M3 Medidas de Segurança no Tratamento dos Dados Pessoais

Prévia do material em texto

Proteção de Dados
Pessoais no Serviço
Público
Medidas de Segurança
no Tratamento dos Dados
Pessoais 3
Módulo
Enap Fundação Escola Nacional de Administração Pública 2
Enap, 2020
Enap Escola Nacional de Administração Pública
Diretoria de Educação Continuada
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Presidente
Diogo Godinho Ramos Costa
Diretor de Desenvolvimento Profissional
Paulo Marques
Coordenador-Geral de Educação a Distância
Carlos Eduardo dos Santos
Conteudista/s
Julierme Rodrigues da Silva (conteudista, 2019)
Curso produzido em Brasília 2019.
Enap Fundação Escola Nacional de Administração Pública 3
1. Aspectos Legais sobre as Medidas de Segurança............................ 5
2. Medidas e Controles de Segurança para os Ativos.......................... 9
Sumário
Enap Fundação Escola Nacional de Administração Pública 4
Enap Fundação Escola Nacional de Administração Pública 5
1. Aspectos Legais sobre as Medidas de Segurança
Privacidade Desde a Concepção
Por que temos e precisamos de uma legislação voltada à proteção de dados
Quase todos os aspectos da nossa vida giram atualmente em torno de dados.
*Vanda Scartezini
03/11/2019 às 20h15
Foto: Shutterstock
O texto também poderá ser acessado no link <https://www.itforum365.com.br/por-que-temose-
precisamos-de-uma-legislacao-voltada-a-protecao-de-dados/" target="_blank">https://www.
itforum365.com.br/por-que-temos-e-precisamos-de-uma-legislacao-voltada-a-protecao-dedados/>
Quase todos os aspectos da nossa vida giram, atualmente, em torno de dados - não resta dúvida
de que somos cada vez mais cidadãos digitais. Esta realidade é fruto da abrangência imposta
pela Internet, que consegue disseminar e processar informações de todos os níveis e, dentre
elas, dados pessoais que circulam na mídia. Sem dúvida, a facilidade de obtenção desses dados Módulo
Medidas de Segurança no
Tratamento dos Dados Pessoais 3
Enap Fundação Escola Nacional de Administração Pública 6
fez com que um mercado voltado para sua disponibilização crescesse de forma geométrica,
viabilizando o acesso a todos e se tornando um ativo de alto valor.
Curiosamente, as empresas que negociam dados o fazem sem a autorização dos seus donos, que
apesar de oferecerem de forma gratuita e espontânea informações sobre quem são, o que fazem
e quais suas preferências de todas as espécies, muitas vezes não têm conhecimento do destino
desses dados.
Sim, somos nós mesmos que oferecemos livre e gratuitamente essas informações, que são então
decupadas e transformadas em negócios a serem oferecidos a grandes grupos empresariais de
vários segmentos. Com esses dados e a partir dos perfis evidenciados, as companhias conseguem
construir um marketing dirigido àquelas pessoas devidamente identificadas e isso tem imenso
valor.
Sentimo-nos diariamente invadidos com ofertas de produtos para emagrecer, cursos no exterior,
restaurantes diferentes. Nos perguntamos quem instruiu esses grupos a nos enviarem essas
mensagens, muitas vezes sem entender que este comportamento destemido nos coloca no
centro de um negócio que envolve milhões de reais e nos desnuda de forma absoluta e sem a
nossa autorização.
É, sem dúvida, mais que necessário aceitar o entendimento de que “Os dados pessoais estão
se tornando em uma nova classe de ativos econômicos, um recurso valioso para o século XXI,
que vai tocar todos os aspectos da sociedade” (World Economic Forum, 2011). Esta é a razão
para a promulgação da Lei Geral de Proteção de Dados (LGPD, Lei n° 13.709/2018, publicada
em 15/08/2018), que entrará em vigor em agosto de 2020. Passado mais de um ano de sua
publicação, ainda se vê, fora no âmbito dos advogados, pouco entendimento a respeito da
importância dessa legislação e preparo das empresas para enfrentar suas demandas.
