Baixe o app para aproveitar ainda mais
Prévia do material em texto
Proteção de Dados Pessoais no Serviço Público Medidas de Segurança no Tratamento dos Dados Pessoais3 M ód ul o 2Enap Fundação Escola Nacional de Administração Pública Enap, 2020 Enap Escola Nacional de Administração Pública Diretoria de Educação Continuada SAIS - Área 2-A - 70610-900 — Brasília, DF Fundação Escola Nacional de Administração Pública Presidente Diogo Godinho Ramos Costa Diretor de Desenvolvimento Profissional Paulo Marques Coordenador-Geral de Educação a Distância Carlos Eduardo dos Santos Conteudista/s Julierme Rodrigues da Silva (conteudista, 2019) Curso produzido em Brasília 2019. 3Enap Fundação Escola Nacional de Administração Pública 1. Aspectos Legais sobre as Medidas de Segurança ........................... 5 2. Medidas e Controles de Segurança para os Ativos ......................... 9 Sumário 4Enap Fundação Escola Nacional de Administração Pública 5Enap Fundação Escola Nacional de Administração Pública 1. Aspectos Legais sobre as Medidas de Segurança Privacidade Desde a Concepção Por que temos e precisamos de uma legislação voltada à proteção de dados Quase todos os aspectos da nossa vida giram atualmente em torno de dados. *Vanda Scartezini 03/11/2019 às 20h15 Foto: Shutterstock O texto também poderá ser acessado no link <https://www.itforum365.com.br/por-que-temos- e-precisamos-de-uma-legislacao-voltada-a-protecao-de-dados/" target="_blank">https://www. itforum365.com.br/por-que-temos-e-precisamos-de-uma-legislacao-voltada-a-protecao-de- dados/> Quase todos os aspectos da nossa vida giram, atualmente, em torno de dados - não resta dúvida de que somos cada vez mais cidadãos digitais. Esta realidade é fruto da abrangência imposta pela Internet, que consegue disseminar e processar informações de todos os níveis e, dentre elas, dados pessoais que circulam na mídia. Sem dúvida, a facilidade de obtenção desses dados M ód ul o Medidas de Segurança no Tratamento dos Dados Pessoais3 6Enap Fundação Escola Nacional de Administração Pública fez com que um mercado voltado para sua disponibilização crescesse de forma geométrica, viabilizando o acesso a todos e se tornando um ativo de alto valor. Curiosamente, as empresas que negociam dados o fazem sem a autorização dos seus donos, que apesar de oferecerem de forma gratuita e espontânea informações sobre quem são, o que fazem e quais suas preferências de todas as espécies, muitas vezes não têm conhecimento do destino desses dados. Sim, somos nós mesmos que oferecemos livre e gratuitamente essas informações, que são então decupadas e transformadas em negócios a serem oferecidos a grandes grupos empresariais de vários segmentos. Com esses dados e a partir dos perfis evidenciados, as companhias conseguem construir um marketing dirigido àquelas pessoas devidamente identificadas e isso tem imenso valor. Sentimo-nos diariamente invadidos com ofertas de produtos para emagrecer, cursos no exterior, restaurantes diferentes. Nos perguntamos quem instruiu esses grupos a nos enviarem essas mensagens, muitas vezes sem entender que este comportamento destemido nos coloca no centro de um negócio que envolve milhões de reais e nos desnuda de forma absoluta e sem a nossa autorização. É, sem dúvida, mais que necessário aceitar o entendimento de que “Os dados pessoais estão se tornando em uma nova classe de ativos econômicos, um recurso valioso para o século XXI, que vai tocar todos os aspectos da sociedade” (World Economic Forum, 2011). Esta é a razão para a promulgação da Lei Geral de Proteção de Dados (LGPD, Lei n° 13.709/2018, publicada em 15/08/2018), que entrará em vigor em agosto de 2020. Passado mais de um ano de sua publicação, ainda se vê, fora no âmbito dos advogados, pouco entendimento a respeito da importância dessa legislação e preparo das empresas para enfrentar suas demandas. O impacto que ela trará no mundo dos negócios, sejam eles físicos ou online, será incalculável, já que o seu principal objetivo é ordenar as regras para a proteção e qualquer forma de divulgação dos dados pessoais disponibilizados na internet para minimizar os grandes vazamentos de informações e escândalos que envolvem, exata e justamente, o seu uso indevido. O conhecimento da lei impõe uma mudança da cultura corporativa que deve começar no nível estratégico. Em primeiro lugar, a alta administração precisa observar as advertências nela contidas e determinar que seja estruturada uma mudança tática, adequando os processos da empresa à lei. Para isso, é necessário envolver as áreas de Marketing, Pessoal, TI e Jurídica, de forma a construir uma linguagem aderente às suas necessidades para, finalmente, iniciar a operacionalização dos procedimentos que devem ser implantados para se manter em compliance e assegurar a proteção e cautela no tratamento de dados pessoais. A LGPD, que tem como inspiração o Regulamento Geral sobre a Proteção de Dados (norma europeia que entrou em vigor em maio de 2018, também conhecida como GDPR), nasce e propõe em seu texto maneiras de lidar com dados pessoais, disciplinando como os coletamos, armazenamos, processamos e utilizamos e introduzindo mudanças que deverão transformar radicalmente a abordagem da privacidade por parte de indivíduos, empresas e entes públicos. 