Lgpd - Lei Geral de Proteção de Dados Pessoais Comentada - Ed. 2021

Art. 46 - Seção I. Da Segurança e do Sigilo de Dados

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

CAPÍTULO VII

DA SEGURANÇA E DAS BOAS PRÁTICAS

CAMILLA DO VALE JIMENE

SEÇÃO I

Da Segurança e do Sigilo de Dados

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Os agentes de tratamento – leia-se o controlador (aquele a quem compete as decisões referentes ao tratamento de dados pessoais) e o operador (aquele que realiza o tratamento de dados pessoais em nome do controlador), de acordo com as definições do art. , incs. VI, VII e IX da LGPD – devem implementar medidas de segurança, medidas técnicas e medidas administrativas capazes de proteger os dados pessoais.

Vale lembrar que o art. da LGPD estabelece no inc. VII a segurança como princípio a ser observado nas atividades de tratamento de dados pessoais, definindo o vocábulo “segurança” como a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Com isso, é possível compreender que as chamadas “medidas de segurança” contemplariam, no entendimento do legislador, medidas técnicas e administrativas.

As medidas de técnicas são aquelas adotadas no âmbito da Tecnologia da Informação, com o uso de recursos informáticos dotados de funcionalidades voltadas à garantia da segurança da informação. São exemplos dessas tecnologias: ferramentas de autenticação de acesso a sistemas, mecanismos de segurança em softwares e hardwares, recursos de controle de tráfego de dados em rede, instrumentos detectores de invasões de sistemas, recursos de criptografia, segregação de servidores, ferramentas de prevenção à perda de dados, testes de vulnerabilidade, cópias de segurança, entre muitos outros.

Por sua vez, as medidas administrativas são as atividades realizadas no âmbito administrativo-gerencial dos agentes de tratamento, incluindo-se as de natureza jurídica. São exemplos de medidas administrativas: políticas corporativas para proteção dos dados pessoais, contratos de confidencialidade, avisos de privacidade de sites e aplicativos, capacitação dos empregados cujas atividades envolvam o tratamento de dados pessoais, controle de acesso aos arquivos físicos, entre outras.

Como se vê, o legislador foi assertivo ao impor aos agentes de tratamento a obrigação de adotar medidas de segurança, porquanto empregou o verbo “devem”. No entanto, é importante destacar que tais medidas têm natureza híbrida, porquanto parte dos procedimentos estão relacionados à tecnologia da informação e parte dos procedimentos estão relacionadas às questões administrativas-gerenciais, inclusive de ordem jurídica.

De acordo com Márcio Cots e Ricardo Oliveira,Inicialmente, vale notar que o verbo ‘devem’ é impositivo da lei, ou seja, não se trata de faculdade: é uma obrigação legal que, se não cumprida poderá ensejar a aplicação de sanções administrativas e responsabilidade civil” 1 .

Restou claro, portanto, que para estar em conformidade com os ditames legais, os agentes de tratamento de dados deverão implementar soluções de natureza multidisciplinar, porquanto o dispositivo em comento empregou a conjunção aditiva e, expressando a ideia de adição (“medidas de segurança, técnicas e administrativas”).

Desse modo, não bastará apenas a implementação de recursos tecnológicos ou a adoção de documentação interna, como atividades isoladas e pontuais, para garantia de segurança dos dados. Trata-se em realidade de um modelo de governança corporativa que considere os riscos operacionais e implemente controles para gerenciá-los ou eliminá-los. E isso é muito positivo, pois decorre da própria complexidade do binômio tratamento de dados versus mantê-los a salvo, que não é de simples solução.

Assim, os agentes de tratamento precisarão adotar um conjunto de processos internos, controles tecnológicos, políticas corporativas, regulamentos, contratos, que terão por missão precípua a proteção dos dados pessoais que estejam sob sua custódia.

Em continuidade, o legislador apresentou um extenso rol das condutas com relação às quais os dados pessoais devem ser protegidos, quais sejam:

(i) Acessos não autorizados: consiste no acesso aos dados pessoais realizado por pessoa que não detém permissão dos agentes de tratamento para tanto. Nesse ponto, oportuna a lição de Roberto Cezar Bitencourt:pessoas não autorizadas são aquelas alheias ao sistema e que não têm legitimidade legal, regulamentar ou estatutária para ingressar” 2 . Assim, pode-se entender que o legislador pretendeu impedir situações, tais como, o ingresso não autorizado de um hacker a um sistema computacional no qual estavam armazenados dados pessoais ou o caso de empregado, que embora tenha legitimidade para acessar um determinado banco de dados do empregador, aproveita-se das credenciais de acesso privilegiado de colega, para acessar área restrita, que lhe era vedada. O objetivo da lei é garantir que os dados pessoais sejam mantidos em confidencialidade, sendo conhecidos somente por aqueles que precisem conhecê-los.

(ii) Situações acidentais ou ilícitas, de:

(ii.a) Destruição: a doutrina de Cleber Masson define “destruir (eliminar fisicamente a coisa, extinguindo-a)” 3 . Assim, o termo “destruição” poderia ganhar diferentes interpretações, a depender do contexto do suporte em que se encontra o dado pessoal. Na hipótese de dados pessoais impressos em papel (suporte cartáceo) – destruir poderia significar incinerar ou triturar o suporte em que o dado estava armazenado, eliminando-o fisicamente. Já na hipótese de os dados pessoais estarem armazenados em um computador (suporte digital) – destruir poderia ser interpretado como apagar, deletar. O objetivo da lei é garantir que os dados pessoais estejam disponíveis quando necessários.

(ii.b) Perda: refere-se ao sumiço, o …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
17 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1198081163/art-46-secao-i-da-seguranca-e-do-sigilo-de-dados-lgpd-lei-geral-de-protecao-de-dados-pessoais-comentada-ed-2021