Modulo 3 - Medidas de Segurança no Tratamento dos Dados Pessoais

Prévia do material em texto

Proteção de Dados 
Pessoais no Serviço 
Público
Medidas de Segurança 
no Tratamento dos Dados 
Pessoais3
M
ód
ul
o
2Enap Fundação Escola Nacional de Administração Pública
Enap, 2020
Enap Escola Nacional de Administração Pública
Diretoria de Educação Continuada
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Presidente 
Diogo Godinho Ramos Costa
Diretor de Desenvolvimento Profissional
Paulo Marques
Coordenador-Geral de Educação a Distância 
Carlos Eduardo dos Santos
Conteudista/s 
Julierme Rodrigues da Silva (conteudista, 2019)
Curso produzido em Brasília 2019.
3Enap Fundação Escola Nacional de Administração Pública
1. Aspectos Legais sobre as Medidas de Segurança ........................... 5
2. Medidas e Controles de Segurança para os Ativos ......................... 9
Sumário
4Enap Fundação Escola Nacional de Administração Pública
5Enap Fundação Escola Nacional de Administração Pública
1. Aspectos Legais sobre as Medidas de Segurança
Privacidade Desde a Concepção
Por que temos e precisamos de uma legislação voltada à proteção de dados
Quase todos os aspectos da nossa vida giram atualmente em torno de dados.
*Vanda Scartezini
03/11/2019 às 20h15
Foto: Shutterstock
O texto também poderá ser acessado no link <https://www.itforum365.com.br/por-que-temos-
e-precisamos-de-uma-legislacao-voltada-a-protecao-de-dados/" target="_blank">https://www.
itforum365.com.br/por-que-temos-e-precisamos-de-uma-legislacao-voltada-a-protecao-de-
dados/>
 
Quase todos os aspectos da nossa vida giram, atualmente, em torno de dados - não resta dúvida 
de que somos cada vez mais cidadãos digitais. Esta realidade é fruto da abrangência imposta 
pela Internet, que consegue disseminar e processar informações de todos os níveis e, dentre 
elas, dados pessoais que circulam na mídia. Sem dúvida, a facilidade de obtenção desses dados 
M
ód
ul
o Medidas de Segurança no 
Tratamento dos Dados Pessoais3
6Enap Fundação Escola Nacional de Administração Pública
fez com que um mercado voltado para sua disponibilização crescesse de forma geométrica, 
viabilizando o acesso a todos e se tornando um ativo de alto valor.
Curiosamente, as empresas que negociam dados o fazem sem a autorização dos seus donos, que 
apesar de oferecerem de forma gratuita e espontânea informações sobre quem são, o que fazem 
e quais suas preferências de todas as espécies, muitas vezes não têm conhecimento do destino 
desses dados.
 
Sim, somos nós mesmos que oferecemos livre e gratuitamente essas informações, que são então 
decupadas e transformadas em negócios a serem oferecidos a grandes grupos empresariais de 
vários segmentos. Com esses dados e a partir dos perfis evidenciados, as companhias conseguem 
construir um marketing dirigido àquelas pessoas devidamente identificadas e isso tem imenso 
valor.
Sentimo-nos diariamente invadidos com ofertas de produtos para emagrecer, cursos no exterior, 
restaurantes diferentes. Nos perguntamos quem instruiu esses grupos a nos enviarem essas 
mensagens, muitas vezes sem entender que este comportamento destemido nos coloca no 
centro de um negócio que envolve milhões de reais e nos desnuda de forma absoluta e sem a 
nossa autorização.
É, sem dúvida, mais que necessário aceitar o entendimento de que “Os dados pessoais estão 
se tornando em uma nova classe de ativos econômicos, um recurso valioso para o século XXI, 
que vai tocar todos os aspectos da sociedade” (World Economic Forum, 2011). Esta é a razão 
para a promulgação da Lei Geral de Proteção de Dados (LGPD, Lei n° 13.709/2018, publicada 
em 15/08/2018), que entrará em vigor em agosto de 2020. Passado mais de um ano de sua 
publicação, ainda se vê, fora no âmbito dos advogados, pouco entendimento a respeito da 
importância dessa legislação e preparo das empresas para enfrentar suas demandas.
