Proteção de Dados na Área de Tecnologia da Informação

Por Thaís Netto - 27/04/2024 as 12:19

Neste artigo será abordada a proteção de dados na área de Tecnologia da Informação. Para tanto, serão retomados alguns aspectos sobre a LGPD e as boas práticas de governança na proteção de dados, os sete princípios Privacy by design, bem como, o Sistema de Gestão de Cibersegurança e Segurança da Informação. 

Lei Geral de Proteção de Dados Pessoais - LGPD

A LGPD visa dispor sobre o tratamento de dados pessoais, no meio físico e digital, por pessoa natural ou jurídica, com o intuito de proteger os direitos fundamentais de liberdade, de privacidade, bem como, o livre desenvolvimento da personalidade da pessoa natural.

A LGPD afeta diversos setores da economia e não se aplica apenas às grandes empresas. Salienta-se que a área de Tecnologia da Informação - TI é uma das áreas que serão mais afetadas. Pode-se dizer que o departamento de TI aliado ao jurídico serão indispensáveis para que as organizações estejam em conformidade com a LGPD. 

Conforme indicado no artigo 50, da LGPD, os controladores e os operadores, na área de suas competências, pelo tratamento de dados pessoais, individualmente ou por intermédio de associações, poderão elaborar regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, abrangendo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos, assim como, outros aspectos referentes ao tratamento de dados pessoais. 

A instituição de medidas e de regras de boas práticas e de governança é fundamental para que todos os requisitos necessários à proteção de dados pessoais sejam efetivados (PINHEIRO, 2020).

Para elaborar tais regras, o controlador e o operador, deverão considerar em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade, a probabilidade, a gravidade dos riscos e dos benefícios decorrentes do tratamento de dados do titular, nos termos do artigo 50, § 1º, da LGPD. 

Para atender os requisitos expressos nos artigos citados pode ser implantado o Sistema de Gestão de Cibersegurança e Segurança da Informação (SGCI), que está dividido em quatro grupos de controle: a estruturação do SGCI, a implantação do SGCI, a manutenção do SGCI e a execução do SGCI (GARCIA, 2020). 

Proteção de dados na área de Tecnologia da Informação 

Como foi indicado diversas áreas serão afetadas pela LGPD. O setor de TI é o encarregado por gerir os dados pessoais e realizar os procedimentos de segurança. Para tanto, a área de TI deve garantir a proteção dos dados pessoais e, em especial, dos dados pessoais sensíveis da organização. 

Destaca-se que os dados devem permanecer como confidenciais e não podem ser acessados sem autorização. É fundamental que a área de TI desenvolva mecanismos que objetivem prevenir a ocorrência de ataques cibernéticos. 

No artigo publicado no Instituto de Direito Real “Segurança da Informação: Mecanismos de Proteção dentro das Organizações” foram delimitados os Princípios fundamentais de segurança e os Mecanismos de Segurança que podem ser utilizados pelas organizações. No artigo citado foi informado que na Cartilha de Segurança para Internet (2012) são apontados vários mecanismos, entre eles: a política de segurança, as contas e as senhas, a criptografia, as cópias de segurança, a notificação de incidentes e de abusos, as ferramentas antimalware e firewall.

Outro ponto importante é a utilização do Privacy by design, que está relacionada com a privacidade. De acordo com Gaspar e Fiedler (2020) a Privacy by design - PBD está inserida na concepção e arquitetura dos sistemas de TI, ou seja, é parte integrante dos projetos, dos processos e das atividades da organização desde a concepção, não podendo ser considerada posteriormente como algo a parte. 

Segundo Gaspar e Fiedler (2020) os sete princípios do Privacy by design são: 

  • Proativo (não reativo), preventivo (não corretivo) - antecipar e mitigar o risco de ocorrerem eventos que violem a privacidade; 

  • Privacidade por padrão: “garante que todo o ciclo do tratamento de dados tenha finalidade, limitação da coleta para os fins específicos, sigilo das informações, assim como, regras de uso, divulgação e limitação da divulgação”;

  • Privacidade embutida no design: a privacidade é parte integrante dos processos, das atividades desde a origem;

  • Funcionalidade total: nos casos de conflito deve-se pautar no bom senso e resolver de modo criativo e harmonioso;

  • Segurança de ponta a ponta: a segurança da informação deve ser pensada em todo o ciclo de vida do dado;

  • Visibilidade e Transparência: documentar o ciclo de tratamento dos dados pessoais, tornando rastreável as atividades do ciclo;

  • Respeito pela privacidade do usuário: interesse do usuário em primeiro lugar, deve-se levar em consideração o consentimento prévio, a precisão das informações, o acesso dos usuários às informações e a conformidade com a LGPD.