7Enap Fundação Escola Nacional de Administração Pública A realidade é que o desenvolvimento da economia digital no Brasil vem se tornando cada vez mais efetivo, especialmente quando utilizamos a tecnologia para implementar atividades cotidianas e projetos em nossas cidades (com o intuito de facilitar a vida dos cidadãos), disseminar conhecimento e viabilizar e expandir áreas de negócios, na medida em que permite o seu acesso a partir de um mero toque numa tecla de um computador. Assim, a promulgação da LGPD e sua vigência a partir de 2020 trará uma ferramenta legal e fundamental para viabilizar a realidade acima mencionada, buscando proteger os direitos do cidadão em um ambiente regulamentado que ajude as empresas a inovarem, vindo substituir e/ ou complementar uma estrutura regulatória setorial já existente. Todavia, é importante registrar que como sua entrada em vigor acarretará em uma cultura disruptiva dentro da organização, sua implementação não se restringe ao conhecimento dos seus dispositivos, de forma que a empresa precisará acionar áreas, além da Legal, para a adequação dos processos internos existentes, como as Compliance e de Segurança Tecnológica. Uma vez identificada a necessidade de ajustes internos, deverão ser estruturados os processos de acompanhamento e cumprimento das adequações, assim como criados mecanismos de estabilização dos critérios de segurança dos dados armazenados - o titular desses dados será o grande protagonista desta ruptura estrutural, já que a LGPD lhe permite total controle sobre a forma de tratamento e destinação dos seus dados pessoais. A partir de agora, restam 10 meses para as empresas que ainda não tomaram providencias se adequarem e adaptarem à lei. O não cumprimento dessas obrigações pode acarretar em multas altíssimas que podem chegar a milhões de reais por infração, dentre outras listadas no texto legal. A LGPD se aplica a todos os setores da economia e possui aplicação extraterritorial - ou seja, toda empresa que tiver negócios no país deve se adequar a ela, sendo fundamental reestruturar suas práticas internas e aplicar o conceito de Privacy by Design às suas estruturas tecnológicas, ao modelo de negócio e à infraestrutura física, abordando a proteção de dados pessoais coletados, por diversos motivos, desde a concepção do produto ou sistema. Assim, a privacidade estará presente na própria arquitetura do projeto, permitindo que o próprio usuário seja capaz de preservar e gerenciar a coleta e o tratamento de seus dados pessoais. *Por Vanda Scartezini é conselheira da ABES (Associação Brasileira das Empresas de Software) e coordenadora do Think Tank Brasil 2022 Algumavez você se perguntou o que acontece com os dados pessoais que são informados para as instituições públicas? Esses dados deveriam ser protegidos? Se esses dados pessoais deveriam ser protegidos, então é necessário compreender sobre proteção desde a concepção da solução, serviço ou projeto que usará esses dados. Diante desses questionamentos, trataremos da importância da temática privacidade de dados, partindo da concepção do produto ou serviço que tratará os dados pessoais. Estudaremos, ainda, uma abordagem para identificar medidas e controles de segurança a serem aplicados sobre os ativos organizacionais, propiciando a proteção dos dados. 8Enap Fundação Escola Nacional de Administração Pública Os agentes de tratamento, controlador (LGPD, art. 5º, VI) e operador (LGPD, art. 5º, VI), ou qualquer outra pessoa ou ente que participe das fases do ciclo de vida de tratamento dos dados pessoais desempenham papel imprescindível no sentido de assegurar a segurança informação para proteção dos dados pessoais. Conforme trata a Lei Geral de Proteção de Dados Pessoais – LGPD, no Art. 5º: [...] VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador [...] Por exemplo, ao realizar operação de tratamento de dados pessoais em nome do controlador, o operador deve adotar medidas a fim de propiciar o processamento seguro desses dados. Isso também se aplica às pessoas que, ao coletarem ou acessarem dados pessoais de outros indivíduos, devem fazê-lo de forma a impedir vazamentos ou uso indevido. O controlador, por sua vez, deve exercer sua competência de tomar decisões referentes ao tratamento de dados pessoais, inclusive relacionadas com diretrizes de segurança. De acordo com o previsto no caput do artigo 46 da LGPD, a proteção dos dados pessoais é alcançada por meio de medidas de segurança, técnicas e administrativas. Artigo 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. § 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei. § 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. 