O impacto que ela trará no mundo dos negócios, sejam eles físicos ou online, será incalculável, já 
que o seu principal objetivo é ordenar as regras para a proteção e qualquer forma de divulgação 
dos dados pessoais disponibilizados na internet para minimizar os grandes vazamentos de 
informações e escândalos que envolvem, exata e justamente, o seu uso indevido.
O conhecimento da lei impõe uma mudança da cultura corporativa que deve começar no nível 
estratégico. Em primeiro lugar, a alta administração precisa observar as advertências nela 
contidas e determinar que seja estruturada uma mudança tática, adequando os processos da 
empresa à lei. Para isso, é necessário envolver as áreas de Marketing, Pessoal, TI e Jurídica, 
de forma a construir uma linguagem aderente às suas necessidades para, finalmente, iniciar a 
operacionalização dos procedimentos que devem ser implantados para se manter em compliance 
e assegurar a proteção e cautela no tratamento de dados pessoais.
A LGPD, que tem como inspiração o Regulamento Geral sobre a Proteção de Dados (norma 
europeia que entrou em vigor em maio de 2018, também conhecida como GDPR), nasce e 
propõe em seu texto maneiras de lidar com dados pessoais, disciplinando como os coletamos, 
armazenamos, processamos e utilizamos e introduzindo mudanças que deverão transformar 
radicalmente a abordagem da privacidade por parte de indivíduos, empresas e entes públicos.
7Enap Fundação Escola Nacional de Administração Pública
A realidade é que o desenvolvimento da economia digital no Brasil vem se tornando cada 
vez mais efetivo, especialmente quando utilizamos a tecnologia para implementar atividades 
cotidianas e projetos em nossas cidades (com o intuito de facilitar a vida dos cidadãos), disseminar 
conhecimento e viabilizar e expandir áreas de negócios, na medida em que permite o seu acesso 
a partir de um mero toque numa tecla de um computador.
Assim, a promulgação da LGPD e sua vigência a partir de 2020 trará uma ferramenta legal e 
fundamental para viabilizar a realidade acima mencionada, buscando proteger os direitos do 
cidadão em um ambiente regulamentado que ajude as empresas a inovarem, vindo substituir e/
ou complementar uma estrutura regulatória setorial já existente. Todavia, é importante registrar 
que como sua entrada em vigor acarretará em uma cultura disruptiva dentro da organização, sua 
implementação não se restringe ao conhecimento dos seus dispositivos, de forma que a empresa 
precisará acionar áreas, além da Legal, para a adequação dos processos internos existentes, 
como as Compliance e de Segurança Tecnológica.
Uma vez identificada a necessidade de ajustes internos, deverão ser estruturados os processos 
de acompanhamento e cumprimento das adequações, assim como criados mecanismos de 
estabilização dos critérios de segurança dos dados armazenados - o titular desses dados será o 
grande protagonista desta ruptura estrutural, já que a LGPD lhe permite total controle sobre a 
forma de tratamento e destinação dos seus dados pessoais.
A partir de agora, restam 10 meses para as empresas que ainda não tomaram providencias se 
adequarem e adaptarem à lei. O não cumprimento dessas obrigações pode acarretar em multas 
altíssimas que podem chegar a milhões de reais por infração, dentre outras listadas no texto 
legal.
A LGPD se aplica a todos os setores da economia e possui aplicação extraterritorial - ou seja, toda 
empresa que tiver negócios no país deve se adequar a ela, sendo fundamental reestruturar suas 
práticas internas e aplicar o conceito de Privacy by Design às suas estruturas tecnológicas, ao 
modelo de negócio e à infraestrutura física, abordando a proteção de dados pessoais coletados, 
por diversos motivos, desde a concepção do produto ou sistema. Assim, a privacidade estará 
presente na própria arquitetura do projeto, permitindo que o próprio usuário seja capaz de 
preservar e gerenciar a coleta e o tratamento de seus dados pessoais.
