LGPD 360º - Uma visão de holística de conformidade

LGPD 360º – Uma visão de holística de conformidade. As empresas tem se adequado corretamente? todos os aspectos estão sendo atendidos?

Em 14 de agosto, a LGPD completou 5 anos que o então presidente Temer, sancionou a LGPD e desde 1º de agosto de 2021 já é possível a aplicação de multas e sansões. O que mudou até o momento? O que as empresas e órgãos do governo estão fazendo para se adequarem?

A Lei Geral de Proteção de Dados pessoais – LGPD – nº 13.709, de 14 de agosto de 2018, concentrou mais de 60 outras citações de leis com a finalidade de normatizar a propriedade e a responsabilidade sobre os dados pessoais, e estabelece multa de 2% do faturamento anual, limitada a R$50 Milhões, por evento de infração.

A LGPD nasceu de uma necessidade global de regulamentar a proteção e uso de dados pessoais. Embora houvesse outras dezenas de leis relativas à Privacidade de Dados, o Brasil foi pressionado a ter uma lei específica devido ao requisito de bilateralidade exigida por leis com a General Data Protection Regulation – GDPR – na Europa, e pela necessidade de regulamentar o direito e interação do Controlador com o Titular de Dados.

A Lei define a pessoal natural, o cidadão nacional, como sendo o Titular de Dados, o proprietário sobre as informações e lhe dá autoridade para definir como as suas informações serão utilizadas e para qual finalidade.

Para fins de tratamento de dados, a LGPD define duas categorias de dados: “Dados Pessoais” e “Dados Pessoais Sensíveis”, onde “Dados Pessoais” são ‘informações relacionada a pessoa natural identificada ou identificável, são dados que identificam o Titular de Dados’ (Nome, CPF, endereço, RG, etc…) e “Dados Pessoais Sensíveis” são ‘dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural’, ou seja, são dados que qualificam o Titular de Dados. Dados financeiros, são excluídos do escopo da Lei.

A LGPD também define como Controlador ‘a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais’, ou seja, todas as empresas, órgãos ou repartições públicas estão sujeitas à Lei e podem ser consideradas Controladoras de dados pessoais.

Durantes os últimos 5 anos, desde a sua promulgação, houve diversos movimentos dentre os quais algumas empresas acreditavam que a Lei “não iria pegar” e outras que entenderam a sua necessidade e requisitos internacionais.

No entanto, muitos ainda se limitam a acreditar que se trata de uma Lei focada em processos e documentações jurídicas, com a nominação de um Encarregado de Dados, chamado popularmente pelo termo em inglês DPO – Data Protection Officer, para que este possa lidar com esse atendimento direto ao Titular de Dados. No entanto o que vemos aqui é uma visão míope e distorcida da realidade definida pela lei.

Principais motivos para aplicação de multas

A Lei estabelece multa de 2% do faturamento anual, limitada a R$50 Milhões, por evento de infração. Aqui que devemos começar nosso entendimento da lei e onde estamos mais expostos e devemos atuar de forma diligente.

Os eventos de infração previstos podem ser derivados basicamente do uso ilegal ou não autorizado dos dados, refletindo uma violação dos direitos fundamentais do Titular de Dados, ou derivados do comprometimento do sigilo ou integridade das informações.

O uso ilegal está diretamente relacionado ao processo de coleta, autorização e quebra dos princípios básicos definidos pela lei, tendo a sua amplitude controlada.

O comprometimento da integridade e sigilo da informação está diretamente relacionada ações de hackers, que invadem e comprometem sistemas, vazando as informações de forma massiva e descontrolada, sendo a amplitude e impacto muitas vezes incalculáveis.

Em 27 de agosto de 2020, o governo publicou no Diário Oficial da União a estrutura regimental da Autoridade Nacional de Proteção de Dados (ANPD), transformada em autarquia pela Medida Provisória (MP) n.º 1.124/2022, de 13 de junho de 2022, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelo disposto na LGPD. A ANPD tem, portanto, a finalidade reguladora e fiscalizadora do cumprimento da lei, com prerrogativas de impetrar punições e multas devido a eventos que violem os termos da Lei.

Em 24 de fevereiro de 2023, a ANPD publicou a Resolução CD/ANPD Nº4 , que estabelece parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa. Segundo os critérios da Dosimetria, a categoria dos dados afetados (‘pessoal’ ou ‘pessoal sensível’), a quantidade de dados e titulares afetados, e a existência de medidas de prevenção que comprovem a “boa fé” da organização em tomar medidas adequadas de proteção da informação, são fatores determinantes no agravo ou não das penalidades.

