Lgpd - Lei Geral de Proteção de Dados Pessoais: Manual de Implementação - Ed. 2021

Capítulo 6. A Proteção de Dados Desde a Concepção (By Design) E por Padrão (By Default) - III – Procedimentos Específicos

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

III – PROCEDIMENTOS ESPECÍFICOS

Elba Lúcia de Carvalho Vieira

Doutoranda em Ciência da Informação pela Universidade Federal da Bahia (UFBA) com pesquisa na área de proteção de dados, segurança da informação e Inteligência Artificial. Mestre em “Gestão e Tecnologias aplicadas à Educação” pela Universidade Estadual da Bahia (UNEB). Possui MBA em Administração pela Universidade Salvador (UNIFACS), Especialização em Informática pela Universidade Federal da Bahia (UFBA) e Graduação em Processamento de Dados pela Universidade Salvador (UNIFACS). Professora convidada da Rede Nacional de Pesquisa (RNP/ESR) e de diversos cursos de Pós-Graduação. Profissional com ampla experiência nas áreas de Segurança da Informação e Gestão de Riscos, tendo participado de projetos estratégicos em ambientes críticos de Organizações Financeiras, Governamentais e de Saúde. Foi finalista do prêmio Security Leaders 2015 (“Governo”) e 2014 (“Setor Público”). Atualmente, é Sócia-Proprietária da SOLARE Consultoria em Tecnologia da Informação, assessorando empresas nas áreas relacionadas à segurança da informação, gestão de riscos, proteção de dados pessoais e temas afins.

1. Introdução

Vivemos, nos dias de hoje, em um mundo rodeado de tecnologias, altamente conectado e repleto de ameaças digitais. Sequestro de informações, engenharia social, códigos maliciosos, funcionários despreparados, espionagem, crime cibernético cada vez mais sofisticado são exemplos de ameaças que podem causar sérios danos a uma Organização. Promover ações de proteção a dados pessoais e informações críticas, bem como reduzir riscos devem ser práticas constantes nas Organizações.

A evolução das tecnologias, de dispositivos e sensores cada vez mais inteligentes, e o uso intensificado das mídias sociais, contribuem para um cenário em que a humanidade transita das “coisas analógicas” para as “coisas digitais”. A Internet das Coisas (IoT), com dispositivos, objetos e sensores conectados à internet, distribui e dispersa conteúdos, a todo momento, para indivíduos de vários cantos do mundo. É a nova vida digital que se faz presente.

Esse cenário é bem exposto por Goodman (2015, p. 248), que diz que “o espaço real será exatamente como o ciberespaço e, à medida que todos os objetos ao nosso redor se juntarem à Internet das Coisas, qualquer distinção significativa entre o mundo on-line e o off-line deverá desaparecer”. Isso é reforçado por Gabriel (2018, p. 239), que diz que “a hiperconexão e a proliferação de plataformas digitais passa a permitir ao ser humano transferir parte de si para o mundo digital”, e Harari (2018, p. 109), visionário e realista, ainda acrescenta que “humanos e máquinas poderão se fundir tão completamente que os humanos não serão capazes de sobreviver se estiverem desconectados da rede”.

Nesse cenário, indivíduos passam a integrar a sua vida real à vida digital. Computadores, sensores, dispositivos e equipamentos tecnológicos são instrumentos que passam a fornecer informações importantes para facilitar a tomada de decisões e ações em vários segmentos da vida de uma pessoa: na saúde, na educação, na segurança, nas ciências e em tantas outras áreas.

Sobre esse aspecto, Schwab (2016, p. 13), fundador e Presidente Executivo do Fórum Econômico Mundial, diz que

A tecnologia não é uma força externa, sobre a qual não temos nenhum controle. Não estamos limitados por uma escolha binária entre “aceitar e viver com ela” ou “rejeitar e viver sem ela”. Na verdade, tomamos a dramática mudança tecnológica como um convite para refletirmos sobre quem somos e como vemos o mundo.

Já estamos imersos nesse mundo tecnológico complexo, irreversível, com a percepção de inúmeros benefícios, mas também, inúmeros riscos à humanidade.

Dados pessoais, por estarem armazenados em dispositivos móveis ou na mente das pessoas, trafegam além dos “muros” das barreiras tradicionais da segurança das Organizações. Informações dispersas em formatos distintos trazem inúmeros desafios ao mundo corporativo, no sentido de promover ações efetivas para proteger dados sob sua responsabilidade.

Falar de dados pessoais é falar também de privacidade. O Gartner (2019), aborda a questão da privacidade expondo que ela

é uma disciplina essencial para diversas operações, reforçada por vários regulamentos. Recentemente, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) impulsionou um movimento global no sentido de consolidar as leis de privacidade e proteção de dados com requisitos mais rigorosos.

Assim está o cenário para as Organizações.

