Baixe o app para aproveitar ainda mais
Prévia do material em texto
118 Unidade III Unidade III 5 LEIS E REGULAMENTAÇÕES DE SEGURANÇA DA INFORMAÇÃO 5.1 Direto O direito é uma ciência social formada por um conjunto de normas que visam regular as relações da vida em sociedade. No decorrer dos tempos, o direito adaptou-se a várias realidades da humanidade, impulsionado pelas mais diversas mudanças em nosso mundo. Atualmente, com os avanços da tecnologia e o advento da internet, mais uma vez o direito busca adaptar-se a mais essa grande mudança. As pessoas estão migrando parte de sua vida para mundo virtual, relacionando-se com outras pessoas, físicas ou jurídicas, nesse ambiente, seja usando e-mails, celulares, smartphones, tablets, netbooks, chats, buscadores de informação, sites de notícia, redes sociais, sms, messenger, voip e computação em nuvem, entre outras ferramentas que até pouco tempo atrás não faziam parte de nossa rotina diária de trabalho e de lazer. Nesse cenário de mudanças encontramos novos desafios, pois as novas formas de relacionamento afetam o comportamento humano e consequentemente todos os aspectos que envolvem o desenvolvimento de uma sociedade. Intencionalmente ou não, pessoas podem prejudicar outrem. As novas tecnologias da informação vieram para agregar pessoas e empresas, mas muitos acabam utilizando essa tecnologia de forma prejudicial, causando prejuízos em usuários domésticos ou em empresas. A inclusão digital cresceu muito, porém a educação digital não acompanhou esse crescimento, propiciando um ambiente virtual perigoso para quem não visualiza os possíveis riscos contidos nesse ambiente. A falta de conhecimento e de treinamento dessas novas ferramentas podem levar as pessoas ou empresas a cometerem crimes sem a menor ciência de que sua ação seja um crime ou ato ilícito. O direito, por meio de suas diversas legislações vigentes, vem regular as relações no mundo virtual, porém tornam-se necessárias a adequação e atualização das leis para o pleno atendimento das demandas ocasionadas pelo uso indevido das novas tecnologias. As pessoas e as empresas devem ter consciência de que tudo que fazem no mundo virtual gera um efeito jurídico com potencialidade maior do que algo que ocorra no mundo físico. Atualmente a tecnologia também se tornou sinônimo de velocidade e de precisão das práticas empresariais, sendo fundamental para os negócios de muitas empresas, para a exposição e comercialização de seus produtos e serviços, mas também passou a representar um grande emaranhado de problemas sociais e jurídicos. 119 GESTÃO DA SEGURANÇA DA INFORMAÇÃO O comportamento inadequado no mundo virtual, além de contrariar o senso ético, pode expor dados pessoas ou estratégicos de empresas, causando prejuízos inestimáveis, por isso a conscientização do uso ético e legal das novas tecnologias é fundamental. Observação As estruturas do direito brasileiro são fundamentadas no direito romano e altamente influenciadas até os dias de hoje pelo direito europeu, fruto da colonização portuguesa. 5.2 A sociedade digital Na nova realidade todos vivem em uma sociedade digital, que a cada dia se renova. A sociedade está migrando para o mundo virtual, criando uma nova geração, com novos valores. Trata-se de uma nova sociedade, acostumada ao imediatismo, um bom exemplo é quando reclamamos da demora de entrega do correio eletrônico ao precisarmos esperar mais de três segundos para o envio de um e-mail. Na sociedade da informação, todos estão conectados, não existem apenas os amigos do bairro, mas os amigos de qualquer parte do mundo. O mesmo se estende às empresas que passaram a atender clientes espalhados pelo mundo. Assim também os clientes podem procurar seus produtos e serviços preferenciais em empresas domiciliadas em outro continente. Tudo isso demonstra que existe a interação humana e que é necessária a utilização das novas tecnologias. A sociedade passa por um grande processo de mudança pela qual as novas tecnologias são as principais responsáveis. A quebra de paradigmas é evidente, a nova sociedade tem como base um bem precioso: a informação. A internet trouxe ao mundo muitas transformações, possibilitando a uma pessoa comum ou a uma grande empresa criar e compartilhar informações com o mundo todo em questão de segundos, independentemente da sua localização geográfica. As pessoas estão migrando suas vidas para o mundo virtual, a internet se tornou uma ferramenta fundamental na vida das pessoas, que passaram a comprar os mais variados produtos e serviços sem sair de casa. Comprar comida e até realizar transações bancárias sem ser ter que ir a uma agência bancária tornou-se uma tarefa comum para muitas pessoas. Ainda pode-se perceber a facilidade de comunicação e interação entre as pessoas, empresas, fornecedores e clientes com o uso da internet. A internet criou uma nova forma de socialização, principalmente nos dias atuais, com o uso das redes sociais, o que para alguns estudiosos não é bom, pois afasta as pessoas do contato presencial e inibe seu lado humano, mas cabe salientar que, para outros estudiosos, o uso com discernimento da internet pode agregar e muito nas relações humanas, isso, porém, é algo a ser apreciado em outro estudo. Escolas, hospitais, governos, forças armadas, igrejas e diversas outras instituições foram beneficiadas com a internet e também estão migrando/transformando seus ambientes físicos para o virtual. 120 Unidade III O grande e rápido avanço tecnológico nos fez muito dependentes da tecnologia. No mundo atual é difícil imaginar como seriam as relações interpessoais e comerciais sem as ferramentas tecnológicas. As novas tecnologias de informação trouxeram várias vantagens, mas também trouxeram grandes conflitos, que antes no mundo físico não eram percebidos, principalmente devido à potencialidade proporcionada por esse ambiente sobre um fato ocorrido. A migração da sociedade para o mundo virtual faz com que as pessoas mantenham suas relações pessoais e profissionais, antes estabelecidas no ambiente físico, agora no mundo virtual. Assim como ocorre no mundo físico, essas relações precisam ser reguladas para que não haja conflitos de direitos, deveres e obrigações das pessoas e instituições. O direito vem ao encontro dessas mudanças e se adapta para atender as novas demandas geradas por esse ambiente. 5.3 Direito digital O direito digital é a evolução do próprio direito em novo ambiente e abrangendo os institutos e princípios fundamentais de áreas do direito. As novas tecnologias da informação, principalmente a internet, facilitam a geração, o compartilhamento e armazenamento das informações e isso precisa ser regulamentado, pois, por trás desse processo, existem pessoas se relacionando entre si ou com empresas por meio de produtos e de serviços. Atualmente o Brasil não possui uma legislação especifica para regular as relações no mundo virtual, porém 95% dos casos levados ao ministério são solucionados com base na legislação vigente. Ainda existem algumas situações que a norma vigente não atende, mas isso já é objeto de apreciação em projetos de leis em andamento no Congresso Nacional. Boa parte dos magistrados entende que a internet é apenas uma nova ferramenta que pode contribuir para uma ação boa ou ruim. Todo ato praticado no mundo digital deixa um rastro, o que podemos chamar de evidência ou até mesmo de prova e consequentemente gera um efeito jurídico. Elencamos a seguir alguns exemplos: • O fechamento de um contrato por meio de um simples “Ok” em uma mensagem de e-mail gera compromissos para as partes. • Uma ofensa deferida a uma pessoa ou empresa por meio de uma mensagem de e-mail ou post numa rede social gera uma obrigação de reparação ao autor da ofensa. Em ambos os casos citados, o direito é que vai buscar a satisfação das partes conforme seus direitos ou deveres pleiteados, similar ao que ocorre no mundo real. Cabe salientar que as novas tecnologias potencializaram ocorrência de determinadas situações ou ações, tanto no número devezes que ela pode ocorrer quanto no resultado de qualquer ato praticado. Muitas pessoas dizem que a internet é uma “terra sem lei”, porém isso não é uma verdade. A internet hoje é regulamentada da seguinte forma: 121 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Mundial: — Organização das Nações Unidas (ONU). — Internet Corporation for Assigned Names and Numbers (Icann): uma instituição sem fins lucrativos, formada para assumir responsabilidades e estabelecer normas acerca de aspectos técnicos da internet, como endereços de IP. — United Nations Commission on International Trade Law/Comissão das Nações Unidas para o Direito Comercial Internacional (Uncitral). • Brasil: — Comitê Gestor da Internet (CGI): criado por meio do Decreto n. 4.829, de 3 de setembro de 2003. Além de cumprir os acordos internacionais, o Brasil, mesmo sem ter uma lei específica sobre a internet, aplica para regulamentação de conflitos e delitos no mundo digital suas próprias leis internas, entre elas: Constituição Federal, Código Penal, Código Civil, Lei de Direitos Autorais e Propriedade Intelectual, além de outras, quando possíveis. Atualmente existem projetos de lei sobre o assunto que visam preencher algumas lacunas existentes nas leis vigentes a fim de regulamentar a matéria. A ética e a educação digital no mundo virtual são uma extensão das nossas atitudes da vida “real”, sendo assim também estão sujeitas às sanções legais. A internet proporciona a praticidade de disseminar ou colher informações, o acesso a muitas informações, disponíveis para usuários domésticos, pessoas comuns ou empresas. Quando envolvemos o fator humano é necessário observar que no ambiente físico ou digital as pessoas são diferentes umas das outras, não apenas no aspecto físico, mas também no aspecto cultural; assim, o que é importante para uma pessoa pode não ser para outra. Ademais pessoas influenciadas pelas mais variadas razões podem se aproveitar desse “mundo de informações” e utilizar essas informações para cometer atos que vão contra a moral e os bons costumes e muitas vezes contra a legislação, ferindo direitos alheios. Cabe ressaltar que as diferenças culturais são importantes para o crescimento da sociedade, mas, quando são exploradas por pessoas mal-intencionadas, podem acarretar grandes perdas ou prejuízos, seja para pessoas, seja para empresas. Os usuários, muitas vezes sem saber, acabam ferindo direitos alheios e cometendo delitos, pois, como já o afirmamos, para muitos desavisados, a internet é uma “terra sem lei”. As pessoas pensam que na internet estão no anonimato e que o que fizerem no mundo digital não será descoberto por ninguém, o que não é verdade. 