O impacto que ela trará no mundo dos negócios, sejam eles físicos ou online, será incalculável, já
que o seu principal objetivo é ordenar as regras para a proteção e qualquer forma de divulgação
dos dados pessoais disponibilizados na internet para minimizar os grandes vazamentos de
informações e escândalos que envolvem, exata e justamente, o seu uso indevido.
O conhecimento da lei impõe uma mudança da cultura corporativa que deve começar no nível
estratégico. Em primeiro lugar, a alta administração precisa observar as advertências nela
contidas e determinar que seja estruturada uma mudança tática, adequando os processos da
empresa à lei. Para isso, é necessário envolver as áreas de Marketing, Pessoal, TI e Jurídica,
de forma a construir uma linguagem aderente às suas necessidades para, finalmente, iniciar a
operacionalização dos procedimentos que devem ser implantados para se manter em compliance
e assegurar a proteção e cautela no tratamento de dados pessoais.
A LGPD, que tem como inspiração o Regulamento Geral sobre a Proteção de Dados (norma
europeia que entrou em vigor em maio de 2018, também conhecida como GDPR), nasce e
propõe em seu texto maneiras de lidar com dados pessoais, disciplinando como os coletamos,
armazenamos, processamos e utilizamos e introduzindo mudanças que deverão transformar
radicalmente a abordagem da privacidade por parte de indivíduos, empresas e entes públicos.
Enap Fundação Escola Nacional de Administração Pública 7
A realidade é que o desenvolvimento da economia digital no Brasil vem se tornando cada
vez mais efetivo, especialmente quando utilizamos a tecnologia para implementar atividades
cotidianas e projetos em nossas cidades (com o intuito de facilitar a vida dos cidadãos), disseminar
conhecimento e viabilizar e expandir áreas de negócios, na medida em que permite o seu acesso
a partir de um mero toque numa tecla de um computador.
Assim, a promulgação da LGPD e sua vigência a partir de 2020 trará uma ferramenta legal e
fundamental para viabilizar a realidade acima mencionada, buscando proteger os direitos do
cidadão em um ambiente regulamentado que ajude as empresas a inovarem, vindo substituir e/
ou complementar uma estrutura regulatória setorial já existente. Todavia, é importante registrar
que como sua entrada em vigor acarretará em uma cultura disruptiva dentro da organização, sua
implementação não se restringe ao conhecimento dos seus dispositivos, de forma que a empresa
precisará acionar áreas, além da Legal, para a adequação dos processos internos existentes,
como as Compliance e de Segurança Tecnológica.
Uma vez identificada a necessidade de ajustes internos, deverão ser estruturados os processos
de acompanhamento e cumprimento das adequações, assim como criados mecanismos de
estabilização dos critérios de segurança dos dados armazenados - o titular desses dados será o
grande protagonista desta ruptura estrutural, já que a LGPD lhe permite total controle sobre a
forma de tratamento e destinação dos seus dados pessoais.
A partir de agora, restam 10 meses para as empresas que ainda não tomaram providencias se
adequarem e adaptarem à lei. O não cumprimento dessas obrigações pode acarretar em multas
altíssimas que podem chegar a milhões de reais por infração, dentre outras listadas no texto
legal.
A LGPD se aplica a todos os setores da economia e possui aplicação extraterritorial - ou seja, toda
empresa que tiver negócios no país deve se adequar a ela, sendo fundamental reestruturar suas
práticas internas e aplicar o conceito de Privacy by Design às suas estruturas tecnológicas, ao
modelo de negócio e à infraestrutura física, abordando a proteção de dados pessoais coletados,
por diversos motivos, desde a concepção do produto ou sistema. Assim, a privacidade estará
presente na própria arquitetura do projeto, permitindo que o próprio usuário seja capaz de
preservar e gerenciar a coleta e o tratamento de seus dados pessoais.
