Módulo 3 - Segurança no tratamento

de dados

1. Privacidade dos dados

Todos os Agentes de Tratamento, ao lidar com dados pessoais, devem garantir
sempre que possível e nas situações previstas na Lei, a segurança e privacidade
dos dados.

No caso de organização de serviços e sistemas para tratamento de dados, é

importante considerar os parâmetros apresentados a seguir.

Privacy by Design

O princípio Privacy by Design representa o emprego de

mecanismos e soluções de privacidade durante todo o
ciclo de vida do desenvolvimento do sistema ou da
organização dos serviços em que os dados serão tratados.
Nessa perspectiva, a privacidade é incorporada à própria
arquitetura dos sistemas e processos desenvolvidos, de
modo a garantir, pela infraestrutura do serviço prestado,
condições para que o usuário seja capaz de preservar e
gerenciar sua privacidade e a coleta e tratamento de seus
dados pessoais.

Privacy by Default

O princípio Privacy by Default representa a obrigatoriedade

de que todas essas ferramentas estejam acionadas como
padrão e que as medidas destinadas a garantir
privacidade ao Titular não contradigam a lógica desse
padrão. Em última análise, significa dizer que o serviço
será organizado de forma tal que não haja a prevalência dos interesses dos
Agentes de Tratamento sobre os interesses do Titular dos dados tratados.

Significa estabelecer como configuração padrão a maior privacidade possível

ao Titular dos dados, além de garantir que, na dúvida entre duas situações
ambíguas, prevaleça aquela que melhor atenda aos seus interesses.

Os Agentes de Tratamento devem, portanto, desde a concepção do

produto ou do serviço, até a sua execução, adotar medidas de segurança,
técnicas e administrativas aptas a proteger os dados pessoais de acessos
não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito. (Art. 46, §2º).

Ouça o Episódio 7 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o

equilíbrio entre a necessidade de lidar com os dados pessoais e a privacidade e
segurança dos dados.

Tema: Equilíbrio entre tratamento e segurança dos dados

Convidado: Ulysses Machado

https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo03_podcast01.mp3
2. Segurança da informação
Um dos atributos mais importantes da privacidade e do tratamento de dados
pessoais é o alinhamento, pelos agentes de tratamento, com os domínios da (I)
Segurança da Informação, (II) das Boas Práticas e (III) da Governança de
Privacidade.

Segurança da Informação

Segurança da Informação é o conjunto de domínios e conhecimentos

relacionados à informação e à preservação dos atributos de confidencialidade,
disponibilidade, integridade e autoria (ou não repúdio).

Muita gente pensa que segurança da informação se relaciona apenas com a

confidencialidade. Mas toda organização depende de informação e da troca
dessa informação com o mundo externo em um determinado nível de
equilíbrio!

Uma informação guardada a sete chaves em um baú de aço no fundo do mar

abissal pode até parecer segura, mas não constitui “informação” em si mesma!

Informação também está relacionada com o controle adequado dos atributos já

citados, representados a seguir:

Confidencialidade
Limitar o acesso tão somente às entidades legítimas, ou seja,
àquelas autorizadas. Sendo assim, o acesso a dados pessoais
por entidades ou pessoas não autorizadas configura-se como
violação de segurança desses dados, além de incidente de
segurança.
 Disponibilidade
Estar pronta para o uso na medida das necessidades.

Integridade
Certeza de que não foi adulterada, por exemplo.

Autoria
Certeza de que não foi produzida por outrem e certeza de
que foi produzida por seu verdadeiro autor.

Devido à evolução do Comércio Eletrônico e da Sociedade da Informação,

além de meios de tratamento de dados e informações, outros controles
“estendidos” de adequação surgiram, como:

● Irretratabilidade ou não repúdio - impossibilidade de se negar autoria

(provar) sobre a execução de transação;
● Privacidade - manter anônimo o usuário;
● Legalidade - esteja aderente à legislação pertinente;
● Auditoria - capacidade de auditar tudo o que foi realizado pelos usuários;
● Autenticação - processo de identificação e reconhecimento, ou seja, é de
fato quem alega ser;
 ● Autenticidade - garantia de que a informação é proveniente da fonte
anunciada (origem) e que não foi alvo de mutações ao longo de um
processo;
● Autorização ou consentimento - concessão livre, informada e inequívoca
pelo titular para acesso de pessoas ou entidades autorizadas e
capacitadas para o uso adequado e tratamento de seus dados pessoais,
para uma ou mais finalidades determinadas.