122 Unidade III Fazer um simples download de um conteúdo (vídeo, imagem, texto, áudio) sem a devida autorização, enviar mensagem com vírus de computador ou ofendendo alguém, inserir mensagens estimulando atitudes ruins em uma rede social, entre outras ações, podem constituir um crime. Assim, notamos que a rede também pode ser usada na facilitação de atos ilícitos. Nesse consenso, o usuário da internet deve ter um mínimo de ética e tentar, sempre que possível, colaborar para seu desenvolvimento. O usuário pode colaborar tanto publicando informações úteis quanto melhorando informações já existentes. A maioria dos crimes eletrônicos cometidos por meio da internet ocorre por falha humana. Mesmo com toda segurança aplicada, não há como prever as atitudes de quem está sentado à frente de um computador. O usuário pode ser enganado ao receber uma mensagem de e-mail contendo vírus de computador. Mesmo desconhecendo o assunto e o remetente, o usuário clica no link da mensagem com o intuito de visualizar o conteúdo, mas acaba instalando um vírus em seu computador, que, sem que ele saiba, coletará informações como senhas bancárias, números de cartão de crédito, CPF ou RG, entre outras informações confidenciais, e as enviará para uma outra máquina localizada em outra parte do mundo. De posse dessas informações, o golpista realizará fraudes na internet se fazendo passar pela vítima. Vejamos a seguir um modelo do fluxo de um golpe. Cabe salientar que o fluxo dos golpes pode ter outras variações. Figura 43 – O fluxo de um golpe na internet Nesse novo cenário cada vez mais virtual, torna-se necessária a educação digital, para que os usuários desse ambiente reconheçam seus riscos inerentes e possam se proteger e agir de forma a não prejudicar outras pessoas ou empresas, sendo um bom cidadão digital. 123 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Lembrete O direito digital é uma evolução do direito que deve acompanhar a própria evolução da sociedade e seu uso massificado de tecnologia que leva a novos formatos de infrações sociais e, dessa forma, a novos formatos de julgamento. A responsabilidade civil definida pela legislação vigente, especificamente o Código Civil, regula a responsabilidade das pessoas físicas e jurídicas. Podemos entender que a responsabilidade civil é a obrigação imposta à determinada pessoa de direitos a reparar os danos causados a outrem por fato causado pela própria pessoa ou por terceiros a ela vinculados. Cabe lembrarmos que a lei determina que um ato ilícito ocorre quando o comportamento da pessoa se desvia do padrão de comportamento imposto pelo ordenamento. O Código Civil descreve que havendo ou não culpa da pessoa que prejudica ou caso dano a outrem, esta terá que ressarcir a parte prejudicada pelo dano causado e na medida do dano causado. A lei vigente requer atenção, porque tudo o que é realizado no mundo digital gera um efeito jurídico e deixa rastro que pode em muitos casos identificar o autor do dano causado. Um fator importante a ser lembrado é que a nossa lei vigente descreve que nenhuma pessoa pode alegar desconhecimento da lei. De acordo com o artigo 21 do Decreto-Lei n. 2.848, de 7 de dezembro de 1940 (Código Penal): “O desconhecimento da lei é inescusável, [...]” (Brasil, 1940). As pessoas físicas têm sua responsabilidade determinada pelos dispositivos do artigo 186 da Lei n. 10.406, de 10 de janeiro de 2002 (Código Civil), segundo o qual “aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito” (Brasil, 2002b). Deve ser considerado que: • ação ou omissão = ter praticado ou deixado como estava; • negligência ou imprudência = não ter tomado os devidos cuidados. As pessoas jurídicas também têm sua parcela de responsabilidade civil, respondendo também pelo seu empregado quando do uso dos seus recursos, essa responsabilidade é prevista nos dispositivos do artigo 187 do Código Civil, que institui que “também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes” (Brasil, 2002b). 124 Unidade III O Código Civil, em seu artigo 927, descreve que, aquele que, por ato ilícito, causar dano a outrem, fica obrigado a repará-lo: Haverá obrigação de reparar o dano, independente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida, pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem. Já o artigo 1016 prevê que: “Os administradores respondem solidariamente perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções” (Brasil, 2002b). Para entendermos o crime digital, é necessário entender o que é um crime comum. Podemos dizer que crime comum, sem o computador, é uma conduta típica, antijurídica e praticada por um ser humano, e a legislação é clara ao determinar que ninguém pode ser penalizado se a conduta prática não estiver prevista em lei, conforme determina os dispositivos legais descritos a seguir: • Artigo 1º Código Penal: não há crime sem lei anterior que o defina. Não há pena sem prévia cominação legal. • Art. 5º XXXIX Constituição Federal: não há crime sem leianterior que o defina, nem pena sem prévia cominação legal. Entendendo o crime comum, pode ser analisado o que é o crime eletrônico. Trata-se na verdade do mesmo crime, mas que tem como ferramenta para sua consumação ou tentativa o “computador”. Quando usamos esse termo, precisamos lembrar que no mundo atual computador é entendido como qualquer equipamento que possa armazenar e processar dados ou informações seja de pequeno, seja de grande porte. A maioria dos celulares hoje tem essa funcionalidade. Assim, podemos perceber o quão complexo se torna o crime eletrônico, pois, além da questão técnica, também há a dificuldade de sua comprovação. Com o advento das novas tecnologias, alguns paradigmas mudaram, antes percebíamos a perda física do bem, como o roubo de um cofre, ou víamos o bandido com uma arma na mão realizar um assalto, ou ouvíamos uma pessoa ofendendo outra, mas no mundo virtual essas percepções não são claras para todos e muitas vezes uma pessoa pode cometer um crime ou ser vítima de um e nem se dar conta do que está acontecendo. Como visto anteriormente, no Brasil não há uma lei específica sobre crime digital, porém a maioria dos casos levados ao Ministério Público são solucionados com base em nossa legislação vigente. Veja a seguir uma tabela com os possíveis crimes que podem ser cometidos pela internet ou no uso das novas tecnologias e suas devidas implicações jurídicos. 125 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Quadro 25 – Infrações mais comuns na internet Conduta Crime Artigo / Legislação Pena Falar em um chat que alguém cometeu algum crime Calúnia 138 CP Detenção de seis meses a dois anos e multa Dar forward para várias pessoas sobre um boato Difamação 139 CP Detenção de três meses a um ano e multa Enviar um e-mail para uma pessoa ofendendo sua dignidade Injúria 140 CP Detenção de um a seis meses ou multa Enviar um e-mail para uma pessoa dizendo que vai lhe causar algum mal Ameaça 147 CP Detenção de um a seis meses ou multa Enviar um e-mail para terceiros com informação considerada confidencial Divulgação de segredo 153 CP Detenção de um a seis meses ou multa Enviar um vírus de computador que destrua equipamentos ou conteúdos Dano 163 CP Detenção de um a seis meses ou multa Enviar um vírus de computador que captura dados armazenados em equipamentos Furto 155 CP Reclusão de um ano a quatro anos e multa Enviar um vírus de computador que captura dados e usar esses dados para cometer fraudes Falsa Identidade 307 CP Detenção de três meses a um ano ou multa Copiar conteúdo e não mencionar a fonte Violação ao direito autoral 184 CP Detenção de três meses a um ano e multa Criar comunidade online que fale sobre pessoas e religiões Escárnio por motivo de religião 208 CP Detenção de um mês a um ano ou multa Acessar sites pornográficos Favorecimento da prostituição 228 CP Reclusão de dois a cinco anos Postar em rede social descritivo que ensina como burlar procedimentos – por