9Enap Fundação Escola Nacional de Administração Pública Perceba que o parágrafo 2º do artigo 46 determina que as medidas de segurança, técnicas e administrativas para proteção de dados pessoais sejam observadas desde a fase de concepção do produto ou do serviço até a sua execução. Isso apresenta um conceito fundamental para a proteção da privacidade dos dados pessoais, denominado Privacidade desde a Concepção (do inglês Privacy by Design). Destaque h, h, h, h, O conceito de Privacidade desde a Concepção (Privacy by Design) significa que a privacidade e a proteção de dados devem ser consideradas desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço, produto ou processo. Saiba mais Para saber mais sobre Privacy by Design, leia o documento “Os 7 princípios fundamentais do Privacy by Design”: https://blog.idwall.co/privacy-by-design- principios-fundamentais/. 2. Medidas e Controles de Segurança para os Ativos A abordagem para identificar as medidas e controles de segurança a serem aplicados sobre os ativos organizacionais, ou seja, nos documentos e registros da organização, ocorre em etapas: • Mapeamento das medidas e dos controles de segurança. • Medidas de segurança. • Controle de segurança. Vamos agora conhecer melhor cada uma delas Mapeamento das Medidas e dos Controles de Segurança Importante A abordagem para identificação das medidas e controles de segurança é embasada no mapeamento realizado pela planilha Controles LGPD, na qual consta o mapeamento das medidas de segurança desdobradas em controles a serem aplicados sobre os principais ativos organizacionais: bases de dados, documentos, equipamentos, locais físicos, pessoas, sistemas e unidades organizacionais. 10Enap Fundação Escola Nacional de Administração Pública A medida de segurança, mencionada no artigo 46 da LGPD, representa o objetivo de alto nível, declarando o que se espera alcançar com a aplicação da medida. O controle representa ações específicas de segurança que podem ser aplicadas sobre os ativos organizacionais para se alcançar a medida de segurança. Na planilha, a ordem em que se encontram as medidas de segurança não tem relação com seu grau de importância, ou seja, o item Política de Segurança não é nem mais nem menos importante que o item Registro de eventos e rastreabilidade. Destaque h, h, h, h, Dependendo das circunstâncias, os controles de segurança de uma de quaisquer das medidas de segurança podem ser importantes. Assim, convém que cada instituição implemente as referidas medidas, identificando quais controles são aplicáveis, quão importantes eles são e qual a aplicação para os processos individuais do negócio e do tratamento dos dados pessoais. Portanto, a relação das medidas e controles não estão em ordem de prioridade. Medidas de Segurança Na tabela a seguir são descritas, em ordem alfabética, as medidas de segurança constantes da planilha Controle LGPD com a finalidade de proporcionar melhor entendimento da relação entre tais medidas e os respectivos controles. MEDIDA DE SEGURANÇA1 DESCRIÇÃO CLASSIFICAÇÃO DA INFORMAÇÃO Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a instituição. COMPARTILHAMENTO, USO E PROTEÇÃO DA INFORMAÇÃO Assegurar a privacidade e proteção das informações de identificação pessoal conforme requerido por legislação e regulamentação pertinente. CONTINUIDADE DE NEGÓCIO A proteção de dados deve ser contemplada nos sistemas de gestão da continuidade do negócio da organização. CONTROLE DE ACESSO LÓGICO Limitar o acesso à informação e aos recursos de processamento da informação. CONTROLES CRIPTOGRÁFICOS Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação. CONTROLES DE COLETA E PRESERVAÇÃO DE EVIDÊNCIAS A instituição deve definir e aplicar procedimentos para a identificação, coleta, aquisição e preservação das informações, as quais podem servir como evidências. 1. As medidas de segurança e os controles constantes da planilha Controles LGPD foram embasados na ABNT/ISO 27002:2013 e ISO/IEC 29151:2016(E). O Anexo A da ISO/IEC 29151:2016(E) não foi considerado. 