LGPD 2021 Mod3

De MediaWiki do Campus São José
Ir para navegação Ir para pesquisar

Privacidade dos dados

Todos os Agentes de Tratamento, ao lidar com dados pessoais, devem garantir sempre que possível e nas situações previstas na Lei, a segurança e privacidade dos dados.

No caso de organização de serviços e sistemas para tratamento de dados, é importante considerar os parâmetros apresentados a seguir.


Privacy by Design

O princípio Privacy by Design representa o emprego de mecanismos e soluções de privacidade durante todo o ciclo de vida do desenvolvimento do sistema ou da organização dos serviços em que os dados serão tratados. Nessa perspectiva, a privacidade é incorporada à própria arquitetura dos sistemas e processos desenvolvidos, de modo a garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade e a coleta e tratamento de seus dados pessoais.


Privacy by Default


O princípio Privacy by Default representa a obrigatoriedade de que todas essas ferramentas estejam acionadas como padrão e que as medidas destinadas a garantir privacidade ao Titular não contradigam a lógica desse padrão. Em última análise, significa dizer que o serviço será organizado de forma tal que não haja a prevalência dos interesses dos Agentes de Tratamento sobre os interesses do Titular dos dados tratados.

Significa estabelecer como configuração padrão a maior privacidade possível ao Titular dos dados, além de garantir que, na dúvida entre duas situações ambíguas, prevaleça aquela que melhor atenda aos seus interesses.

Importante

Os Agentes de Tratamento devem, portanto, desde a concepção do produto ou do serviço, até a sua execução, adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46, §2º).


Fig10 LGPD2021.png Ouça o Episódio 7 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o equilíbrio entre a necessidade de lidar com os dados pessoais e a privacidade e segurança dos dados.

Segurança da informação

Um dos atributos mais importantes da privacidade e do tratamento de dados pessoais é o alinhamento, pelos agentes de tratamento, com os domínios da (I) Segurança da Informação, (II) das Boas Práticas e (III) da Governança de Privacidade.

Segurança da Informação

Segurança da Informação é o conjunto de domínios e conhecimentos relacionados à informação e à preservação dos atributos de confidencialidade, disponibilidade, integridade e autoria (ou não repúdio).

Muita gente pensa que segurança da informação se relaciona apenas com a confidencialidade. Mas toda organização depende de informação e da troca dessa informação com o mundo externo em um determinado nível de equilíbrio!

Uma informação guardada a sete chaves em um baú de aço no fundo do mar abissal pode até parecer segura, mas não constitui “informação” em si mesma!

Informação também está relacionada com o controle adequado dos atributos já citados, representados a seguir:

Confidencialidade
Limitar o acesso tão somente às entidades legítimas, ou seja, àquelas autorizadas. Sendo assim, o acesso a dados pessoais por entidades ou pessoas não autorizadas configura-se como violação de segurança desses dados, além de incidente de segurança.
Disponibilidade
Estar pronta para o uso na medida das necessidades.
Integridade
Certeza de que não foi adulterada, por exemplo.
Autoria
Certeza de que não foi produzida por outrem e certeza de que foi produzida por seu verdadeiro autor.


Devido à evolução do Comércio Eletrônico e da Sociedade da Informação, além de meios de tratamento de dados e informações, outros controles “estendidos” de adequação surgiram, como:

  • Irretratabilidade ou não repúdio - impossibilidade de se negar autoria (provar) sobre a execução de transação;
  • Privacidade - manter anônimo o usuário;
  • Legalidade - esteja aderente à legislação pertinente;
  • Auditoria - capacidade de auditar tudo o que foi realizado pelos usuários;
  • Autenticação - processo de identificação e reconhecimento, ou seja, é de fato quem alega ser;
  • Autenticidade - garantia de que a informação é proveniente da fonte anunciada (origem) e que não foi alvo de mutações ao longo de um processo;
  • Autorização ou consentimento - concessão livre, informada e inequívoca pelo titular para acesso de pessoas ou entidades autorizadas e capacitadas para o uso adequado e tratamento de seus dados pessoais, para uma ou mais finalidades determinadas.