Assim, olhando por esse prisma, devemos analisar as medidas adotadas pelas organizações a fim de determinar a “boa fé” das organizações na proteção e prevenção de eventos que comprometam as informações.

Quando olhamos pelo aspecto processual e documental, os eventos possuem uma amplitude controlada, até mesmo quando é relativo ao uso ilegal de forma massiva. Portanto, questões relativas ao atendimento do Titular de Dados, nomeação do Encarregado de Dados, publicação de políticas, aditivos contratuais e documentos de mapeamento de processos, são fatos que em sua ausência geram eventos de baixa amplitude e impacto social, reduzindo o potencial valor da multa e sansões a serem aplicadas. Como exemplo podemos citar que, em maio, a prefeitura de Barueri/SP foi condenada a indenizar em R$ 20 mil, por danos morais, paciente portador de HIV que teve os dados médicos vazados no portal de saúde do município e que os colegas de trabalho tiveram conhecimento através de simples pesquisa. A Desembargadora Heloísa Martins Mimessi, relatora do caso, entendeu que o município não cumpriu com as regras relativas à proteção de dados e ao segredo de informação, já que com apenas a inserção de um número de CPF e da data de nascimento foi possível ter acesso a todo o prontuário médico do paciente, revelando que é portador do vírus HIV, fato que gerou situação degradante e embaraçosa no ambiente de trabalho pela desinformação e rótulos de seus colegas de labuta. No entanto tem se notado caso de uso ilegal, ou não autorizado, de dados que envolvem milhões de pessoas e seu potencial social tornasse grande, com significativo impacto social, devido a quantidade de titulares envolvidos e não pela quantidade de dados comprometidos, um exemplo é o caso do Serpro, que manuseia dados de todos os cidadãos brasileiros e que está sendo investigado quanto à conformidade do tratamento de dados pessoais.

Já em uma violação de dados devido a um comprometimento da proteção e segurança da informação, que ocasione um vazamento ilimitado de dados, é considerado de altíssimo potencial e impacto social a curto, médio e longo prazo, potencializando sobremaneira o valor da multa e sansões por parte da ANPD.

A nível mundial os casos que envolveram enormes quantidades de dados e foram alvos de sansões milionárias por parte dos reguladores, foram devido a vazamento de dados que tiveram como origem ataques hackers. A companhia aérea British Airways teve que pagar uma das maiores multas da GDPR, o órgão responsável pela supervisão da lei pediu o pagamento de £183 milhões. O motivo da multa pedida remete ao final de 2018, quando a empresa por motivo de falha de segurança, acabou vazando dados como os nomes completos, endereços, detalhes de passagens e viagens feitas e agendadas, login e cartão de crédito de aproximadamente 500 mil dos seus clientes. Em 2016 a Uber tinha 600 mil motoristas e 57 milhões de contas violadas. Em vez de relatar o incidente, a empresa pagou a um cibercriminoso US$ 100 mil para manter o hack escondido. No entanto é como aquele ditado diz “o barato, saiu caro” e essas ações custaram uma multa de US$ 148 milhões em 2018 pela violação dos dados.

No Brasil, embora não tenha havido grande multas aplicadas, o cenário não é muito diferente. Em junho a ANPD divulgou lista de casos que estão em investigação envolvendo empresas privadas e de governo. Entre elas estão: Serviço Federal de Processamento de Dados – Serpro ; Ministério da Justiça e Segurança Pública; Telegram Messenger Inc. ; Claro S.A. e Serasa S.A. ; Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP) ; Instituto Nacional do Seguro Social (INSS) e Dataprev ; Governo do Estado do Paraná, Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar) e Algar Soluções em TIC S.A. (Algar Telecom); Secretaria Municipal da Segurança Cidadã (Sesec) do Município de Fortaleza/CE; Ministério da Gestão e Inovação – Secretaria de Governo Digital ; Centro de Mídias da Educação de São Paulo, Descomplica, Escola Mais, Estude em Casa, Explicaê, Manga High e Stoodi ; Raia Drogasil S.A., Stix Fidelidade e Inteligência S.A. e Febrafar (Federação Brasileira das Redes Associativistas e Independentes de Farmácias).

Frente a tudo isso, pesquisa feita ao longo dos últimos 18 meses com mais de 400 Prefeituras de médio e grande porte no Brasil, pela empresa norte americana AKAMAI TECNOLOGIA , indica que 14% delas estão se adaptando à legislação ao longo deste período. 26% Embora sejam cientes da adequação a lei ainda não iniciaram nenhuma ação a respeito. 58% Desconhecem, ou não se interessaram ainda em conhecer o assunto. Veja mais sobre a LGPD e as notícias sobre os incidentes de privacidade e segurança em www.minutodaseguranca.blog.br .