*Por Vanda Scartezini é conselheira da ABES (Associação Brasileira das Empresas de Software) e 
coordenadora do Think Tank Brasil 2022 
 
Algumavez você se perguntou o que acontece com os dados pessoais que são informados para 
as instituições públicas? Esses dados deveriam ser protegidos? Se esses dados pessoais deveriam 
ser protegidos, então é necessário compreender sobre proteção desde a concepção da solução, 
serviço ou projeto que usará esses dados.
Diante desses questionamentos, trataremos da importância da temática privacidade de dados, 
partindo da concepção do produto ou serviço que tratará os dados pessoais. Estudaremos, ainda, 
uma abordagem para identificar medidas e controles de segurança a serem aplicados sobre os 
ativos organizacionais, propiciando a proteção dos dados.
8Enap Fundação Escola Nacional de Administração Pública
Os agentes de tratamento, controlador (LGPD, art. 5º, VI) e operador (LGPD, art. 5º, VI), ou 
qualquer outra pessoa ou ente que participe das fases do ciclo de vida de tratamento dos dados 
pessoais desempenham papel imprescindível no sentido de assegurar a segurança informação 
para proteção dos dados pessoais. 
Conforme trata a Lei Geral de Proteção de Dados Pessoais – LGPD, no Art. 5º:
[...] VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem 
competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o 
tratamento de dados pessoais em nome do controlador [...]
Por exemplo, ao realizar operação de tratamento de dados pessoais em nome do controlador, 
o operador deve adotar medidas a fim de propiciar o processamento seguro desses dados. 
Isso também se aplica às pessoas que, ao coletarem ou acessarem dados pessoais de outros 
indivíduos, devem fazê-lo de forma a impedir vazamentos ou uso indevido. O controlador, por 
sua vez, deve exercer sua competência de tomar decisões referentes ao tratamento de dados 
pessoais, inclusive relacionadas com diretrizes de segurança.
De acordo com o previsto no caput do artigo 46 da LGPD, a proteção dos dados pessoais é 
alcançada por meio de medidas de segurança, técnicas e administrativas.
Artigo 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e 
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de 
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer 
forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar 
aplicável o disposto no caput deste artigo, considerados a natureza das informações 
tratadas, as características específicas do tratamento e o estado atual da tecnologia, 
especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos 
no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase 
de concepção do produto ou do serviço até a sua execução.
9Enap Fundação Escola Nacional de Administração Pública
Perceba que o parágrafo 2º do artigo 46 determina que as medidas de segurança, técnicas e 
administrativas para proteção de dados pessoais sejam observadas desde a fase de concepção 
do produto ou do serviço até a sua execução. Isso apresenta um conceito fundamental para a 
proteção da privacidade dos dados pessoais, denominado Privacidade desde a Concepção (do 
inglês Privacy by Design).
Destaque h, h, h, h, 
O conceito de Privacidade desde a Concepção (Privacy by Design) significa 
que a privacidade e a proteção de dados devem ser consideradas desde a 
concepção e durante todo o ciclo de vida do projeto, sistema, serviço, produto 
ou processo.
Saiba mais 
Para saber mais sobre Privacy by Design, leia o documento “Os 7 princípios 
fundamentais do Privacy by Design”: https://blog.idwall.co/privacy-by-design-
principios-fundamentais/.
2. Medidas e Controles de Segurança para os Ativos
A abordagem para identificar as medidas e controles de segurança a serem aplicados sobre os 
ativos organizacionais, ou seja, nos documentos e registros da organização, ocorre em etapas:
• Mapeamento das medidas e dos controles de segurança.
• Medidas de segurança.
• Controle de segurança.
Vamos agora conhecer melhor cada uma delas
Mapeamento das Medidas e dos Controles de Segurança
Importante 
A abordagem para identificação das medidas e controles de segurança é 
embasada no mapeamento realizado pela planilha Controles LGPD, na qual 
consta o mapeamento das medidas de segurança desdobradas em controles 
a serem aplicados sobre os principais ativos organizacionais: bases de dados, 
documentos, equipamentos, locais físicos, pessoas, sistemas e unidades 
organizacionais.
10Enap Fundação Escola Nacional de Administração Pública
A medida de segurança, mencionada no artigo 46 da LGPD, representa o objetivo de alto nível, 
declarando o que se espera alcançar com a aplicação da medida.
