Um CISO ou CSO pode assumir a função de um DPO na LGPD_ Security Information News

Prévia do material em texto

25/07/2020 Um CISO ou CSO pode assumir a função de um DPO na LGPD? – Security Information News
https://securityinformationnews.com/2019/11/01/um-ciso-ou-cso-pode-assumir-a-funcao-de-um-dpo-na-lgpd/ 1/6
Security Information News
O seu BLOG sobre noticias e dicas sobre Segurança da Informação
NOTICIAS
Um CISO ou CSO pode assumir a função de
um DPO na LGPD?
Data: novembro 1, 2019 Autor: anrodrigues13 0 Comentários�
https://securityinformationnews.com/
https://securityinformationnews.com/category/noticias/
https://securityinformationnews.com/2019/11/01/um-ciso-ou-cso-pode-assumir-a-funcao-de-um-dpo-na-lgpd/
https://securityinformationnews.com/author/anrodrigues13/
25/07/2020 Um CISO ou CSO pode assumir a função de um DPO na LGPD? – Security Information News
https://securityinformationnews.com/2019/11/01/um-ciso-ou-cso-pode-assumir-a-funcao-de-um-dpo-na-lgpd/ 2/6
Um CISO ou CSO pode assumir a função de um DPO na LGPD? A LGPD – Lei Geral de Proteção
de Dados brasileira, é a lei 13.709 de 14 de agosto de 2018 sancionada pelo então presidente Michel
Temer. A lei que define regras para a proteção de dados pessoais espelhando-se na Regulamento
Geral de Proteção de Dados (GDPR) da União Europeia que foi instituído em 25 de maio de 2018
para decidir sobre como as empresas e entidades devem abordar e garantir a proteção de dados
pessoais.
Mais especificamente, a LGPD, assim como GDPR, é um conjunto de diretrizes sobre como as
empresas devem gerenciar seus cenários de TI, equipe, parceiros e processos operacionais, a fim de
garantir a segurança, confidencialidade, integridade e privacidade de qualquer dados que possua (por
si só ou quando cruzado) referenciado como dados privados, pessoais ou pessoais sensíveis.
Sobre dados pessoais
Vamos fazer uma parada aqui para esclarecer melhor o que “dados pessoais” significa na LGPD,
porque o conceito é mais abrangente do que os chamados “Informações Individuais Pessoais” –
 Personal Individual Information (PII), conforme definido no Escudo de Privacidade:
A placa do seu carro é um dado pessoal sob o LGPD/GDPR. Por quê? Como existem
repositórios acessíveis em que outros dados, quando comparados com a placa do carro, podem
ser usados para identificá-lo de forma inequívoca.
O ID do seu dispositivo móvel também é um dado pessoal no LGPD/GDPR Por que? Como nos
registros das redes móveis, esse ID do dispositivo terá um endereço IP associado (estático ou
dinâmico) que, por sua vez, está vinculado ao seu nome, endereço, número da conta bancária etc.
no repositório de dados digitais da operadora de telecomunicações.
Sua fotografia pode permitir que terceiros o identifiquem inequivocamente, mesmo sem
nenhuma referência cruzada, portanto, também é dado pessoal.
CPF, RG e numero de conta bancária são considerados dados pessoais, enquanto cor de pele,
religião, opções sexuais, etnia e biometiras, são considerados dados pessoais sensíveis, pois
qualificam a pessoa a qual está relacionada.
Portanto, não é mais apenas o seu RG, CPF, número da conta bancária ou nome e endereço; é tudo e
qualquer coisa que pode identificá-lo ou ualificá-lo.
Aplicabilidade da LGPD
As empresas e entidades estabelecidas na União Europeia devem observar o GDPR em relação a
qualquer titular de dados de qualquer região geográfica, enquanto as empresas estabelecidas fora da
União Europeia devem observar o GDPR em relação aos residentes da União Europeia,
independentemente de sua nacionalidade. De forma similar é definido na LGPD, mas embora a
LGPD defina regras para transferência internacional de dados privados, ela não menciona o
tratamento dos dados fora do país, como a GDPR o faz.
Portanto vamos nos limitar neste estudo a considerar os aspectos nacionais da LGPD e suas
consequências nas empresas.