exemplo, fazer “um gato” Apologia de crime ou criminoso 287 CP Detenção de três a seis meses ou multa Enviar e-mail com remetente falso (caso comum de spam) Falsa identidade 307 CP Detenção de três meses a um ano, ou multa Inserir dados falsos em sistema da administração pública Adulterar dados em sistema 313-A CP Reclusão de dois a doze anos e multa Mudar ou alterar dados em sistema da administração pública Adulterar dados em sistema de informações 313-B CP Detenção de três meses a dois anos e multa Receber spam e devolver com vírus ou com mais spam Exercício arbitrário das próprias razões 345 CP Detenção de quinze dias a um mês ou multa Participar de cassino on-line Jogo de azar 50 do Decreto Lei n. 3.688/41 Prisão simples, de três meses a um ano e multa Falar mal de alguém em um chat por sua cor Preconceito ou discriminação por raça/cor/etnia 20 da Lei n. 7.716/89 Reclusão de um a três anos e multa Divulgar, armazenar, comercializar ou enviar fotos ou vídeos de crianças nuas pela internet Pornografia Infantil 241-A da Lei n. 8.069/90 Reclusão de três a seis anos e multa Usar logomarca de terceiros na internet sem autorização do detentor da logomarca Crime contra a propriedade industrial 195 da Lei n. 9.279/96 Detenção de três meses a um ano ou multa Usar nome do concorrente como palavra-chave em site visando afastar clientela Crime de concorrência desleal 95 da Lei n. 9.279/96 Detenção de três meses a um ano ou multa Usar cópia de software sem ter a licença de uso Crimes contra software, “pirataria” 12 da Lei n. 9.609/98 Detenção de seis meses a dois anos ou multa Fonte: Pinheiro, 2009. 126 Unidade III A Lei n. 12.965, de 23 de abril de 2014, trata dos princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para a atuação da União, dos estados, do Distrito Federal e dos municípios em relação à matéria. A lei determina os parâmetros que serão aplicados no Brasil ao uso dessa rede de computadores de alcance mundial que convencionamos chamar de internet. Como estamos diante de temas novos que utilizam terminologia própria, a Lei n. 12.965/2014 utiliza um pequeno glossário para que todos compreendam da mesma forma os termos por ela utilizados. Assim, o artigo 5º especifica que: Art. 5º – Para os efeitos desta Lei, considera-se: I – internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes; II – terminal: o computador ou qualquer dispositivo que se conecte à internet; III – endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para permitir sua identificação, definido segundo parâmetros internacionais; IV – administrador de sistema autônomo: a pessoa física ou jurídica que administra blocos de endereço IP específicos e o respectivo sistema autônomo de roteamento, devidamente cadastrada no ente nacional responsável pelo registro e distribuição de endereços IP geograficamente referentes ao País; V – conexão à internet: a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet, mediante a atribuição ou autenticação de um endereço IP; VI – registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados; VII – aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; e VIII – registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP (Brasil, 2014). A lei determina que o uso da internet no Brasil terá como fundamento a liberdade de expressão que, como vimos, é um direito fundamental garantido pela lei mais importante do país, a Constituição Federal. 127 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Além da liberdade de expressão também são fundamentos da utilização da internet no Brasil, conforme artigo 2º: • o reconhecimento da escala mundial da rede; • os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania por meios digitais; • a pluralidade e a diversidade; • a abertura e a colaboração; • a livre iniciativa, a livre concorrência e a defesa do consumidor; • a finalidade social da rede. 5.4 Lei Geral de Proteção de Dados Pessoais – Lei n. 13.709 de 2018 A Lei n. 13.907, de 14 de agosto de 2018, chamada de Lei Geral de Proteção de Dados Pessoais é conhecida pela sigla LGPD. Ela está dividida em dez capítulos e contém princípios e definições para a correta compreensão de seus objetivos e finalidades. A LGPD deveria entrar em vigor em agosto de 2020 (foi adiada em decorrência da pandemia) e esse período de tempo, conhecidocomo vacacio legis, ou, vacância da lei, foi adotado para que as empresas públicas e privadas e as pessoas naturais tivessem tempo de se adequar às suas exigências. A lei foi aprovada após a entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia, em maio de 2018, que motivou empresas de todo o mundo que têm negócios com empresas europeias a se adequarem àquele regulamento, de forma que pudessem continuar realizando atividades comerciais. O RGPD europeu é aplicável a situações em que o tratamento de dados acontece nas atividades de uma empresa que está estabelecida em países que compõem a União Europeia (Alemanha, Áustria, Bélgica, Bulgária, Chipre, Croácia, Dinamarca, Eslováquia, Eslovênia, Espanha, Estônia, Finlândia, França, Grécia, Hungria, Irlanda, Itália, Letônia, Lituânia, Luxemburgo, Malta, Países Baixos, Polônia, Portugal, Reino Unido, República Checa, Romena e Suécia) e se aplica as empresas que não estão na União Europeia, mas oferecem produtos e serviços para lá. A necessidade de algumas empresas adequarem suas atividades ao Regulamento de Proteção de Dados Pessoais da União Europeia contribuiu para que o legislativo brasileiro agilizasse o debate sobre a lei geral de proteção de dados brasileira, que já tinha projetos de lei em andamento havia alguns anos. A proteção de dados pessoais é muito importante na sociedade contemporânea. Todos somos portadores de dados e, diariamente, fornecemos esses dados em muitas situações diferentes, como no supermercado, no atendimento médico, na academia, para táxis ou serviços de aplicativo, nas compras 128 Unidade III pela rede mundial de computadores, nas redes sociais, nas transações bancárias, nos diversos aplicativos que utilizamos, entre outras muitas situações. Nossos dados pessoais são utilizados tanto para transações de alto valor como a obtenção de empréstimo para compra de imóveis, como para transações de pequeno valor como a compra de medicamentos na farmácia. Por isso, é preciso proteger os dados pessoais para que não ocorra má utilização, porque os transtornos são enormes quando isso acontece. Em geral, todas as empresas estão suscetíveis a vazamento de dados pessoais de seus consumidores e usuários, por isso foi preciso criar uma legislação para estabelecer regras claras para a coleta e tratamento de dados, bem como as punições para as práticas que descumprirem a legislação em vigor. No âmbito da Segurança da Informação conhecer a Lei Geral de Proteção de Dados (LGPD) é muito relevante, por isso, vamos nos dedicar a esse estudo. Tratamento de dados é toda operação realizada com dados pessoais como as de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Essa definição foi a adotada pela LGPD e é importante para compreender a aplicabilidade da lei. Sempre que uma pessoa natural ou jurídica, pública ou privada, solicitar os dados pessoais de alguém – nome, endereço, número de documentos, estado civil, identificação de gênero (masculino, feminino ou outros) –, deverá cumprir a LGPD. A lei se aplica, portanto, às pessoas naturais ou jurídicas, da área pública ou privada, que atuem com dados pessoais em qualquer meio, inclusive digital. O objetivo da lei é proteger o titular dos dados pessoais para não haver utilização de dados sem consentimento, nem excessiva, desnecessária ou, ainda, que seja prejudicial ao seu titular. Assim, se alguma pessoa natural ou jurídica de direito privado atuar com dados pessoais arquivados em papel, meio físico, deve, do mesmo modo, seguir a lei, que também se aplica a essas situações. Aqueles que atuam com uso de meio digital, mais comum em nossos dias, igualmente estão obrigados a cumprir a lei. A LGPD é aplicada a todas as operações de tratamento de dados realizadas em território nacional, quando os dados forem coletados para a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional ou nas situações em que os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Mesmo que a pessoa natural ou jurídica, de direito público ou privado, tenha sua sede em outro país, se a operação de tratamento de dados se realizar no Brasil, a LGPD será aplicada. Não importa que os dados sejam coletados de pessoas físicas estrangeiras, porque se elas estiverem no Brasil no momento da coleta dos dados, também a lei brasileira será utilizada para sua proteção. 