A relação da segurança da informação e perícia em informática com Lei Geral de Proteção de Dados (LGPD)
As imposições
trazidas pela General Data Protection Regulation e Lei Geral de Proteção de
Dados demandaram uma análise e revisão dos processos de segurança da informação
nas empresas e agentes de tratamento. Muitas empresas, no entanto, se
questionam sobre a relação da proteção de dados e segurança da informação, e é
comum que fiquem na dúvida sobre a aderência dos seus controles de segurança da
informação já existentes.
Basicamente, a
segurança da informação já é norteada por normas, requisitos e boas práticas
para proteção da confiabilidade da informação (confidencialidade, integridade, disponibilidade), antes mesmo das
normas específicas relativas a proteção de dados pessoais entrarem em vigor.
Protege-se com elas a informação na empresa e não somente dados pessoais.
Portanto, é
evidente que os controles existentes que sigam os Requisitos da ISO 27001 e
demais normas são considerados pelas leis de proteção de dados e
compatibilizam-se com elas. Estão intimamente ligados. As normas de proteção de
dados (GDPR e LGPD) enaltecem a segurança da informação a todo o instante, não
só estabelecendo a necessidade de agentes de tratamentos, controladores e
operadores, em implementarem medidas técnicas e organizativas para proteção de
dados, trazendo também exemplos de boas práticas técnicas como pseudonimização
e criptografia, mas principalmente, ambas as normas trazem a segurança (exatidão)
como princípio relativo à proteção de dados.
A relação
entre as regras de proteção de dados e a segurança da informação é tão evidente
que a própria formação do Data Protection
Officer, encarregado de proteção de dados nas empresas, tem necessariamente
conhecimentos de fundamentos de segurança da informação, ativos, análises de
risco, continuidade de negócio, dentre outros conhecimentos inerentes a
security officers e profissionais de SI em geral.
Conquanto as
normas de proteção de dados preocupem-se com o data breaches e não com qualquer evento ou incidente de segurança
da informação, é evidente que estabelecem como um dos pontos de conformidade, o
estabelecimento por parte dos agentes de tratamento de uma gestão efetiva de
incidentes, bem como a concepção de procedimentos claros, diante de um
vazamento de dados, envolvendo notificação à autoridade de controle e em casos
específicos, comunicação aos titulares dos dados, sempre, informando a
natureza, extensão do incidente e quais medidas estão sendo tomadas ou práticas
para mitigar os riscos (lembrando que este ponto ainda carece de regulamentação
na LGPD).
Se o
gerenciamento de incidentes de segurança da informação e resposta forense aos
incidentes era um requisito de normas de melhores práticas em si, agora, ele é
elevado a um dos itens de adequação para as normas de proteção de dados. Assim,
as equipes de resposta a incidentes são válidas, pertinentes e precisam se
adaptar aos requisitos e particularidades envolvendo proteção de dados. Vale
destacar que na consideranda 49 da GDPR a existência do CSIRT (time de resposta
a incidentes) apresenta-se como fundamental, definindo na consideranda 83 a
importância da análise de risco, disciplinando ainda a norma no seu art. 32 o
dever dos agentes de tratamento em assegurarem um nível de segurança adequado
ao risco, inclusive prevendo os testes em seus sistemas (como os pentests,
validações de programação segura, dentre outros), na sua alínea “d”, ao
estabelecer que os agentes devem adotar “Um processo para testar, apreciar e
avaliar regularmente a eficácia das medidas técnicas e organizativas para
garantir a segurança do tratamento.”
Ademais, no
Brasil, com base no art. 38 da LGPD, espera-se que a Autoridade Nacional de
Proteção de Dados passe a exigir relatório de impacto a proteção de dados dos
agentes de tratamento, que deverá indicar, pelo menos a metodologia utilizada
para coleta e segurança das informações tratadas. E o mais grave: Pela Lei
Brasileira, um tratamento de dados não será só considerado irregular quando
tratado sem uma premissa legal ou consentimento, mas principalmente, quando
“não fornecer segurança que o titular dele possa esperar”, sendo que
controladores e operadores poderão responder por danos diante do afrouxamento
de controles de segurança, previstos no artigo 46, que estabelece que os
agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e
de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Não bastasse todas
as relações acima trazidas, é importante destacar que uma empresa que se
demonstre madura em termos de segurança da informação e processos para
identificar e tratar incidentes de dados, poderá muitas vezes minimizar o
impacto da norma e sua responsabilização por incidentes. Procedimentos claros
de perícia digital em dados serão úteis para, a exemplo, demonstrar a inexistência
de violação (fakeleaks) a dados ou
mesmo a culpa exclusiva do titular dos dados, como estabelece o art. 43 da
norma brasileira.
A perícia de
informática ou em dados também será útil nas controvérsias envolvendo a
realização ou não de um tratamento, onde o titular afirma que o controlador ou
operador fazem o tratamento, e estes negam. Além disso, será muito útil nas
questões envolvendo confirmação ou não de consentimento eletrônico (ou mediante
telas sistêmicas), onde a controvérsia está se houve ou não o referido
consentimento, dentre outras hipóteses em que se revela boa prática que as
empresas mantenham profissionais de digital e data forensics sempre por perto.
Como visto, a
segurança da informação é direito do titular, medida técnica e organizativa
indicada e elencada à princípio para as normas de proteção de dados, sendo
elemento fundamental para assegurar a conformidade de agentes de tratamento às
diretrizes das normas e principalmente, agora, para evitar responsabilizações
junto à ANPD (Autoridade Nacional Brasileira) e até judiciais, diante de danos
decorrentes de tratamento de dados. Do mesmo modo, uma resposta a incidentes
efetiva e adequada à norma, com recursos para investigação digital e em dados,
é mais que boa prática para empresas que queiram reduzir riscos de problemas
jurídicos e responsabilizações diante de incidentes envolvendo dados, aos quais
todo agente de tratamento está sujeito.