No artigo 6º da LGPD estão indicados os princípios que devem ser observados nas atividades de tratamento de dados pessoais, quais sejam: a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a não responsabilização e prestação de contas. 

Pode-se dizer que vários princípios da LGPD estão presentes no Privacy by design, embora a lei não mencione-os expressamente. O consentimento prévio disposto no artigo 7º da LGPD também está presente no Privacy by design (GASPAR; FIEDLER, 2020). 

Sistema de Gestão de Cibersegurança e Segurança da Informação 

Conforme indicado anteriormente é importante que seja implantado o Sistema de Gestão de Cibersegurança e Segurança da Informação. Além disso, os demais colaboradores da empresa devem ser informados sobre a Política de Segurança da Informação, que compreende as regras e os padrões para a proteção das atividades da organização. A respectiva política deve ser seguida não apenas pela área de TI, mas por todas as áreas da organização. 

Para estruturar o SGCI deve-se definir o Sistema de Gestão de Cibersegurança e Segurança da Informação, ferramenta que permite identificar a eficácia das ações tomadas na busca da melhoria contínua dos processos. O referido sistema deve ser adequado à estrutura de cada organização, que deve refletir sobre seu atual estágio e indicar a matriz RACI - Responsável, Aprovador, Consultado e Informado - para os processos (GARCIA, 2020). 

A Política de Cibersegurança e Segurança da Informação é fundamental para formalizar os processos de gestão de Cibersegurança e Segurança da Informação, já que representa a primeira vez em que os processos do SGCI serão utilizados. A implantação deve seguir o cronograma / calendário registrado. Destaca-se que deve ser revisada a sequência de implantações, uma vez que pode haver mudanças nas prioridades da organização (GARCIA, 2020).

Salienta-se que a manutenção do SGCI é importante para que o sistema se mantenha conectado com os objetivos da Organização. Pode-se dizer que cada elemento deve ter um calendário de revisão. No que se refere à execução do SGCI, deve-se avaliar os controles e divulgar as políticas e as normas às áreas de recursos humanos, de marketing, entre outros. 

Assim, percebe-se que a LGPD traz diversas obrigações para as organizações. Para se adequar a tais obrigações e garantir a proteção de dados pessoais é fundamental a elaboração da Política de Cibersegurança e Segurança da Informação. Observa-se que o departamento de TI e o jurídico são essenciais para que a organização esteja em conformidade com as disposições presentes na LGPD e mantenha em segurança o armazenamento dos dados pessoais de seus clientes, dos seus colaboradores e dos seus fornecedores.
 

Referências:

BLUM, Rita Peixoto Ferreira.; MORAES, Hélio Ferreira. Lei Geral de Proteção de Dados Pessoais - LGPD. In: CARVALHO, André Castro. Manual de Compliance. 2 ed. Rio de Janeiro: Forense, 2020. 

BRASIL. Lei Geral de Proteção de Dados Pessoais. Lei nº 13.709 de 14 de agosto de 2018. 

Cartilha de Segurança para Internet. Cert. 2 ed. São Paulo: Comitê Gestor da Internet no Brasil, 2012. 

GARCIA, Lara Rocha. Lei Geral de Proteção de Dados: Guia de Implantação. São Paulo: Blucher, 2020. 

GASPAR, Marcelo.; FIEDLER, Viviane. Data Protection Officer DPO: Lei Geral de Proteção de Dados Pessoais. 1 ed. Porto Alegre: PLUS / Simplíssimo, 2020. 

PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei nº 13.709 de 2018. 2 ed. São Paulo: Saraiva Educação, 2020.