Os domínios de segurança da informação diferem entre os modelos e

frameworks disponíveis, mas de modo geral estão relacionados às seguintes
rubricas:

1. Governança de Segurança da Informação

2. Segurança de Ativos (incluindo “classificação”)
3. Gestão, Risco e Conformidade de SI
4. Gestão de Continuidade do Negócio
5. Segurança de Comunicação e Infraestrutura de Rede (incluindo
controle de acesso e gestão de identidade)
6. Operações de segurança (incluindo tratamento de incidentes,
recuperação de desastres, forense computacional)
7. Segurança de Dados (incluindo Criptografia) e
8. Desenvolvimento Seguro.

Boas Práticas

A adoção de “melhores práticas” não é uma rubrica subjetiva e inconsistente.

Essas melhores práticas não são resultado de uma mera avaliação subjetiva,
mas constituem formas de proceder já testadas e aprovadas internacionalmente
como resultado de erros, acertos e melhorias pelos profissionais do ramo.

Elas incluem medidas concretas como:

● Adoção de um programa consistente de segurança, privacidade e

governança de dados
● Definição de políticas específicas (Segurança da informação, Privacidade,
Continuidade de Negócio e Comunicação)
● Adoção de normas, padrões e baselines
 ● Definição de procedimentos (por exemplo, procedimentos de forense
computacional, procedimentos de gestão de mudança, procedimentos de
atualização de patches)
● Tratamento de reclamações de titulares
● Ações de educação, de treinamento e de conscientização
● Mecanismos de supervisão
● Procedimentos de tratamento e mitigação de riscos etc.

É muito importante, em situações de violação de segurança ou vazamento de

dados, ter um adequado plano de comunicação e de gestão da continuidade do
negócio, tanto para evitar que falhas de comunicação aumentem a dimensão do
problema quanto para garantir que a organização tenha agilidade na
recuperação, com rápido retorno à regularidade. E tudo deve ser feito
minimizando os danos aos titulares e garantindo que o histórico e a experiência
sejam utilizados na prevenção de ocorrências futuras.

Esse conjunto de melhores práticas não é monopólio da Segurança da

Informação e nem da Governança, mas se relacionam intimamente com ambas.

Governança de Privacidade

A adoção de um modelo de governança de privacidade não é, igualmente, um

“conjunto em aberto”. Ter governança significa estabelecer um modelo de
funcionamento que garanta direcionamento, comunicação, clareza de papéis,
conhecimento geral do negócio e responsabilidade proativa (accountability).

Que conjunto de ações garantem essa governança?

A adoção de melhores práticas, o alinhamento com os aspectos gerais de

segurança da informação, e o alinhamento em torno de uma política clara de
privacidade e uma forma de fazer que seja inequívoca e plenamente conhecida
por todos.

Implantar governança significa eliminar o espaço para a fala dos maus

gestores que, em passado recente (escândalos da Enron, da Arthur
 Andersen e outros), quando interpelados sobre o porquê daquele
desmando identificado, respondiam “eu não sabia! Quem cuidava disso
eram os contadores, ou os departamentos financeiros”.

Onde há governança não há espaço para o “eu não sabia”. Accountability

não é moda passageira, mas constitui verdadeiro fim a ser perseguido em
qualquer modelo conduzido por adultos responsáveis.

Assim, para demonstrar e estar em conformidade aos requisitos de segurança

da informação e privacidade e proteção de dados, de acordo com o que prevê a
LGPD, deve-se fazer uso, no mínimo, de documentos tais como:

● Diretriz de Segurança Lógica (políticas de senha, sistemas de autenticação

de usuário, programa de detecção de vírus);
● Normas de Classificação, Anonimização e Criptografia da Informação;
● Política Corporativa de Governança de Dados;
● Política Corporativa de Segurança da Informação;
● Política Corporativa de Privacidade e Proteção de Dados;
● Plano de Resposta a Incidente e Remediação;
● Plano de Continuidade de Serviços e Negócios;
● Plano de Contingência;
● Plano de Comunicação, Treinamento e Conscientização sobre Segurança
da Informação, Privacidade e Proteção de Dados; e
● Programa de Governança em Privacidade e Proteção de Dados.
3. LGPD e penalidades

Vazamento de Dados

Nos casos de vazamento ou violação de dados, qual o procedimento previsto na

LGPD?

O Controlador deverá comunicar tanto ao Titular quanto à ANPD sobre a

ocorrência de algum incidente de segurança que venha a resultar em risco ou
dano relevante ao Titular. A medida dessa relevância depende da classificação
de risco e do que tenha sido definido como risco de média, alta ou de altíssima
severidade.