Visão 360º da MindSec

Falar de adequação à LGPD com uma visão processual, documental e jurídica, não é errada, embora seja importante e significante, é bastante limitada e insuficiente, não demonstrando ações de “boa fé” pois ignoram parte significativa da solução requerida em um processo de conformidade. Quando nos concentramos exclusivamente no processual, documental e jurídico deixamos de lado parte significativa que endereça os maiores riscos de eventos de violação de dados.

Para se ter uma correta abordagem no processo de adequação devemos considerar uma visão holística que inclua de forma detalhada a proteção do ambiente tecnológico e o treinamento de colaboradores e servidores públicos, sem deixar de lado as questões de ajustes processuais e legais. Desta forma a organização endereçará o combate ao principal agente de ameaças ao mesmo tempo que demonstra “boa fé” e demonstrará o correto entendimento da Lei.

Não por acaso a LGPD define em seu Capítulo VII – Da Segurança e Boas Práticas, que os “agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” Em seu parágrafo 3º a lei menciona que “no juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.” No Art. 49 vimos que “os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares”.

Quando falamos de melhores práticas de Segurança da Informação e Privacidade devemos no remeter à ISO27001 , ISO27002 e ISO27701 , que estabelecem diretrizes e controles a serem implementados para a correta proteção do ambiente e das informações.

A “ISO27001 Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão da Segurança da Informação – Requisitos” define as diretrizes macros do que um bom gerenciamento e sistema de proteção deve ter, a “ISO27702 Tecnologia da Informação – Técnicas de Segurança – Código de prática para controles de segurança da informação” define os controles a serem aplicados e a “ISO27701 Técnicas de segurança — Extensão da ISO/IEC 27001 e ISO/IEC 27002 para gerenciamento de informações de privacidade — Requisitos e diretrizes” define os requisitos de Privacidade e liga o tema à Segurança da Informação, consequentemente aos critérios definidos pelas ISO27001 e ISO27002.

Portanto, para atender aos requisitos da Lei, é importante nos referenciarmos as ISOs (IS027001, ISO27002 e ISO27701) para balizar a implementação das melhores práticas de proteção da informação.

No mercado, a MindSec, empresa de 11 anos e criadora da metodologia é a pioneira nesse tipo de abordagem e tem feito diversas palestras para setor governo e privado, auxiliando as empresas e repartições públicas no processo de adequação. “Nossa experiência e visão sobre o processo de adequação à LGPD é que o esforço relativo as adequações processuais, documentais e jurídicas representam um esforço relativamente menor quando comparado com o esforço de adequação técnica para proteção do ambiente e das informações, no entanto o maior risco e as maiores violações da Lei têm ocorrido devido a ataques hacker, que corrompem, indisponibilizam e vazam milhares de Giga Bytes de informações sensíveis devido a falhas nos controles de proteção. Os efeitos desses vazamentos são destruidores para as empresas e órgãos públicos, pois envolvem, além do impacto social, o impacto comercial e de imagem para a organização. As empresas necessitam prestar mais atenção e investir nessa visão 360º da Lei para estar em conformidade, caso contrário corem o risco serem consideradas negligentes com a Lei e de sofrem com ataques, vazamentos e punições severas por parte da ANPD”, afirma Kleber Melo, CEO da MindSec.

Falando do Plano de Adequação 360º da MindSec, Kleber Melo diz que: “Temos atuado junto a prefeitura, consórcios e instituições públicas considerando 6 pilares de implementação que incluem: Tecnologia da Informação; Processos e Documentos; Segurança da Informação; Gerenciamento de Incidentes e Riscos e Treinamento e Comunicação. Com esse escopo consideramos que a organização estará 100% em conformidade com a LPGD, pois somos capazes de endereçar todos os requisitos da Lei.” E complementa “Precisamos estar cientes que uma adequação 360º não se faz em um passe de mágica, não é um trabalho fácil ou rápido, e demanda experiência, conhecimento técnico e legal para seja feito da forma adequada. Ainda assim, não podemos afirmar com 100% de certeza que não terão problemas, mas certamente estarão tranquilos de que tudo que é possível fazer, estará sendo feito e ninguém poderá acusar o gestor de negligência ou improbidade administrativa”.

Para saber mais sobre o Plano de Adequação 360º da MindSec entre no site www.mindsec.com.br e deixe seu recado ou envie email para contato@mindsec.com.br .

Por: Kleber Melo – CEO da MindSec