, se uma determinada empresa teve culpa ou não por um vazamento de dados.

O objetivo da LGPD não é acabar com o trabalho de dados e sim tornar o trabalho de dados mais transparente para o usuário e tornar o relacionamento entre as empresas e os usuários mais cuidadoso. O processo de adequação à LGPD envolve grandes desafios com mudanças nas estruturas das empresas, mas os dados continuam sendo um elemento fundamental diferenciador no mercado, a diferença é que agora é necessário trabalhar com os dados dentro dos limites da LGPD. 

4.Conclusão

Por fim, é preciso enxergar a LGPD como uma oportunidade de melhoria dos processos e da segurança da informação. Por isso é importante um trabalho que ajude a identificar os pontos mais críticos a serem abordados inicialmente.

As organizações deverão ser mais responsáveis, pensando muito bem antes de solicitar qualquer informação do usuário e sendo transparentes quando essa ação for realmente necessária.

A intenção por trás da Lei Geral de Proteção de Dados Pessoais é fazer com que as empresas sejam mais transparentes em relação ao tratamento dado às informações sob seu controle. Por isso, as empresas devem observar com atenção a questão da privacidade em seus produtos e serviços, tornando esse processo contínuo.

Com isso é importante lembrar que a intenção é que as empresas passem a enxergar o usuário dono da informação não como uma mera fonte de dados a ser monetizada, mas sim como uma pessoa real que também tem preocupações, deveres, obrigações e direitos com relação às suas próprias informações, e esses direitos precisam ser respeitados.

5.Referências

A LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) ENTROU EM VIGOR. E AGORA?

Disponível em: https://www.magalhaesventura.adv.br/single-post/2020/09/18/a-lei-geral-de-prote%c3%87%c3%83o-de-dados-lgpd-entrou-em-vigor-e-agora

Acesso em 22 de setembro de 2020.

CASACA, J. A. Gestão do Risco na Segurança da Informação: Conceitos e Metodologias. Createspace Independent Pub, 2014, ISBN: 978-1497450110.

DEFINIÇÕES SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS (LGPD). Disponível em: https://www.lgpdbrasil.com.br/definicoes-sobre-a-lei-geral-de-protecao-de-dados-lgpd/

Acesso em 22 de setembro de 2020.

Lei n° 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em 22 de setembro de 2020.

LGPD: Desafios E Princípios Para A TI Da Sua Empresa. Disponível em: https://brasiline.com.br/blog/lgpd-desafios-e-principios-para-a-ti-da-sua-empresa/

Acesso em 22 de setembro de 2020.

LGPD: é chegada a hora? Disponível em: https://bigdatacorp.com.br/lgpd-e-chegada-a-hora/

Acesso em 22 de setembro de 2020.

LGPD já está em vigor? Entenda prazo, multa e mais detalhes da lei no Brasil. Disponível em:  https://www.techtudo.com.br/noticias/2020/09/lgpd-ja-esta-em-vigor-entenda-prazo-multa-e-mais-detalhes-da-lei-no-brasil.ghtml

Acesso em 22 de setembro de 2020.

WORLD ECONOMIC FORUM. “The Global Risks Report 2019 14th Edition”, Hausmann, R., Tyson, L., Zahidi, S. (Org.), World Economic Forum (WEF), Geneva, Switzerland, 2019.