“A LGPD é uma legislação, também, para proteção de patrimônio e de reputação”

(Patrícia Peck).

Assim, caberá ao Encarregado designado pelo Controlador, em situações de

violação de segurança ou vazamento de dados, implementar procedimentos ou
práticas de Segurança da Informação/Segurança Cibernética, Políticas e
Programa PD&D, que implicam notificar a diretoria da organização, a área de
comunicação e inclusive solicitar forense computacional, entre outros.

Essa comunicação será devida nos casos em que dados pessoais tenham
vazado, acidental ou ilicitamente, a destinatários não autorizados, ou
quando fiquem temporária ou permanentemente indisponíveis, ou ainda
quando sejam alterados.
Responsabilidades

Caso o tratamento de dados pessoais não ocorra de acordo com a LGPD, quem será
responsabilizado?

O Controlador e o Operador poderão responder conjuntamente ou

individualmente, conforme o caso, no âmbito administrativo, sofrendo as
sanções que a Autoridade lhes imponha individualmente ou de forma articulada
com outras autoridades, como veremos adiante.

Sanções Administrativas

Nos casos em que o Controlador falte com suas responsabilidades (inclusive a

de instruir adequadamente o Operador), sofrerá as sanções da Lei. Já o
operador, quando tenha sido devidamente instruído, se faltar com seus deveres,
será o destinatário das sanções correlatas.

As sanções administrativas, previstas na nova Lei, são as seguintes:

I. advertência, com a indicação de prazo para adoção de medidas

corretivas;
II. multa simples de até 2% do faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil, no último exercício, excluídos
os tributos e limitada a R$ 50.000.000,00, por infração;
III. multa diária, observado o limite total a que se refere o inciso anterior;
IV. publicização da infração, após apuração e confirmação;
V. bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
VI. eliminação dos dados pessoais a que se refere a infração.

Sanções Cíveis e Penais

Independentemente das sanções administrativas, a conduta dos agentes de

tratamento poderá ensejar danos materiais ou cometimento de crimes e, nesses
casos, sanções judiciais poderão se sobrepor às administrativas, tanto em
relação aos agentes como em relação às pessoas de seus quadros societários ou
profissionais.
Um elemento importante de se compreender é que a responsabilidade, em
matéria de privacidade, não é “objetiva” (aquela que depende apenas de haver o
ato lesivo e de haver o efetivo dano à parte prejudicada). A responsabilidade
aqui é subjetiva e depende de se identificar a existência de culpa ou dolo por
parte do agente de tratamento.

No entanto, se a responsabilidade do agente tangenciar relações de consumo, a

regra de responsabilidade se dará em conformidade com o direito consumerista
(Direito do Consumidor) e, portanto, se passará a tratar a responsabilidade pelo
critério objetivo, típico desse tipo de relação.

As sanções serão aplicadas de forma gradativa, isolada ou

cumulativa, de acordo com as peculiaridades do caso concreto e
considerando sua gravidade e a natureza. Além das sanções
administrativas, o infrator poderá responder judicialmente por
repercussões decorrentes do descumprimento da LGPD, individual
ou coletivamente.

4. LGPD e demais leis

A proteção de dados e privacidade é um sistema complexo de comandos e
diretrizes que não se restringem à LGPD, mas estabelece um diálogo com
inúmeros outros marcos legais, como a LAI - Lei de Acesso à Informação, o Código
de Proteção e Defesa do Consumidor, as Políticas Nacionais de Segurança da
Informação e de Proteção de Infraestruturas Críticas, a Lei do Cadastro Positivo, o
Marco Civil da Internet, a Lei de Crimes Cibernéticos, a Lei das Estatais, e tantas
outras.

A imagem a seguir apresenta algumas dessas iniciativas legais e sua relação

direta com o Titular dos dados.
Clique nos links a seguir para visualizar o conteúdo da lei em nova aba

● LGPD
● Política Nacional de Infraestruturas Críticas
● Cadastro Positivo
● LAI
● Lei de Crimes Cibernéticos
● Marco Civil da Internet
● Código de Defesa do Consumidor
● Lei das Estatais
● Política Nacional de Segurança da Informação

A correlação e coordenação entre essas iniciativas legais evidenciam um sistema

jurídico harmonioso e complementar que deve ser interpretado em seu todo,
tanto pelos atores do processo quanto pelos que têm a obrigação de controlar e
de decidir sobre seu funcionamento e regularidade.