O Oficial de Proteção de Dados (DPO)
https://minutodaseguranca.blog.br/presidente-temer-sanciona-lei-de-protecao-de-dados-pessoais/
25/07/2020 Um CISO ou CSO pode assumir a função de um DPO na LGPD? – Security Information News
https://securityinformationnews.com/2019/11/01/um-ciso-ou-cso-pode-assumir-a-funcao-de-um-dpo-na-lgpd/ 3/6
A LGPD define a obrigação das empresas / entidades de nomear um Encarregado pelo Tratamento
de Dados Pessoais, comumente chamado Diretor de Proteção de Dados (DPO), se planejarem
realizar atividades de tratamento de dados pessoais (coleta, armazenamento, processamento ou
compartilhamento) atuando na função de Controlador (pessoa natural ou jurídica, de direito público
ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais).
A função de DPO é definida no Art 41, bem como menciona que ele deverá ser anunciado
publicamente e estabelece as suas atividades básicas:
Do Encarregado pelo Tratamento de Dados Pessoais
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas
publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem
tomadas em relação à proteção
de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas
complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as
atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação,
conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
CISO, CSO e DPO
Para efeito de nosso estudo, vamos considerar CISO como a função responsável por Segurança de TI
(a parte operacional de segurança como o controle de acesso e implementação de controles de
firewall e outras tarefas operacionais) e CSO como Segurança da Informação, onde a
responsabilidade recai sobre políticas, compliance de segurança, monitoração, estratégia e outras
atividades focadas em governança .
De fato, quando analisamos o papel do DPO podemos dizer que é muito similar ao papel de uso
CISO ou CSO, sendo um ponto essencial para a conformidade corporativa com a LGPD e, em
alguns casos, um requisito legal.
A LGPD não afirma especificamente se a pessoa que desempenha a função de DPO pode ou não ter
outras responsabilidades dentro da empresa. No entanto, precisamos analisar se a função de DPO e
CISO ou CSO não constituem conflito de interesses para garantir que o LGPD seja observado.
Uma diferença significativa em comparação com o papel do CISO ou CSO é que o DPO deve se
reportar exclusivamente à posição hierárquica mais alta da organização e nunca à gerência
intermediária ou sênior, isso pode implicar em conflito de interesses.
Haveria conflito de interesses entre a proteção de dados e o
CISO?
25/07/2020 Um CISO ou CSO pode assumir a função de um DPO na LGPD? – Security Information News
https://securityinformationnews.com/2019/11/01/um-ciso-ou-cso-pode-assumir-a-funcao-de-um-dpo-na-lgpd/ 4/6
Então: Um CISO ou CSO pode assumir a função de um DPO na LGPD?
Para entender se um CISO pode assumir o papel de DPO na mesma empresa, precisamos entender as
tarefas e deveres de ambos os perfis e avaliar se há conflitos de interesse que possam comprometer a
garantia exigida da Proteção de Dados Pessoais.
Ambos os papéis parecem semelhantes e complementares, o que sugere que o CISO ou CSO pode,
com algum treinamento e educação adicional, assumir o papel de DPO.
CISO ou CSO pode acumular a função de DPO?
Para evitar conflitos de interesse, a GDPR determina que o DPO deve se reportar diretamente ao
Conselho de Administração ou COO / CEO da empresa e não a quaisquer cargos de gerência média
ou sênior.
A LGPD não determina tal nível hierárquico e deixa aberto para as empresas a definição de onde
está posição deveráestar localizada na estrutura organizacional.
Tradicionalmente, o CISO se reporta ao CIO, que então se reportará ao CEO (outra parte interessada
da organização), em instituições financeira, no Brasil, é obrigatório que a posição de segurança da
informação esteja fora da TI, assim além da função do CISO acumulando todas as funções de
segurança (operacionais e governança), pode haver outros dois modelos :
1. CISO reportando a TI + o CSO reportando fora da TI;
2. CISO/CSO acumulando atividades operacionais e de governança reportando fora da TI.
A diferença entre este dois modelos é que no modelo 1 a parte operacional de Segurança fica dentro
da TI, enquanto as atribuições relativas a política, “compliance de si”, monitoração e estratégia
ficam fora, criando assim um fator feito / conferido. Já no modelo 2 tanto a parte operacional como
de governança ficam em uma área fora de TI.
Desta forma, se um CISO acumular a função de DPO e ele estiver reportando-se dentro da TI isso
constitui um claro conflito de interesses para a função de DPO, porém se a função de CISO estiver
fora da TI, reportando-se ao CEO / COO não teríamos o mesmo conflito.
Essa medida criaria um conflito, pois permitiria ao CISO decidir quais investimentos são necessários
e resolver quaisquer problemas de segurança digital que existam ou possam surgir ao mesmo tempo
que estaria atuando na parte operacional da empresa. Portanto, principal conflito de interesses deriva
do papel operacional específico do CISO.