O controle representa ações específicas de segurança que podem ser aplicadas sobre os ativos 
organizacionais para se alcançar a medida de segurança.
Na planilha, a ordem em que se encontram as medidas de segurança não tem relação com 
seu grau de importância, ou seja, o item Política de Segurança não é nem mais nem menos 
importante que o item Registro de eventos e rastreabilidade.
Destaque h, h, h, h, 
Dependendo das circunstâncias, os controles de segurança de uma de quaisquer 
das medidas de segurança podem ser importantes. Assim, convém que cada 
instituição implemente as referidas medidas, identificando quais controles 
são aplicáveis, quão importantes eles são e qual a aplicação para os processos 
individuais do negócio e do tratamento dos dados pessoais. Portanto, a relação 
das medidas e controles não estão em ordem de prioridade.
Medidas de Segurança
Na tabela a seguir são descritas, em ordem alfabética, as medidas de segurança constantes da 
planilha Controle LGPD com a finalidade de proporcionar melhor entendimento da relação entre 
tais medidas e os respectivos controles.
 MEDIDA DE SEGURANÇA1 DESCRIÇÃO
CLASSIFICAÇÃO DA INFORMAÇÃO Assegurar que a informação receba um nível adequado 
de proteção, de acordo com a sua importância para a 
instituição.
COMPARTILHAMENTO, USO E 
PROTEÇÃO DA INFORMAÇÃO
Assegurar a privacidade e proteção das informações de 
identificação pessoal conforme requerido por legislação e 
regulamentação pertinente.
CONTINUIDADE DE NEGÓCIO A proteção de dados deve ser contemplada nos sistemas 
de gestão da continuidade do negócio da organização.
CONTROLE DE ACESSO LÓGICO Limitar o acesso à informação e aos recursos de 
processamento da informação.
CONTROLES CRIPTOGRÁFICOS Assegurar o uso efetivo e adequado da criptografia para 
proteger a confidencialidade, autenticidade e/ou a 
integridade da informação.
CONTROLES DE COLETA E 
PRESERVAÇÃO DE EVIDÊNCIAS
A instituição deve definir e aplicar procedimentos para 
a identificação, coleta, aquisição e preservação das 
informações, as quais podem servir como evidências.
1. As medidas de segurança e os controles constantes da planilha Controles LGPD foram embasados na ABNT/ISO 27002:2013 e 
ISO/IEC 29151:2016(E). O Anexo A da ISO/IEC 29151:2016(E) não foi considerado.
11Enap Fundação Escola Nacional de Administração Pública
CÓPIA DE SEGURANÇA Cópias de segurança das informações, de softwares e 
das imagens do sistema devem ser efetuadas e testadas 
regularmente conforme a política de geração de cópias de 
segurança definida.
DESENVOLVIMENTO SEGURO Garantir que a proteção de dados está projetada e 
implementada no ciclo de vida de desenvolvimento dos 
sistemas de informação.
GESTÃO DE MUDANÇAS Mudanças na organização, nos processos do negócio, nos 
recursos de processamento da informação e nos sistemas 
que afetam a proteção de dados devem ser controladas.
GESTÃO DE RISCOS Processo de natureza permanente, estabelecido, 
direcionado e monitorado pela alta administração, que 
contempla as atividades de identificar, avaliar e gerenciar 
potenciais eventos que possam afetar a instituição. 
Destinado a fornecer segurançarazoável quanto à proteção 
dos dados pessoais e à realização de seus objetivos.
ORGANIZAÇÃO DA SEGURANÇA Estabelecer uma estrutura de gerenciamento para iniciar 
e controlar a implementação e operação da segurança dos 
dados dentro da organização.
POLÍTICA DE SEGURANÇA Prover orientação da direção e apoio para a segurança dos 
dados pessoais de acordo com os requisitos do negócio e 
com as leis e regulamentações relevantes.
PROTEÇÃO FÍSICA E DO AMBIENTE Prevenir o acesso físico não autorizado, danos e 
interferências com os recursos de processamento e 
informações institucionais.
REGISTRO DE EVENTOS E 
RASTREABILIDADE
Registrar eventos e gerar evidências, a fim de proporcionar 
rastreabilidade.