129 GESTÃO DA SEGURANÇA DA INFORMAÇÃO A pessoa natural cujos dados tenham sido coletados e tratados em território nacional, mesmo que more em outro país, deve cumprir a LGPD. O uso de dados pessoais para realização de negócios ou para atendimento no setor público já é utilizado há muitos anos. Tornou-se comum o fato de as pessoas fornecerem seu endereço, número de telefone, número de documentos pessoais, dados bancários, dados pessoais como gênero, estado civil, entre tantos outros para serem atendidas em suas necessidades junto aos setores público e privado. O fornecimento de dados cresceu exponencialmente nos últimos anos porque a internet passou a ser utilizada para muitas atividades que antes só fazíamos presencialmente como comprar uma televisão, um sofá ou um livro; assinar um jornal ou revista eletrônicos; comprar passagens aéreas e reservar hotéis para viagens de negócios ou de férias; contratar um plano de saúde ou seguro de vida; contribuir com uma associação não governamental; contratar acesso a canais de entretenimento para assistir a filmes, séries, ouvir música; não há limite para o que pode ser feito pela internet. Em todos esses momentos, as pessoas disponibilizam dados pessoais que são coletados e armazenados pelo fornecedor de produtos e serviços. Por vezes, somos nós mesmos que, em nossa atividade profissional, coletamos e armazenamos dados pessoais de clientes ou usuários, necessários para o trabalho que fazemos. Cada vez mais, as diferentes atividades profissionais praticadas no mercado exigem a coleta e tratamento de dados dos clientes, por isso, a importância de que essa atividade seja realizada corretamente, isto é, de acordo com a lei e com as melhores técnicas de segurança da informação. A LGPD, além de criar objetivos e princípios que serão de cumprimento obrigatório para todos que utilizem dados pessoais, também uniformizou as expressões que deverão ser utilizadas por todas as pessoas físicas, jurídicas, públicas e privadas que utilizam dados pessoais em suas atividades. Lembrete A nossa Lei Geral de Proteção de Dados (LGPD) é baseada na Lei Europeia – General Data Protection Regulation (GDPR), isso se dá pela influência que o direito da Europa exerce sobre as nossas bases legais e sociais. A terminologia está no artigo 5º da LGPD, assim organizada: Dado pessoal Informação relacionada à pessoa natural identificada ou identificável. Pessoa natural identificada e pessoa natural identificável têm o mesmo sentido: ser humano que se torna sujeito de direitos e deveres em conformidade com a lei. Pessoa jurídica é aquela composta por uma ou mais pessoas físicas, que se organiza para exercer atividades econômicas (empresas) ou sociais (associações, sindicatos, organizações não governamentais, clubes desportivos, entre outras). 130 Unidade III Dado pessoal sensível Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São dados que uma pessoa nem sempre deseja compartilhar, mesmo que se tornem conhecidos, seja para fins empresariais, seja para pessoas de seu convívio social e familiar. A denominação sensível indica que sãodados que, para serem tratados por pessoa natural ou jurídica, pública ou privada, vão demandar muito mais cuidado e especificidade. Dado anonimizado Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Anonimização de dados Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado pessoal passa a ser tratado de forma que não se possa identificar seu titular. Em lugar de constar o nome e o endereço do titular a anonimização fará constar, por exemplo, gênero masculino, 44 anos, casado, motorista de Uber, renda na faixa de R$ 3.000,00, domicílio bairro da Zona Norte de Belo Horizonte, casa própria financiada no Sistema Financeiro da Habitação. Os dados pessoais estão dispostos, sem que seja possível, porém, individualizar o titular desses dados. Banco de dados Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Exemplo: os dados utilizados por hospitais, clínicas, academias, escolas, universidades, lojas físicas e virtuais, serviços de compartilhamento de transporte, médicos, dentistas, advogados e muitas outras atividades. São dados de clientes e usuários tratados em bancos de dados que precisam ser legalmente organizados. É importante reparar que a LGPD tem determinações para banco de dados que podem estar em meio físico ou eletrônico e, em ambas as situações, a lei deverá ser cumprida. Muitas empresas menores, como escritórios de advocacia e contabilidade ou oficinas mecânicas e de marcenaria, que trabalham com fichas físicas guardadas em arquivos de aço, deverão ficar atentas para a necessidade de se adequarem às novas regras determinadas pela LGPD, porque os arquivos físicos também estão regulados por ela. Titular Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Todas as pessoas naturais possuem dados pessoais dos quais são titulares e que só poderão ser compartilhados mediante seu consentimento expresso e específico. 131 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Tratamento de dados Trata-se de toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Uso compartilhado de dados Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos ou entre entes privados. Consentimento Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. É importante que fique claro que não é qualquer forma de consentimento que pode ser interpretada como adequada à lei. Somente o consentimento prestado de forma livre, informada e inequívoca que não crie dúvida de que se trata de consentimento para tratamento de dados pessoais. Bloqueio Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados. Ocorrerá o bloqueio quando a pessoa natural ou jurídica, pública ou privada, for obrigada a suspender, em caráter temporário, o tratamento de dados organizados em seu banco. A ordem de bloqueio virá de decisão judicial, embora também possa ser resultado de um acordo entre as partes para cumprir um objetivo fixado por elas. Uma financeira faz acordo com uma loja para que o banco de dados de clientes da loja fique bloqueado, não possa ser utilizado para nada durante um determinado período ou até que seja apurada uma irregularidade investigada pela loja, em decorrência de inconsistências no seu balanço ou no seu relatório de resultados financeiros. Por acordo da loja e da financeira, durante o banco de dados de clientes ficará bloqueado sem que ninguém possa utilizar aqueles dados. Eliminação Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. A eliminação ocorrerá a pedido do titular com concordância com os agentes de tratamento ou por ordem judicial, que determine a eliminação. Poderão ser eliminados bancos de dados eletrônicos ou físicos. 132 Unidade III Transferência internacional de dados Transferência de dados pessoais para país estrangeiro ou para algum organismo internacional do qual o país seja membro, como a Organização das Nações Unidas (ONU); a Organização Internacional do Trabalho (OIT), entre outros. A necessidade de transferência de dados pessoais para país estrangeiro poderá ocorrer, por exemplo, em casos de acidentes naturais como enchentes, passagem de tornados, terremotos, pandemias, ou em acidentes como queda de aviões, atos terroristas, incêndios, explosões, ou mesmo em situações em que os dados sejam importantes para localizar e ou identificar as vítimas de danos físicos ou de óbito. Agentes de tratamento Trata-se do controlador e o operador: • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais em uma empresa privada ou órgão público. • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. É importante observar que a LGPD permitiu que o controlador e o operador sejam pessoas jurídicas, ou seja, empresas contratadas para executarem essa atividade; e não impediu que sejam a mesma pessoa para exercer as tarefas ao mesmo tempo, o que poderia significar para as empresas menores custos na contratação de profissional. Encarregado Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado poderá ser pessoa natural ou jurídica e não é preciso que seja uma pessoa com atividade específica, pode exercer outra atividade profissional na empresa e acumular com esta. Também poderá ser empresa contratada para atuar como encarregado perante a ANPD. Autoridade Nacional de Proteção de (ANPD) Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento dessa lei em todo o território nacional. É o órgão federal que terá a incumbência de regular e fiscalizar o tratamento de dados no Brasil, inclusive para aplicar as sanções previstas na LGPD. Sua composição, organização e funcionamento será semelhante às agências já existentes no país como a Agência Nacional de Saúde Suplementar (ANS), Agência Nacional de Vigilância Sanitária (Anvisa), Agência Nacional de Aviação (Anac), entre outras. 