Os domínios de segurança da informação diferem entre os modelos e frameworks disponíveis, mas de modo geral estão relacionados às seguintes rubricas:

  1. Governança de Segurança da Informação
  2. Segurança de Ativos (incluindo “classificação”)
  3. Gestão, Risco e Conformidade de SI
  4. Gestão de Continuidade do Negócio
  5. Segurança de Comunicação e Infraestrutura de Rede (incluindo controle de acesso e gestão de identidade)
  6. Operações de segurança (incluindo tratamento de incidentes, recuperação de desastres, forense computacional)
  7. Segurança de Dados (incluindo Criptografia) e
  8. Desenvolvimento Seguro.

Boas Práticas

A adoção de “melhores práticas” não é uma rubrica subjetiva e inconsistente. Essas melhores práticas não são resultado de uma mera avaliação subjetiva, mas constituem formas de proceder já testadas e aprovadas internacionalmente como resultado de erros, acertos e melhorias pelos profissionais do ramo.

Elas incluem medidas concretas como:

  • Adoção de um programa consistente de segurança, privacidade e governança de dados
  • Definição de políticas específicas (Segurança da informação, Privacidade, Continuidade de Negócio e Comunicação)
  • Adoção de normas, padrões e baselines
  • Definição de procedimentos (por exemplo, procedimentos de forense computacional, procedimentos de gestão de mudança, procedimentos de atualização de patches)
  • Tratamento de reclamações de titulares
  • Ações de educação, de treinamento e de conscientização
  • Mecanismos de supervisão
  • Procedimentos de tratamento e mitigação de riscos etc.

Governaça e Privacidade

É muito importante, em situações de violação de segurança ou vazamento de dados, ter um adequado plano de comunicação e de gestão da continuidade do negócio, tanto para evitar que falhas de comunicação aumentem a dimensão do problema quanto para garantir que a organização tenha agilidade na recuperação, com rápido retorno à regularidade. E tudo deve ser feito minimizando os danos aos titulares e garantindo que o histórico e a experiência sejam utilizados na prevenção de ocorrências futuras.

Esse conjunto de melhores práticas não é monopólio da Segurança da Informação e nem da Governança, mas se relacionam intimamente com ambas.

A adoção de um modelo de governança de privacidade não é, igualmente, um “conjunto em aberto”. Ter governança significa estabelecer um modelo de funcionamento que garanta direcionamento, comunicação, clareza de papéis, conhecimento geral do negócio e responsabilidade proativa (accountability).

Que conjunto de ações garantem essa governança?

A adoção de melhores práticas, o alinhamento com os aspectos gerais de segurança da informação, e o alinhamento em torno de uma política clara de privacidade e uma forma de fazer que seja inequívoca e plenamente conhecida por todos.

Importante

Implantar governança significa eliminar o espaço para a fala dos maus gestores que, em passado recente (escândalos da Enron, da Arthur Andersen e outros), quando interpelados sobre o porquê daquele desmando identificado, respondiam “eu não sabia! Quem cuidava disso eram os contadores, ou os departamentos financeiros”.

Onde há governança não há espaço para o “eu não sabia”. Accountability não é moda passageira, mas constitui verdadeiro fim a ser perseguido em qualquer modelo conduzido por adultos responsáveis.

Assim, para demonstrar e estar em conformidade aos requisitos de segurança da informação e privacidade e proteção de dados, de acordo com o que prevê a LGPD, deve-se fazer uso, no mínimo, de documentos tais como:

  • Diretriz de Segurança Lógica (políticas de senha, sistemas de autenticação de usuário, programa de detecção de vírus);
  • Normas de Classificação, Anonimização e Criptografia da Informação;
  • Política Corporativa de Governança de Dados;
  • Política Corporativa de Segurança da Informação;
  • Política Corporativa de Privacidade e Proteção de Dados;
  • Plano de Resposta a Incidente e Remediação;
  • Plano de Continuidade de Serviços e Negócios;
  • Plano de Contingência;
  • Plano de Comunicação, Treinamento e Conscientização sobre Segurança da Informação, Privacidade e Proteção de Dados; e
  • Programa de Governança em Privacidade e Proteção de Dados.

LGPD e penalidades


Fig15 LGPD2021.png


Vazamento de Dados

Nos casos de vazamento ou violação de dados, qual o procedimento previsto na LGPD?

O Controlador deverá comunicar tanto ao Titular quanto à ANPD sobre a ocorrência de algum incidente de segurança que venha a resultar em risco ou dano relevante ao Titular. A medida dessa relevância depende da classificação de risco e do que tenha sido definido como risco de média, alta ou de altíssima severidade.