SEGURANÇA EM REDES Assegurar a proteção das informações em redes e dos 
recursos de processamento da informação que os apoiam.
SEGURANÇA NAS OPERAÇÕES Garantir a operação segura e correta dos recursos de 
processamento da informação.
TRATAMENTO E RESPOSTA A 
INCIDENTES
Assegurar um enfoque consistente e efetivo para gerenciar 
os incidentes de segurança que possam acarretar risco ou 
dano relevante aos titulares de dados pessoais, incluindo 
a comunicação sobre fragilidades e eventos de segurança.
Tabela: Descrição das medidas de segurança
Para cada medida de segurança, são elencados controles a serem aplicados sobre os ativos 
organizacionais.
12Enap Fundação Escola Nacional de Administração Pública
Controles de Segurança
Na planilha Controles LGPD, o controle está descrito em formato de pergunta com a finalidade de 
verificar se o respectivo controle está sendo aplicado sobre o ativo organizacional marcado com 
um “X”. Ao implementar o controle questionado sobre o ativo, a instituição estará fortalecendo 
a proteção dos dados pessoais.
Essa proteção ocorre porque os ativos organizacionais suportam os dados pessoais, ou seja, um 
dado pessoal pode ser, por exemplo, coletado por um Sistema, armazenado em uma Base de 
Dados e tratado por uma Pessoa.
A fim de exemplificar o uso da planilha Controles LGPD para identificação de controles, será 
considerado que a instituição deseja aplicar medida de segurança relacionada com Gestão de 
Mudanças. Na tabela a seguir, constam os três primeiros controles da medida de segurança 
“Gestão de Mudanças”.
ID CONTROLE
BASES 
DE 
DADOS
DOCU-
MENTOS
EQUIPA-
MENTOS LOCAIS PESSOAS
SISTE-
MAS
UNIDADES 
ORGANIZA-
CIONAIS
MEDIDA DE SEGURANÇA: GESTÃO DE MUDANÇAS
1
Existe e é executado 
um processo formal de 
Gestão de Mudanças 
na organização?
X X X X
2
É realizado o controle 
de mudanças em 
atualizações de 
software e outros 
componentes das 
soluções de TIC?
X X X
3
Mudanças 
significativas são 
identificadas e 
registradas?
X X X X
Tabela: Três primeiros controles da medida de segurança “Gestão de Mudanças”.
Na medida de segurança Gestão de Mudanças, constam controles que contribuem para que as 
mudanças sejam realizadas de forma a assegurar a proteção dos dados pessoais. Nesse caso, 
consideramos que a instituição está tratando o controle ressaltado, na tabela, em fundo verde: 
“É realizado o controle de mudanças em atualizações de software e outros componentes das 
soluções de TIC?”.
Para tal controle, são identificados três ativos organizacionais marcados com “X”: Base de Dados, 
Equipamentos e Sistemas. Isso significa que mudanças em atualizações de software e outros 
componentes das soluções de TIC que envolvam Base de Dados, Equipamentos e Sistemas 
devem ser controladas.
13Enap Fundação Escola Nacional de Administração Pública
Essa abordagem de identificação dos controles a serem aplicados sobre os ativos organizacionais 
é aplicável para todas as medidas de segurança constantes da planilha em questão.
A planilha também proporciona a visão de todos os controles que podem ser aplicados para um 
ativo organizacional específico. Considerando que a instituição deseje verificar, por exemplo, 
quais controles são aplicáveis para o ativo Sistemas, então basta identificar quais linhas da 
planilha estão com um “X” marcado na coluna com o mesmo nome do ativo.
O conhecimento sobre medidas e controles de segurança será muito importante no momento de 
elaborar o Relatório de Impacto à Proteção do Dados Pessoais – RIPD. O RIPD representa uma 
ferramenta muito útil no sentido de avaliar o impacto potencial que um produto ou serviço pode 
gerar sobre a privacidade dos dados pessoais que serão tratados pela instituição. Esse Relatório 
também mapeará os riscos à privacidade dos dados e respectivas medidas de segurança a serem 
adotadas.
	1. Aspectos Legais sobre as Medidas de Segurança
	2. Medidas e Controles de Segurança para os Ativos