133 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Relatório de impacto à proteção de dados pessoais Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Sendo o controlado o agente de tratamento de dados responsável pelas decisões, será dele a responsabilidade pela construção do relatório de impacto à proteção de dados, com objetivo de descrever os processos utilizados para tratamento de dados pessoais, bem como todos as medidas adotadas para prevenir a ocorrência dos riscos a que os bancos de dados estão sujeitos. Órgão de pesquisa Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos, legalmenteconstituída sob as leis brasileiras com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. A sigla DPO não está no glossário criado pela LGPD em seu artigo 5º, porém tem sido muito utilizada nas atividades empresariais privadas para designar o profissional responsável pela implementação da lei na empresa e, posteriormente, por toda a gestão da proteção de dados. DPO é a sigla para data protection officer, expressão em inglês que significa a pessoa designada na empresa privada ou pública para ser o responsável – diretor, gerente ou superintendentes – de toda a gestão de proteção de dados. A LGPD estabelece como seus objetivos: • Respeito à privacidade Todo titular de dados pessoais tem direito de ser respeitado em sua privacidade, tem o direito de compartilhar dados apenas com as pessoas que escolher e para atender objetivos específicos. Exemplo: o entregador de pizza que leva o produto à casa de alguém não está autorizado a fornecer esse dado para ninguém, tampouco a pizzaria em que ele trabalha pode fornecer esse endereço para a loja de roupas sua vizinha, para que eles mandem uma mala direta de publicidade da loja. Ao compartilhar seu estado civil para um contrato de prestação de serviço bancário, ninguém autoriza que aquele dado seja fornecido para uma agência de viagem para que lhe ofereça pacotes de cruzeiro para solteiros. Os dados são fornecidos com uma finalidade e ela deve ser respeitada, sob pena de descumprimento da lei e das sanções que poderão ser aplicadas. • Autodeterminação informativa Autodeterminação é a capacidade de uma pessoa decidir de forma livre e autônoma o que é melhor para ela. Autodeterminação informativa é o poder para decidir sobre quais informações e para quem se deseja fornecê-las. A lei proíbe o compartilhamento de informações sem o consentimento do titular dos dados, em respeito ao princípio da autodeterminação informativa. O consentimento do titular de dados pessoais é essencial em qualquer atividade pública ou privada de tratamento de dados. 134 Unidade III • Liberdade de expressão, informação e de opinião Esses são fundamentos previstos na Constituição Federal. A LGPD, em conformidade com o disposto na Constituição Federal, tem expressa previsão de proteção desses direitos fundamentais. • Inviolabilidade da intimidade, da honra e da imagem Esses são direitos protegidos pela Constituição Federal e pelo Código Civil. Por isso, a LGPD garante que ninguém poderá ser invadido ou incomodado em sua intimidade, honra ou imagem pela divulgação de dados que não tenham sido expressamente autorizados. A nenhuma empresa, por exemplo, será possível divulgar dados pessoais sem que isso tenha sido autorizado. • O desenvolvimento econômico e tecnológico e a inovação A necessidade de proteção de dados pessoais não pode impedir que o Brasil tenha desenvolvimento econômico, tecnológico e de inovação. A LGPD não pode dificultar o desenvolvimento econômico porque contraria a Constituição Federal, que garante a proteção à livre iniciativa e à livre concorrência. Mas é importante salientar que o desenvolvimento econômico e tecnológico que o Brasil pretende ter está diretamente relacionado com a proteção de dados pessoais, porque na atualidade, em quase todo o mundo, existem leis de proteção de dados pessoais, em especial na União Europeia, e nenhuma empresa ou governo vai se relacionar com países que não tenham essa mesma preocupação – proteger dados pessoais –, porque seria um risco maior do que o eventual lucro que as transações econômicas pudessem gerar. • A livre iniciativa, a livre concorrência e a defesa do consumidor São princípios constitucionais que igualmente deverão ser respeitados pela LGPD. Por esses princípios se garante o equilíbrio entre a necessidade de desenvolvimento econômico pelas empresas privadas com o respeito aos consumidores, que não poderão ter seus dados pessoais utilizados de forma indevida nas atividades empresariais. A empresa que utilizar indevidamente dados pessoais poderá ser acusada de concorrência desleal e ser punida também por isso, além da punição pelo descumprimento da LGPD. • Direitos Humanos, livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais A LGPD adota esses objetivos para que possa estar em consonância com a Constituição Federal, com o Código Civil e com o Código de Defesa do Consumidor. A dignidade da pessoa humana é um fundamento da República Federativa do Brasil, disposto no artigo 1º da Constituição Federal e se aplica a todas as relações públicas ou privadas em que uma pessoa estiver envolvida. Toda atividade pública ou privada deve respeitar e proteger a dignidade da pessoa. A disseminação de dados pessoais tem sido intensa na sociedade contemporânea. Dados pessoais são utilizados por milhares de empresas em todo o mundo para viabilizar o acesso a produtos e serviços, em especial para consumo, educação, serviços bancários, financeiros, de crédito, seguros, assistência 135 GESTÃO DA SEGURANÇA DA INFORMAÇÃO médica, entretenimento, entre outros. Também os setores públicos coletam e utilizam dados pessoais como acontece com a receita federal, receita estadual e municipal, poder judiciário, polícias federal e estadual, serviços de expedição de documentos como cédula de identidade, carteira nacional de habilitação, expedição de passaportes, educação pública, unidades de atendimento do Sistema Único de Saúde (SUS), muitas outras situações em que os dados pessoais são indispensáveis para garantia do atendimento. Se é preciso utilizar dados pessoais em tantas situações diferentes, é importante contar com uma estrutura legal de proteção para coleta e tratamento de dados pessoais, para proteger seus titulares contra uso indevido por terceiro e contra os danos materiais e imateriais consequentes. A LGPD adotou princípios que terão de ser cumpridos pelas pessoas físicas ou jurídicas, públicas ou privadas, que realizarem tratamento de dados pessoais. Os princípios estão no artigo 6° da lei e são: • Boa-fé Determina que as partes deverão agir sempre com honestidade e transparência na realização de tratamento de dados pessoais para fins públicos ou privados. • Finalidade A utilização dos dados pessoais terá que ser feita sempre com propósitos legais, específicos e informados ao titular dos dados. Coletados os dados para uma finalidade específica não poderão ser utilizados para outra. Assim, quando a operadora de cartão de crédito coleta seus dados para a formalização do contrato de prestação de serviços, não poderá fornecê-los para uma companhia de seguros, que os utilizará para fornecer proposta de contratação de seguro de vida ou de automóvel. • Adequação Os dados coletados deverão ser tratados em conformidade com a finalidade para a qual foram obtidos. Novamente, aqui, fica vedada a obtenção para finalidade e uso inadequados. • Necessidade Os dados pessoais coletados deverão ser tratados de forma limitada ao mínimo necessário para que os objetivos sejam corretamente atingidos. Os dados pessoais solicitados deverão se limitar à quantidade mínima necessária para o cumprimento da finalidade a que eles se destinam. Por exemplo, é preciso saber o estado civil de alguém para contratar uma compra online parcelada? É preciso saber quantas pessoas moram com você para contratar os serviços de um cartão de crédito? Cada situação requer uma quantidade de dados pessoais e eles devem ser solicitados sempre tendo o mínimo como parâmetro, e não o máximo. Poderão ser coletados apenas os dados necessários para a operação pública ou privada que vai ser realizada, nada além disso se justifica. 136 Unidade III • Livre acesso Os titulares dos dados pessoais terão direito à consulta facilitada e gratuita de seus dados durante todo o período de sua utilização. A consulta poderáser à integralidade dos dados, ou seja, a todos os dados coletados pela pessoa natural ou jurídica, pública ou privada, ou pode ser parcial, por exemplo, referente apenas a última operação realizada com o banco ou com o cartão de crédito. A consulta de dados por parte dos titulares não poderá sofrer nenhum tipo de obstáculo desestimulante, por exemplo, demora no atendimento ou no envio da relação de dados solicitados, ou exigência de qualquer contrapartida. • Qualidade dos dados A lei obriga as pessoas naturais ou jurídicas, públicas ou privadas, que tratam dados pessoais, a garantir a exatidão, clareza, relevância e atualização dos dados, em conformidade com as necessidades e finalidades do tratamento. As pessoas físicas e jurídicas, públicas ou privadas, que utilizam dados pessoais, devem coletá-los de forma objetiva, exata, clara, e mantê-los atualizados para que nenhum resultado adverso atinja o titular dos dados apenas por falta de atualização ou clareza. Se uma pessoa deixa de pagar no prazo uma parcela de seu financiamento da casa própria e esse dado é coletado pelo agente financeiro, no momento exato em que o pagamento for feito, o agente deverá atualizar o cadastro de dados, para que nenhum prejuízo possa decorrer de um dado desatualizado. • Transparência Significa que os titulares dos dados pessoais deverão ter a garantia de que as informações disponíveis a seu respeito sejam claras, precisas e facilmente acessíveis para qualquer verificação necessária, sempre respeitados os segredos industriais e comerciais utilizados pelos organizadores da coleta e do tratamento de dados, ou seja, pelas pessoas físicas ou jurídicas, pública ou privada, que utilizam aqueles dados em suas atividades. A exigência da transparência não pode ser superior ao direito das pessoas físicas ou jurídica em relação a suas patentes de invenção ou de modelo de utilidade, ou, ainda, ao direito de proteção a suas fórmulas ou direitos autorais sobre programas de computação, entre outros expressamente protegidos por lei. O titular de dados pessoais tem direito a saber quais os dados que foram coletados a seu respeito, mas não tem o direito de saber como funciona o sistema de