Data Protection Officer (Encarregado) - Ed. 2020

Dpo e Aspectos de Segurança da Informação

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Cassio Menezes 1

Diretrizes e gestão integrada

A segurança da informação, já há algum tempo, tem sido um ingrediente indispensável para garantir a credibilidade e a sobrevivência das empresas no mundo dos negócios. No âmbito das regulamentações e das leis inerentes à proteção de dados, a segurança da informação é um dos pilares que sustenta o objetivo de preservar o direito à privacidade que, como salienta Schneier (2016), trata-se de “uma necessidade humana essencial e central para nossa capacidade de controlar como nos relacionamos com o mundo.” (p.151, tradução nossa) 2 .

Para tanto, o DPO desempenha um importante papel no acompanhamento da implementação de controles de segurança com o foco na mitigação de riscos de acessos indevidos, vazamentos, tratamento abusivo, entre outros. O DPO deve se certificar de que as medidas de segurança sejam proporcionais ao nível de risco que o tratamento pode incidir sobre os direitos e liberdades dos indivíduos.

É recomendável que a estratégia de segurança da informação tenha a privacidade e a proteção de dados como um pilar. Da mesma maneira, o programa de proteção de dados pessoais deve ser suportado pelos processos de segurança da informação. Para facilitar essa gestão integrada, a utilização de padrões e frameworks é bastante recomendável, como exemplo: ISO/IEC 27.701 e o NIST (National Institute of Standars and Technology) Privacy Framework.

Embora os padrões e boas práticas de mercado encurtem caminhos e possibilitem atalhos para simplificar o desafio de gerenciar um programa de proteção de dados, certamente há que atentar para cada contexto e suas especificidades. Cenários muito singulares podem exigir ajustes e particularizações convenientes às obrigações legais e ao atendimento dos objetivos traçados na diretriz de segurança de dados.

As diretrizes estabelecidas na política de privacidade e proteção de dados pessoais devem estar alinhadas às normas inerentes à segurança da informação. Da mesma forma, as normas de segurança da informação devem contemplar diretrizes que considerem a privacidade como um requisito e que levem em conta a distinção entre dados pessoais sensíveis e não sensíveis.

Por outro lado, o processo de gestão de riscos de segurança e as análises periódicas de impacto na privacidade devem retroalimentar essas políticas e diretrizes, garantindo uma evolução sustentável e adequada aos objetivos do negócio.

A seguir, serão explorados diversos pontos importantes relativos a algumas disciplinas do domínio da segurança da informação e que devem ser considerados pelo DPO como forma não exaustiva, não isolada e como forma de inspiração para o cumprimento de seus objetivos de forma prática e objetiva.

Inventário de dados pessoais

A partir do mapeamento do fluxo de dados pessoais nas atividades ou processos de negócio, começa-se a conhecer onde está aquilo que realmente precisa ser protegido, considerando inclusive as distintas fases do ciclo de vida do dado, desde a coleta até sua eliminação. Posteriormente a este mapeamento, que ocorre através de entrevistas e interação com os gestores de negócio, é que se deve traçar um plano de remediação para minimizar os riscos inerentes à segurança.

As ferramentas tecnológicas para varredura ou descoberta de dados podem ser grandes aliados nesse processo de inventário, porém, não são substitutas de um processo diligente para o entendimento do fluxo dos dados. Além disso, tudo o que é mapeado através dessas ferramentas, precisa ser correlacionado com a atividade de negócio correspondente. A automatização, sobretudo em ambientes grandes e complexos, também é benéfica para apoiar no processo de atendimento às requisições dos titulares de dados ao exercerem seus direitos de acesso, retificação ou eliminação.

Quando se tem o inventário de fluxo de dados concluído, é possível, então, identificar a medida de proteção mais adequada para cada caso, definindo uma estratégia de mitigação de riscos com a priorização que for mais conveniente, com base na sensibilidade dos dados a luz da lei e da política de classificação da informação preestabelecida (documento importante do arcabouço de normas de segurança da informação). As ações mitigadoras podem ser medidas técnicas de ajuste em sistemas, como a criação de um processo novo, a implementação de uma política, entre outros.

Na prática, o DPO deve direcionar a função de segurança da informação, estabelecendo, com base no inventário de dados, as diretrizes para que sejam inventariados os sistemas e demais ativos que tocam dados pessoais. A prática de segurança aplicada a esse escopo potencializará a conformidade com a legislação vigente.

Controle de Acesso

Para evitar acesso não autorizado, adulteração, destruição ilícita, divulgação ou compartilhamento indevido, o processo de gestão de acessos precisa contemplar controle aos dados pessoais inventariados.

Os dados pessoais podem estar armazenados em sistemas de negócio ou de comunicação, espalhados pela rede, na nuvem ou até em papéis. Independentemente desse fato, é necessário estabelecer medidas técnicas ou administrativas para restringir o acesso às informações que podem identificar um indivíduo, comumente chamadas de PII (Personally Identifiable Information).

Convém que todas as funções de negócio que possuem acesso a PII sejam conhecidas e documentadas pelo DPO com a devida finalidade registrada. Também precisam estar claros os diferentes níveis de acesso ou os privilégios que as distintas funções possuem sobre estes dados, por exemplo: consulta, alteração, eliminação ou acesso total.

Por isso, o DPO precisa ter visão sobre o processo de administração de usuários e privilégios que viabiliza acesso a dados pessoais. O seu objetivo deve ser assegurar que todas as concessões de acesso estejam respeitando os legítimos propósitos do negócio. Para isso, o registro de atividades ou o inventário de processos de negócio pode ser útil no sentido de prover insumos para avaliação e validação do processo. Neste aspecto, ressalta-se a necessidade de acompanhar os mecanismos de monitoração ou de revisão periódica dos direitos de acessos vigentes.

Não se deve negligenciar a gestão sobre as contas de alto privilégio, aquelas que possuem permissões totais de administrar os sistemas e, portanto, podem acessar e modificar tudo ou quase tudo. A utilização de soluções tecnológicas que atendem essa necessidade é uma boa prática que deve ser...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548787/dpo-e-aspectos-de-seguranca-da-informacao-data-protection-officer-encarregado-ed-2020