“A LGPD é uma legislação, também, para proteção de patrimônio e de reputação” (Patrícia Peck).

Assim, caberá ao Encarregado designado pelo Controlador, em situações de violação de segurança ou vazamento de dados, implementar procedimentos ou práticas de Segurança da Informação/Segurança Cibernética, Políticas e Programa PD&D, que implicam notificar a diretoria da organização, a área de comunicação e inclusive solicitar forense computacional, entre outros.

Importante

Essa comunicação será devida nos casos em que dados pessoais tenham vazado, acidental ou ilicitamente, a destinatários não autorizados, ou quando fiquem temporária ou permanentemente indisponíveis, ou ainda quando sejam alterados.

Responsabilidades

Caso o tratamento de dados pessoais não ocorra de acordo com a LGPD, quem será responsabilizado?

O Controlador e o Operador poderão responder conjuntamente ou individualmente, conforme o caso, no âmbito administrativo, sofrendo as sanções que a Autoridade lhes imponha individualmente ou de forma articulada com outras autoridades, como veremos adiante.

Sanções Administrativas

Nos casos em que o Controlador falte com suas responsabilidades (inclusive a de instruir adequadamente o Operador), sofrerá as sanções da Lei. Já o operador, quando tenha sido devidamente instruído, se faltar com seus deveres, será o destinatário das sanções correlatas.

As sanções administrativas, previstas na nova Lei, são as seguintes:

I. advertência, com a indicação de prazo para adoção de medidas corretivas;
II. multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no último exercício, excluídos os tributos e limitada a R$ 50.000.000,00, por infração;
III. multa diária, observado o limite total a que se refere o inciso anterior;
IV. publicização da infração, após apuração e confirmação;
V. bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI. eliminação dos dados pessoais a que se refere a infração.


Sanções Cíveis e Penais

Independentemente das sanções administrativas, a conduta dos agentes de tratamento poderá ensejar danos materiais ou cometimento de crimes e, nesses casos, sanções judiciais poderão se sobrepor às administrativas, tanto em relação aos agentes como em relação às pessoas de seus quadros societários ou profissionais.

Um elemento importante de se compreender é que a responsabilidade, em matéria de privacidade, não é “objetiva” (aquela que depende apenas de haver o ato lesivo e de haver o efetivo dano à parte prejudicada). A responsabilidade aqui é subjetiva e depende de se identificar a existência de culpa ou dolo por parte do agente de tratamento.

No entanto, se a responsabilidade do agente tangenciar relações de consumo, a regra de responsabilidade se dará em conformidade com o direito consumerista (Direito do Consumidor) e, portanto, se passará a tratar a responsabilidade pelo critério objetivo, típico desse tipo de relação.

Saiba mais

As sanções serão aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerando sua gravidade e a natureza. Além das sanções administrativas, o infrator poderá responder judicialmente por repercussões decorrentes do descumprimento da LGPD, individual ou coletivamente.

LGPD e demais leis

A proteção de dados e privacidade é um sistema complexo de comandos e diretrizes que não se restringem à LGPD, mas estabelece um diálogo com inúmeros outros marcos legais, como a LAI - Lei de Acesso à Informação, o Código de Proteção e Defesa do Consumidor, as Políticas Nacionais de Segurança da Informação e de Proteção de Infraestruturas Críticas, a Lei do Cadastro Positivo, o Marco Civil da Internet, a Lei de Crimes Cibernéticos, a Lei das Estatais, e tantas outras.

A imagem a seguir apresenta algumas dessas iniciativas legais e sua relação direta com o Titular dos dados.


Fig16 LGPD2021.png


Links
LGPD
Política Nacional de Infraestruturas Críticas
Cadastro Positivo
LAI
Lei de Crimes Cibernéticos
Marco Civil da Internet
Código de Defesa do Consumidor
Lei das Estatais
Política Nacional de Segurança da Informação


A correlação e coordenação entre essas iniciativas legais evidenciam um sistema jurídico harmonioso e complementar que deve ser interpretado em seu todo, tanto pelos atores do processo quanto pelos que têm a obrigação de controlar e de decidir sobre seu funcionamento e regularidade.




Icone voltar.png Icone menu.png Icone prox.png

Disponível em “https://wiki.sj.ifsc.edu.br/index.php?title=LGPD_2021_Mod3&oldid=181294