cadastro da pessoa natural ou jurídica que coletou seus dados e os tem sob sua guarda. Há limites para a informação que será fornecida aos titulares de dados pessoais, para proteger a atividade da pessoa natural ou jurídica, pública ou privada, que coleta e armazena os dados. • Segurança O titular de dados pessoais deve ter garantia, por parte daquele que coleta e utiliza os dados em todas as medidas técnicas e de gestão, de proteção dos dados pessoais; de não acesso por não autorizados e de prevenção em casos de acessos acidentais ou ilícitos que resultem na destruição, perda, alteração, comunicação ou difusão de dados de maneira indevida. Esse é o ponto principal para os gestores e profissionais de segurança da informação. Todas as pessoas naturais e jurídicas que operam com dados pessoais terão que comprovar a eficiência e eficácia de seus sistemas de segurança da informação e comprovar ainda que a governança e compliance que adotam são suficientes para impedir ataques 137 GESTÃO DA SEGURANÇA DA INFORMAÇÃO ou acesso indevido, ou, quando estes acontecerem, disporem de mecanismos para suportar os danos materiais e morais que afetarem o detentor dos dados pessoais. A segurança é questão fundamental para a LGPD e a implantação de sistemas de segurança da informação confiáveis será um intenso trabalho para pessoas naturais e jurídicas, públicas e privadas. • Prevenção Consiste na obrigatoriedade da adoção de medidas para prevenir qualquer fato ou ato que propicie danos aos titulares de dados pessoais. A prevenção é papel que deverá ser exercido pelos gestores de segurança da informação. Esse princípio da LGPD, aliado ao da transparência e segurança, demonstra claramente os objetivos da lei: regular o tratamento de dados por pessoas naturais e jurídica, públicas e privadas, não apenas para que existam regras de utilização, mas também para que a prevenção de danos decorrente de uso indevido de dados pessoais se torne obrigatória para todos que os utilizarem. É, sem dúvida, uma forma de responsabilizar quem utiliza dados pessoais em suas atividades, como também tornar mais seguro o compartilhamento de dados. Com isso, o Brasil avança no sentido de se tornar um país confiável para transações privadas e públicas que utilizem dados pessoas e se iguala a outros países do mundo. • Não discriminação A coleta de dados pessoais não pode ser realizada com finalidade discriminatória, por exemplo, para segregar raças, gêneros, hábitos alimentares, tipo físico, religiosidade, entre outros. O tratamento de dados não pode, de nenhuma forma, estimular práticas de discriminação • Responsabilização e prestação de contas O agente, pessoa natural ou jurídica, pública ou privada, que coleta e trata dados pessoais, tem de adotar todas as medidas legais e técnicas necessárias para a proteção desses dados e será responsabilizado, caso ocorram danos. Além disso, tem a obrigação legal de prestar contas de seus atos, sempre que solicitado pelo titular dos dados, como por autoridades com poderes para verificar a coleta e tratamento de dados pessoais. Os princípios são diretrizes obrigatórias para a organização da atividade de tratamento de dados pessoais, para proteger seus titulares e garantir a segurança de todos, ou seja, tanto das atividades econômicas desenvolvidas como da sociedade. É importante destacar que os princípios não são obstáculos para a efetividade das atividades econômicas e empresariais que utilizam dados pessoais. A expectativa é positiva, essas atividades continuarão sendo realizadas e em conformidade com a LGPD. É por isso que a segurança da informação será cada vez mais requisitada pelas pessoas naturais e jurídicas, públicas e privadas que usem dados pessoais em suas atividades. A lei é rigorosa ao exigir segurança, transparência e, principalmente, prevenção de problemas para os titulares que tenham fornecido seus dados pessoais. 138 Unidade III A LGPD regula dois importantes aspectos: os requisitos para tratamento de dados pessoais e a possibilidade de compartilhamento de dados. A LGPD estabeleceu que os dados pessoais só poderão ser tratados por uma pessoa natural ou jurídica, pública ou privada, em situações específicas: • Mediante o fornecimento de consentimento pelo titular dos dados. • Para o cumprimento de obrigação legal ou regulatória pelo controlador. • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. • Para a realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. • Para a execução, quando necessário, de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados pessoais, a pedido deste. • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem. • Para a proteção da vida ou da incolumidade física do titular ou de terceiros. • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou de autoridade sanitária. • Para atender, quando necessário, aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. • Para a proteção do crédito, em consonância com a legislação existente sobre o assunto. A utilização de dados pessoais fora dessas hipóteses estará em confronto com a legislação e poderá gerar a aplicação de sanções. Se provada a ocorrência de danos, o responsável é obrigado a arcar com sua indenização. Observação A LGPD limita o usoe manipulação dos dados pessoais ao mínimo necessário, visando à proteção desses dados e, definitivamente, dando plenos poderes de limitação de uso e concessão de acesso ao dono da informação, aumentando assim a importância da conscientização da população sobre a importância e segurança de seus dados pessoais. 139 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Em muitas situações da vida empresarial é necessário compartilhar dados pessoais de clientes. Nesses casos, a LGPD determina que o controlador que precisar comunicar ou compartilhar dados pessoais com outros controladores deverá ter o consentimento específico do titular para essa finalidade, salvos os casos em que a lei, expressamente, dispensa necessidade de consentimento. A LGPD estabelece também que o titular dos dados tem direito de saber sobre o compartilhamento e sua finalidade. Em quase todos os setores econômicos o compartilhamento de dados pessoais é feito de forma usual em muitas situações diferentes. Dados pessoais são compartilhados entre o banco e as operadoras de cartão de crédito para débito em conta corrente; entre os prestadores de serviços – médicos, hospitais, laboratórios de exames clínicos – e as operadoras de saúde; e, também entre empresas do mesmo grupo econômico para fins negociais, como a loja de departamentos e a agência de viagem do mesmo grupo. Em todas essas hipóteses o compartilhamento deverá ser autorizado expressamente e informado ao titular de dados pessoais. Existe previsão legal de que o titular seja informado e dê seu consentimento para a utilização de seus dados pessoais para finalidades previstas na lei. Mas, quando se tratar de compartilhamento de dados pessoais, o consentimento deve ser informado e específico. No preenchimento de documentos de autorização, em meio físico ou digital, a existência de dois campos específicos de consentimento poderá suprir o problema. Um campo para que o titular autorize o tratamento de dados pessoais e um campo específico para que ele autorize o compartilhamento de dados. A LGPD especifica direitos do titular de dados pessoais que deverão ser respeitados por todos os que trabalhem com tratamento de dados. O princípio que rege esse direito é o do livre acesso, o que significa que o titular de dados poderá requerer informações a respeito de seus dados pessoais sempre que desejar, sem precisar justificar as razões do pedido. Esse é, aliás, o direito mais importante que o titular de dados pessoais possui: acesso facilitado às informações sobre o tratamento de seus dados. As informações solicitadas pelo titular de dados pessoais deverão ser prestadas de forma clara, adequada e ostensiva sobre: • Finalidade específica do tratamento: objetivo que motivou o tratamento dos dados. • Forma e duração do tratamento, observados os segredos comercial e industrial: de que maneira esses dados serão tratados e durante quanto tempo. O responsável pelo tratamento poderá preservar os segredos comercial e industrial de sua atividade, porém, precisará informar que instrumentos utilizará para tratamento de dados. • Identificação do controlador: responsável pelas decisões. • Informações de contato do controlador: que forma de contato o titular de dados pessoais poderá ter com o controlador (acesso por telefone gratuito, como 0800; por endereço eletrônico; por aplicativo de mensagens entre outros meios devidamente informados para o titular de dados pessoais). 