11Enap Fundação Escola Nacional de Administração Pública CÓPIA DE SEGURANÇA Cópias de segurança das informações, de softwares e das imagens do sistema devem ser efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida. DESENVOLVIMENTO SEGURO Garantir que a proteção de dados está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação. GESTÃO DE MUDANÇAS Mudanças na organização, nos processos do negócio, nos recursos de processamento da informação e nos sistemas que afetam a proteção de dados devem ser controladas. GESTÃO DE RISCOS Processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que possam afetar a instituição. Destinado a fornecer segurançarazoável quanto à proteção dos dados pessoais e à realização de seus objetivos. ORGANIZAÇÃO DA SEGURANÇA Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança dos dados dentro da organização. POLÍTICA DE SEGURANÇA Prover orientação da direção e apoio para a segurança dos dados pessoais de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. PROTEÇÃO FÍSICA E DO AMBIENTE Prevenir o acesso físico não autorizado, danos e interferências com os recursos de processamento e informações institucionais. REGISTRO DE EVENTOS E RASTREABILIDADE Registrar eventos e gerar evidências, a fim de proporcionar rastreabilidade. SEGURANÇA EM REDES Assegurar a proteção das informações em redes e dos recursos de processamento da informação que os apoiam. SEGURANÇA NAS OPERAÇÕES Garantir a operação segura e correta dos recursos de processamento da informação. TRATAMENTO E RESPOSTA A INCIDENTES Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados pessoais, incluindo a comunicação sobre fragilidades e eventos de segurança. Tabela: Descrição das medidas de segurança Para cada medida de segurança, são elencados controles a serem aplicados sobre os ativos organizacionais. 12Enap Fundação Escola Nacional de Administração Pública Controles de Segurança Na planilha Controles LGPD, o controle está descrito em formato de pergunta com a finalidade de verificar se o respectivo controle está sendo aplicado sobre o ativo organizacional marcado com um “X”. Ao implementar o controle questionado sobre o ativo, a instituição estará fortalecendo a proteção dos dados pessoais. Essa proteção ocorre porque os ativos organizacionais suportam os dados pessoais, ou seja, um dado pessoal pode ser, por exemplo, coletado por um Sistema, armazenado em uma Base de Dados e tratado por uma Pessoa. A fim de exemplificar o uso da planilha Controles LGPD para identificação de controles, será considerado que a instituição deseja aplicar medida de segurança relacionada com Gestão de Mudanças. Na tabela a seguir, constam os três primeiros controles da medida de segurança “Gestão de Mudanças”. ID CONTROLE BASES DE DADOS DOCU- MENTOS EQUIPA- MENTOS LOCAIS PESSOAS SISTE- MAS UNIDADES ORGANIZA- CIONAIS MEDIDA DE SEGURANÇA: GESTÃO DE MUDANÇAS 1 Existe e é executado um processo formal de Gestão de Mudanças na organização? X X X X 2 É realizado o controle de mudanças em atualizações de software e outros componentes das soluções de TIC? X X X 3 Mudanças significativas são identificadas e registradas? X X X X Tabela: Três primeiros controles da medida de segurança “Gestão de Mudanças”. Na medida de segurança Gestão de Mudanças, constam controles que contribuem para que as mudanças sejam realizadas de forma a assegurar a proteção dos dados pessoais. Nesse caso, consideramos que a instituição está tratando o controle ressaltado, na tabela, em fundo verde: “É realizado o controle de mudanças em atualizações de software e outros componentes das soluções de TIC?”. Para tal controle, são identificados três ativos organizacionais marcados com “X”: Base de Dados, Equipamentos e Sistemas. Isso significa que mudanças em atualizações de software e outros componentes das soluções de TIC que envolvam Base de Dados, Equipamentos e Sistemas devem ser controladas. 13Enap Fundação Escola Nacional de Administração Pública Essa abordagem de identificação dos controles a serem aplicados sobre os ativos organizacionais é aplicável para todas as medidas de segurança constantes da planilha em questão. A planilha também proporciona a visão de todos os controles que podem ser aplicados para um ativo organizacional específico. Considerando que a instituição deseje verificar, por exemplo, quais controles são aplicáveis para o ativo Sistemas, então basta identificar quais linhas da planilha estão com um “X” marcado na coluna com o mesmo nome do ativo. O conhecimento sobre medidas e controles de segurança será muito importante no momento de elaborar o Relatório de Impacto à Proteção do Dados Pessoais – RIPD. O RIPD representa uma ferramenta muito útil no sentido de avaliar o impacto potencial que um produto ou serviço pode gerar sobre a privacidade dos dados pessoais que serão tratados pela instituição. Esse Relatório também mapeará os riscos à privacidade dos dados e respectivas medidas de segurança a serem adotadas. 1. Aspectos Legais sobre as Medidas de Segurança 2. Medidas e Controles de Segurança para os Ativos
Compartilhar