Na esteira do GDPR, a “Lei Geral de Proteção de Dados Pessoais ( LGPD)”, promulgada em agosto de 2018 no Brasil, com princípios e diretrizes importantes relativos às informações básicas dos indivíduos que a Lei caracteriza como “dado pessoal” ou “dado pessoal sensível”, impõe às Organizações brasileiras a necessidade de aplicação de ações que, historicamente, fazem parte do radar de muitos profissionais que atuam no segmento da tecnologia, da segurança da informação (e áreas afins) e que eu resumiria em uma única frase: proteger dados para assegurar a privacidade dos indivíduos. O que mudou, a partir de 18 de setembro de 2020 (data em que a LGPD entrou em eficácia plena), é o caráter obrigatório para a conformidade às suas diretrizes.

Em se tratando do mundo digital, a questão das ameaças cibernéticas e segurança dos ambientes é ainda mais crítica. Não é à toa que o Fórum Econômico Mundial, através do “The Global Risks Report 2019” (WEF, 2019, p. 3), relatório que apresenta informações resultantes de discussões e pesquisas, apontou o “ataque cibernético” como o quarto maior risco à humanidade, fato apontado no relatório de 2020 (WEF, 2020, p. 3) ainda como risco dominante. Em recente publicação, o “The Global Risks Report 2021” (WEF, 2021, p. 12), passa a considerar entre os dez maiores riscos globais a “falha de segurança cibernética” que, em linhas gerais, significa uma infraestrutura ou medidas de segurança cibernética obsoletas diante de armas cibernéticas cada vez mais sofisticadas e complexas, podendo resultar em impactos significativos, como indisponibilidade de serviços essenciais, perdas financeiras, tensões geopolíticas ou instabilidades sociais. Notícias de ataques cibernéticos ocorridos em Organizações de diversos países têm sido corriqueiras, como amplamente divulgado pela mídia, mostrando graves consequências em serviços essenciais que afetam populações que deles dependem.

Nesse contexto, o mundo do crime cibernético lucra, substancialmente, com a venda de informações no mercado paralelo. Informações críticas e dados de pessoas naturais, na maioria das vezes adquiridas de forma ilegal, seja através da invasão de redes, ambientes críticos digitais, com uso de ferramentas cada vez mais sofisticadas, seja também através de práticas que exploram a fragilidade do comportamento humano, a exemplo da engenharia social, que tem o propósito de adquirir informações, acessar ambientes, invadir sistemas, ludibriando pessoas com acessos privilegiados. Goodman (2015, p. 187), em suas proposições relativas à cibermáfia e ao crime organizado, expõe que “o crime cibernético não tem fronteiras e oferece grande anonimato, e os processos criminais são extremamente raros, talvez ocorrendo em menos de um milésimo de 1% de todos os casos”.

A proposta deste artigo, em colaboração à obra completa que considera outros aspectos da LGPD, é abordar a importância das estratégias de segurança para a proteção de dados de pessoas naturais, minimizando riscos e preservando o direito à privacidade. Algumas considerações são feitas sobre a LGPD como instrumento que pode fortalecer Organizações e suas infraestruturas, através de medidas de segurança, desde a sua criação, concepção ou desenho (by design) e por padrão (by default), com o objetivo de contribuir com a implantação das diretrizes da Lei.

Há uma grande jornada pela frente. As organizações que já estão atuando com governança de dados, gestão de riscos, segurança e compliance, possivelmente possuem um grau de maturidade e conformidade à lei mais elevado do que aquelas que sequer observaram, planejaram ou aplicaram medidas que visem à proteção de dados, através do uso adequado de tecnologias, processos e pessoas. É praticamente impossível manter-se “vivo” numa zona de conforto sem ajustar sua visão, suas estratégias, sua forma de operar e atuar na gestão das informações nos tempos atuais. É preciso mudar. A LGPD pode ser um impulso.

2. A proteção de dados e a privacidade do indivíduo

Todo ser humano tem direitos assegurados por leis diversas, que devem ser respeitados, seja no mundo real, seja no mundo digital. Gabriel (2018, p. 62), sobre o tema privacidade, observa que ele “deriva do latim (privatus) e significa ‘separado do resto’. De mais amplo, refere-se à habilidade dos indivíduos (ou grupos) de afastar a si próprios e, consequentemente, revelar apenas as suas informações que deseje, de modo seletivo”. A privacidade é um direito garantido a todo e qualquer indivíduo. Nesse sentido, Rocha (2014, S/P) comenta que

quando falamos em direitos humanos e diversidade falamos do reconhecimento do ser humano como ser humano, com diversas dimensões. Nós não somos pessoas, seres humanos sem a dimensão da diferença, da diversidade que muitas vezes é esquecida. Nós somos pessoas compostas de múltiplas dimensões: gênero, etnia, orientação sexual, habilidades, idade, religião. Isso faz com que todos nós sejamos únicos e ao mesmo tempo diferentes.

Assim é a privacidade e sua relação com os seres humanos. Ela é considerada um direito humano fundamental. É citada na Declaração Universal dos Direitos Humanos – …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
19 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1197026532/capitulo-6-a-protecao-de-dados-desde-a-concepcao-by-design-e-por-padrao-by-default-iii-procedimentos-especificos