140 Unidade III • Informações acerca do uso compartilhado de dados pelo controlador e a finalidade: é preciso informar se haverá compartilhamento de dados, com quem e com qual finalidade. • Responsabilidades dos agentes que realizarão o tratamento: quem serão os responsáveis pelo tratamento dos dados pessoais. • Direitos do titular: a LGPD tem um artigo específico – artigo 18 – para tratar de direitos dos titulares de dados pessoais. Sempre que o titular de dados pessoais fizer contato com o controlador da empresa que trata seus dados pessoais, terá direito a receber informações sobre o conjunto de direitos elencados no artigo 18 da LGPD. O objetivo é que os agentes de dados da empresa – controlador e operador –, bem como todos aqueles que atuam na equipe, estejam aptos a fornecer informações corretas e a esclarecer sobre direitos do titular de dados pessoais. A resposta à consulta feita pelo titular de dados pessoais deverá confirmar ou negar a existência de dados pessoais e ser redigida de forma simples, clara e completa, que permita a imediata compreensão da origem dos dados pessoais, a finalidade do tratamento ou sua inexistência. A resposta deverá ser fornecida para o titular de dados no prazo máximo de 15 dias contados da data do requerimento do titular. Em caso de existência de dados, a resposta deverá especificar quais são os dados pessoais cadastrados. A falta de cumprimento desse prazo poderá ensejar aplicação de sanções, como multa, por isso é fundamental que as pessoas naturais ou jurídicas, públicas ou privadas, que operam com dados pessoais, estejam organizadas para que seus fluxos de gestão permitam atender corretamente o prazo fixado em lei. A informação solicitada pelo titular de dados pessoais poderá ser fornecida por meio eletrônico, seguro e idôneo para essa finalidade, ou na forma impressa. A escolha da forma da resposta será do responsável pelo tratamento de dados, sempre respeitados os limites de acessibilidade do titular de dados pessoais. Assim, se um titular de dados pessoais declarar expressamente que não possui acesso ao computador ou a um aparelho de celular conectado à rede mundial de computadores, o responsável pelo tratamento de dados não poderá fornecer informações por meio eletrônico, uma vez que o titular dos dados pessoais não conseguirá acessar a resposta. Nos casos em que o tratamento de dados pessoais tiver origem no consentimento do titular ou em um contrato, como ocorre nos contratos de seguros, planos de saúde ou bancos, o titular terá direito de solicitar cópia integral de seus dados pessoais, respeitados os segredos comercial e industrial que fundamentam a operação da empresa que utiliza os dados pessoais em sua atividade. O titular de dados pessoais poderá solicitar revisão de decisões tomadas com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive aquelas que criaram seu perfil pessoal, profissional, de consumo, de crédito ou de aspectos de sua personalidade, conforme determina o artigo 20 da LGPD. Assim, se uma empresa resolver não fornecer crédito com base em dados pessoais do titular e este tiver motivos para pedir a revisão da decisão, poderá fazê-lo 141 GESTÃO DA SEGURANÇA DA INFORMAÇÃO com a apresentação de argumentos ou de novos dados que levem à conclusão de que a decisão está equivocada. Muitas empresas, na atualidade, já utilizam o instrumento da inteligência artificial, que são programas de computadores que, a partir da análise dos dados disponíveis, definem características de grupos ou de pessoas. Esses programas analisam dados de consumo, de opção por entretenimento (viagens ou lazer), dados de crédito e bancários e criam perfis utilizados para novos produtos ou serviços, que serão oferecidos aos titulares dos dados pessoais, ou indicam opções que não devem ser oferecidas porque não são de interesse daquele grupo ou daquela pessoa em particular. Se o titular de dados pessoais tiver elementos que permitam solicitar a mudança do perfil automatizado, ele poderá solicitar que isso seja feito. Mas isso serve apenas para os perfis construídos de forma automatizada, por instrumentos semelhantes à inteligência artificial. O artigo 18 da LGPD determina que são direitos dos titulares de dados pessoais: • Confirmação da existência de tratamento de dados pessoais. • Acesso aos dados pessoais que estão sendo tratados. • Correção de dados incompletos, inexatos ou desatualizados. • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidadecom o disposto na LGPD. • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação que será criada pela autoridade nacional. • Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses em que a LGPD prevê a conservação dos dados (artigo 16). • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados. • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa. • Revogação do consentimento. É importante lembrar que o titular de dados pessoais tem direito a revogar seu consentimento e, se isso ocorrer, o contrato formalizado entre as partes poderá ser rescindido, caso os dados pessoais sejam essenciais para a correta formalização do instrumento contratual. 142 Unidade III Também, se o titular não quiser informar dados pessoais relevantes para a operação comercial ou, tendo informado, quiser revogar o consentimento, o contrato poderá ser rescindido de pleno direito. Nessas situações, no entanto, o operador de dados deverá demonstrar que os dados pessoais são essenciais para a concretização do contrato ou do negócio jurídico. Dados pessoais são essenciais para a formalização de muitos contratos como bancários, de financiamento, de seguros, de crédito pessoal, de cartão de crédito, com operadoras de planos de saúde, operadoras de saúde, serviços de internet, entre tantos outros. Por essa razão é importante que os agentes de tratamento de dados informem o titular dos dados pessoais sobre as consequências de não fornecer o consentimento para o tratamento. Em muitos contratos, a falta de fornecimento de dados pessoas inviabilizará a realização do contrato. Se concedida a autorização e depois revogada, ensejará a rescisão do contrato sem ônus para o fornecedor de produtos ou serviços, diante da inviabilidade de prosseguir com as obrigações oriundas do instrumento contratual sem os dados pessoais essenciais do titular e contratante. Outro aspecto importante, o titular dos dados pessoais não pode abusar de seu direito de pedir informações sobre os dados pessoais que estão sendo tratados. É uma hipótese típica do artigo 187 do Código Civil brasileiro, que determina que comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes. Se o titular de dados pessoais fizer grande número de consultas, de forma excessiva e claramente sem finalidade, poderá ser responsabilizado por seus atos com fundamento no disposto no Código Civil, por haver caracterizado a conduta abusiva no exercício de direitos. O pedido para acesso aos dados pessoais poderá ser feito pelo próprio titular ou por um representante legalmente autorizado. O requerimento feito pelo titular de dados pessoais ou por seu representante legal não poderá ser objeto de cobrança de nenhum valor, e, exatamente por isso, não poderá ser solicitado de forma excessiva ou sem finalidade justificada. Caso o pedido para verificação de dados não seja atendido de imediato pelos agentes de tratamento de dados, o titular de dados pessoais ou seu representante legal poderão comunicar o fato à Autoridade Nacional de Proteção de Dados (ANPD) ou aos órgãos de proteção e defesa do consumidor pertencentes ao Sistema Nacional de Direito do Consumidor (SNDC), do Ministério da Justiça. A LGPD determina que o controlador e o operador designados pela pessoa natural ou jurídica, de direito público ou privado, deverão manter registro das operações de tratamento de dados pessoais que realizarem, principalmente quando esse tratamento for fundamentado em legítimo interesse, como ocorre com os setores empresariais – bancos, financeiras, seguradoras, operadoras de saúde, hospitais, clínicas, laboratórios de exames –, que precisam manter dados pessoais arquivados para cumprimento de disposições das leis que regem suas atividades e de seus órgãos reguladores (Banco Central, Superintendência de Seguros Privados, Agência Nacional de Saúde Suplementar, Agência Nacional de Vigilância Sanitária, entre outros). 143 GESTÃO DA SEGURANÇA DA INFORMAÇÃO As atividades de controlador e operador poderão ser objeto de relatório solicitado pela ANPD, inclusive em relação a dados sensíveis, e o relatório deverá conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Sendo necessárias, outras informações poderão ser solicitadas pela ANPD no exercício de sua atividade regulamentadora e fiscalizadora. O operador de tratamento de dados pessoais é a pessoa encarregada de realizar o tratamento em conformidade com as instruções do controlador, por essa razão, cabe ao próprio controlador verificar se suas instruções estão sendo cumpridas corretamente e, principalmente, se estão adequadas ao que determina a legislação. O controlador também tem a responsabilidade de indicar quem será o encarregado pelo tratamento de dados pessoais e de fornecer os dados sobre sua identidade e todas as informações para que seja possível o contato de forma pública, preferencialmente pelo site do controlador. Pela LGPD, as principais atividades do encarregado são: • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências. • Receber comunicações da autoridade nacional e adotar providências. • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. • Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares que venham a ser criadas principalmente pela ANPD. A atividade do controlador e encarregado poderão gerar responsabilidades e, consequentemente, a obrigação de reparar danos materiais e imateriais de que forem vítimas os titulares de dados pessoais. As duas principais causas de danos para tratamento de dados pessoais são: • Deixar de observar as determinações da Lei Geral de Proteção de Dados. • Tratar dados sem segurança técnica adequada para a finalidade a que se destina. Os agentes de tratamento de dados pessoais ou qualquer outra pessoa autorizada por eles que seja responsável por tratamento de dados pessoais têm a obrigação de garantir a segurança da informação em todas as fases, o que inclui responsabilidade mesmo após o término da finalidade que dava sustentação ao tratamento. 