Conforme descrevemos, se a função de segurança for bipartida entre CISO e CSO (modelo 1),
poderíamos ter o CSO atuando como DPO sem conflitos pois a sua função, pois assim como o DPO
o CSO estaria auditando as diretrizes corporativas para garantir a conformidade com a LGPD .
Para esclarecer, o CISO, conforme definição utilizada aqui, define as ações técnicas a serem
adotadas para garantir a segurança dos ativos e dados corporativos de TI, e isso pode ser
contraditório com a segurança dos dados pessoais, a privacidade e a garantia de confidencialidade.
De fato, o DPO estará auditando ativamente os conselhos, decisões e políticas do CISO, bem como
de todos os outros departamentos, da mesma forma que o CSO realiza nos dias de hoje, a diferença é
que se o CSO acumular a função de DPO a sua atuação seria expandida para cobrir todos os aspectos
25/07/2020 Um CISO ou CSO pode assumir a função de um DPO na LGPD? – Security Information News
https://securityinformationnews.com/2019/11/01/um-ciso-ou-cso-pode-assumir-a-funcao-de-um-dpo-na-lgpd/ 5/6
de privacidade dentro da empresa e não somente as questões técnicas de controles. compliance e
segregações de funções.
“O CSO na função de Segurança Informação, sem as atribuições operacionais de segurança,
poderia acumular a função de DPO”
Na GDPR já houveram vários casos em que as autoridades de supervisão penalizaram as empresas
por esse tipo de organização conflituosa. Por exemplo, a Autoridade de Proteção de Dados da
Baviera penalizou uma empresa por ter seu gerente de TI atuando como DPO porque foi entendido
como um conflito de interesses. A Autoridade afirmou que o gerente de TI estava essencialmente se
auto-monitorando, negando a independência obrigatória, enquanto atuava como DPO da empresa.
O mesmo conceito e experiência pode ser considerada quando falamos de LGPD.
Conclusão
Assim, o CISO , em sua função operacional deve atuar como uma função de suporte ao DPO, ao
CIO, ao departamento jurídico e o gerente de cada departamento. Atuando de forma operacional na
segurança, o CISO não deve desempenhar simultaneamente a função de DPO.
No entanto, o CSO na função de Segurança Informação, sem as atribuições operacionais de
segurança, poderia acumular a função de DPO naturalmente, devido a seus conhecimentos.
Em sua trajetória funcional o CSO acostumou-se a tratar temas de compliance, privacidade e
regulamentações em sua função cotidiana, por isto outra possibilidade é o que possamos considerar a
migração de um CSO para a função de DPO de forma natural.
Por isto, considero mais natural um CSO migrar para DPO do que um advogado ou qualquer outra
função, que em sua trajetória não teve nenhum contato ou necessidade de atuar com as decisões que
envolvem diversas tecnologias, possibilidades de controles ou mesmo investigações forenses, o que
certamente é algo bastante complexo para ser absorvido rapidamente por pessoas que nunca tiveram
contato com isto.
Por : Kleber Melo (Sócio Consultor da MindSec Segurança e Tecnologia da Informação e redator
proprietário do Blog Minuto da Segurança)
Publicado por anrodrigues13
André Nogueira, 39 anos, casado, paulista, 13 anos de experiência em Segurança da Informação.
Criei esse blog com o objetivo de divulgar a área de Segurança da Informação em forma de notícias,
vídeos, dicas e artigos. O site é dedicado desde os leitores mais interessados até os leitores
certificados do assunto. O Blog abrange a todos pois é um resumo das notícias de várias mídias
fidedignas e alguns artigos são escritos também pelo autor. Assine o Newsletter do Blog para receber
25/07/2020 Um CISO ou CSO pode assumir a função de um DPO na LGPD? – Security Information News
https://securityinformationnews.com/2019/11/01/um-ciso-ou-cso-pode-assumir-a-funcao-de-um-dpo-na-lgpd/ 6/6
no seu e-mail todos os posts diários. Favorite no seu navegador preferido. Comente a vontade. Seja
curioso! Curta a fanpage no Facebook Contatos: Email: anrodrigues13@yahoo.com.br Facebook:
https://www.facebook.com/andre.nogueira.9085 Linkedin: br.linkedin.com/pub/andré-nogueira-
rodrigues/21/927/645/ Ver todos os posts por anrodrigues13
© 2020 SECURITY INFORMATION NEWS
BLOG NO WORDPRESS.COM.
https://securityinformationnews.com/author/anrodrigues13/
https://securityinformationnews.com/
https://wordpress.com/?ref=footer_blog