144 Unidade III O operador responderá solidariamente pelos danos que causar aos titulares de dados pessoais nos casos em que comprovadamente não cumprir as determinações da lei ou as instruções do controlador. O controlador, por sua vez, responderá solidariamente com operador quando estiverem diretamente envolvidos no tratamento de dados do qual resultaram danos para o titular. Responsabilidade solidária é um instituto de direito civil que determina que todos os responsáveis por uma obrigação respondem juntos por ela, sem divisão em relação ao credor; quando um deles quitar integralmente terá direito de se ressarcir dos demais devedores solidários em relação às suas cota-partes. Assim, se o prejuízo for no valor de 10 mil reais, controlador e agente serão responsáveis perante o titular de dados prejudicado por esse valor integral. Se o controlador efetuar o pagamento, terá direito de se ressarcir cinco mil reais em relação ao agente. O titular de dados pessoais terá em seu benefício o instituto da inversão do ônus da prova, previsto expressamente em favor do consumidor no Código de Defesa do Consumidor, que já foi estudado neste trabalho. É importante observar que não haverá responsabilidade em todas as situações comprovadas em que os agentes: • não realizaram o tratamento de dados pessoais que lhes foi atribuído;• tenham realizado o tratamento de dados pessoais, mas não ficar comprovada a violação da LGPD; • não tenham nenhum relacionamento com o dano alegado pelo titular de dados pessoais, que decorre da ação exclusiva do titular ou de terceiros. Por exemplo, quando uma pessoa próxima do titular de dados, um amigo ou um parente, utiliza indevidamente seus dados pessoais. A segurança no tratamento de dados pessoais é ponto fundamental para que não ocorram hipóteses de responsabilidade a ser reparada por danos causados ao titular dos dados. Todos os dispositivos de segurança técnica deverão ser utilizados com a finalidade de proteger o tratamento de dados contra vazamento e outras possibilidades que causem prejuízos aos titulares. Nesse aspecto, a atividade do gestor de segurança da informação é essencial e, quanto melhor preparado estiver esse profissional, melhor será o trabalho de todos, especialmente dos agentes de tratamento de dados pessoais. Esse é um ponto fundamental para a compreensão, porque os riscos para as pessoas físicas ou jurídicas, públicas ou privadas, que tratam dados pessoais têm aumentado muito nos últimos anos. 145 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Saiba mais Acompanhe as notícias mais recentes sobre vazamento de dados de usuário de grandes empresas, como ocorreu com usuários do Facebook. Vazaram fotos, vídeos, informações sobre amigos, músicas, reservas de voos e hotéis, entre outros dados importantes. Veja mais em: G1. 540 milhões de dados de usuários do Facebook ficam expostos em servidores da Amazon. G1, 4 abr. 2019. Disponível em: https://glo.bo/3cbjbD3. Acesso em: 1º jun. 2021. A LGPD determina que os agentes de tratamento – controlador e operador – deverão adotar as medidas de segurança, técnicas e administrativas aptas para proteger os dados pessoais de: • acessos não autorizados; • situações acidentais ou ilícitas que possam causar destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito. Para tornar o tratamento de dados pessoais seguro para os titulares e agentes de tratamento, a ANPD poderá determinar padrões técnicos mínimos aplicáveis à natureza das informações tratadas, em especial com relação aos dados pessoais sensíveis. O controlador de tratamento de dados pessoais está obrigado por lei a comunicar à ANPD e ao titular dos dados pessoais todo o incidente de insegurança que potencialmente possa causar riscos ou danos relevantes aos titulares. Essa hipótese será aplicada apenas nos casos em que os riscos ou danos sejam relevantes, como acontecerá nos casos de vazamentos de dados ou de acesso indevido feito por pessoas não autorizadas. A LGPD determina que a comunicação deverá ser feita em um prazo razoável e, embora não haja estipulação do prazo em dias ou horas, é possível interpretar que esse prazo deverá ser estabelecido para cada situação concreta e aplicado sempre com critério de maior brevidade possível para transmissão da informação. Não é recomendável que o prazo seja tão curto que a informação não seja confirmada nem tão longo que não seja mais possível tomar providências de gerenciamento de crise e prevenção de extensão de danos. Os agentes de tratamento de dados, ao prestarem informação a ANPD e ao titular dos dados pessoais sobre situações de risco ou de danos, serão obrigados a reportar os seguintes dados: 146 Unidade III • a descrição da natureza dos dados pessoais afetados; • as informações sobre os titulares envolvidos; • a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; • os riscos relacionados ao incidente; • os motivos da demora, no caso de a comunicação não ter sido imediata; • as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Ao ter conhecimento da informação sobre riscos, a ANPD deverá avaliar a gravidade do fato ocorrido levando em conta as medidas técnicas que tenham sido adotadas para tornar os dados ininteligíveis para terceiros não autorizados ao tratamento. Após a avaliação técnica, a ANPD poderá determinar as seguintes providências: • ampla divulgação do fato em meios de comunicação; • medidas para reverter ou mitigar os efeitos do incidente. A divulgação em meios de comunicação de grande circulação de riscos de vazamento de dados pessoais ou de acesso indevido ou as notícias publicadas a esse respeito representarão, quase sempre, forte abalo à reputação da empresa que for obrigada a adotar essas medidas. Em áreas como bancos, cartões de crédito, financeiras, seguros, operadoras de saúde, laboratórios de exames clínicos, hospitais, escolas, universidades, clínicas médicas, entre outros, o abalo reputacional provocará impacto negativo no vínculo de confiança, que é imprescindível para que o contratante escolha aquela empresa para contratar ou fazer negócios. Evitar os riscos aos dados pessoais é uma estratégia que todas as empresas devem adotar com especial atenção e cuidado. Para que o objetivo seja atingido, LGPD determinou que regras para boas práticas e governança são imprescindíveis para os controladores e operadores de dados pessoais. As boas práticas e a governança terão regras construídas a partir da avaliação da natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos, e dos benefícios decorrentes de tratamento de dados do titular. A lei determina que as regras de boas práticas e de governança deverão estabelecer, entre outros aspectos ao tratamento de dados pessoais: 147 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • condições de organização; • regime de funcionamento, procedimentos, incluindo reclamações e petições de titulares; • normas de segurança; • padrões técnicos; • obrigações específicas para os diversos envolvidos no tratamento; • ações educativas adotadas para os funcionários e prestadores de serviços das pessoas naturais ou jurídicas, públicas ou privadas, que utilizem tratamento de dados pessoais em suas atividades; • mecanismos internos de supervisão e de mitigação de riscos. O controlador de dados pessoais avaliará a estrutura, escala e volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos riscos que poderão ser causados aos titulares de dados pessoais, para: • Implementar programa de governança em privacidade. • Demonstrar a efetividade de seu programa de governança em privacidade a pedido da ANPD ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da LGPD. As regras adotadas pela empresa para boas práticas e governança na área de proteção de dados pessoais deverão ser publicadas e atualizadas periodicamente; a ANPD poderá reconhecê-las e divulgá-las quando necessário. A LGPD determina que, em razão das infrações cometidas por falta de cumprimento da lei, os agentes de tratamento de dados pessoais ficarão sujeitos a sanções, que poderão ser: • Advertência: com indicação de prazo para adoção de medidas corretivas. • Multa simples: de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração. • Multa diária: observado o limite total de 50 milhões de reais. • Publicização da infração: após devidamente apurada e confirmada a sua ocorrência. • Bloqueio dos dados pessoais: até a regularização. • Eliminação dos dados pessoais: somente os que tiverem sido a causa da infração. 148 Unidade III A ANPD promoverá processo administrativo para garantir a ampla defesa dos agentes de tratamento de dados pessoais, somente após a decisão do processo administrativo serão aplicadas as sanções, de forma gradativa, isolada ou cumulativa e de acordo com as particularidades de cada caso concreto. Para a fixação da sanção serão levados em conta, obrigatoriamente,
Compartilhar