*Por Vanda Scartezini é conselheira da ABES (Associação Brasileira das Empresas de Software) e
coordenadora do Think Tank Brasil 2022
Alguma vez você se perguntou o que acontece com os dados pessoais que são informados para
as instituições públicas? Esses dados deveriam ser protegidos? Se esses dados pessoais deveriamser protegidos, então é necessário compreender sobre proteção desde a concepção da solução,
serviço ou projeto que usará esses dados.
Diante desses questionamentos, trataremos da importância da temática privacidade de dados,
partindo da concepção do produto ou serviço que tratará os dados pessoais. Estudaremos, ainda,
uma abordagem para identificar medidas e controles de segurança a serem aplicados sobre os
ativos organizacionais, propiciando a proteção dos dados.
Enap Fundação Escola Nacional de Administração Pública 8
Os agentes de tratamento, controlador (LGPD, art. 5º, VI) e operador (LGPD, art. 5º, VI), ou
qualquer outra pessoa ou ente que participe das fases do ciclo de vida de tratamento dos dados
pessoais desempenham papel imprescindível no sentido de assegurar a segurança informação
para proteção dos dados pessoais.
Conforme trata a Lei Geral de Proteção de Dados Pessoais – LGPD, no Art. 5º:
[...] VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador [...]
Por exemplo, ao realizar operação de tratamento de dados pessoais em nome do controlador,
o operador deve adotar medidas a fim de propiciar o processamento seguro desses dados.
Isso também se aplica às pessoas que, ao coletarem ou acessarem dados pessoais de outros
indivíduos, devem fazê-lo de forma a impedir vazamentos ou uso indevido. O controlador, por
sua vez, deve exercer sua competência de tomar decisões referentes ao tratamento de dados
pessoais, inclusive relacionadas com diretrizes de segurança.
De acordo com o previsto no caput do artigo 46 da LGPD, a proteção dos dados pessoais é
alcançada por meio de medidas de segurança, técnicas e administrativas.
Artigo 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer
forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar
aplicável o disposto no caput deste artigo, considerados a natureza das informações
tratadas, as características específicas do tratamento e o estado atual da tecnologia,
especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos
no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase
de concepção do produto ou do serviço até a sua execução.
Enap Fundação Escola Nacional de Administração Pública 9
Perceba que o parágrafo 2º do artigo 46 determina que as medidas de segurança, técnicas e
administrativas para proteção de dados pessoais sejam observadas desde a fase de concepção
do produto ou do serviço até a sua execução. Isso apresenta um conceito fundamental para a
proteção da privacidade dos dados pessoais, denominado Privacidade desde a Concepção (do
inglês Privacy by Design).
Destaque h, h,
O conceito de Privacidade desde a Concepção (Privacy by Design) significa
que a privacidade e a proteção de dados devem ser consideradas desde a
concepção e durante todo o ciclo de vida do projeto, sistema, serviço, produto
ou processo.
Saiba mais
Para saber mais sobre Privacy by Design, leia o documento “Os 7 princípios
fundamentais do Privacy by Design”: https://blog.idwall.co/privacy-by-designprincipios-
fundamentais/.
2. Medidas e Controles de Segurança para os Ativos
A abordagem para identificar as medidas e controles de segurança a serem aplicados sobre os
ativos organizacionais, ou seja, nos documentos e registros da organização, ocorre em etapas:
• Mapeamento das medidas e dos controles de segurança.
• Medidas de segurança.
• Controle de segurança.
Vamos agora conhecer melhor cada uma delas
Mapeamento das Medidas e dos Controles de Segurança
Importante
A abordagem para identificação das medidas e controles de segurança é
embasada no mapeamento realizado pela planilha Controles LGPD, na qual
consta o mapeamento das medidas de segurança desdobradas em controles
a serem aplicados sobre os principais ativos organizacionais: bases de dados,
documentos, equipamentos, locais físicos, pessoas, sistemas e unidades
organizacionais.
Enap Fundação Escola Nacional de Administração Pública 10
A medida de segurança, mencionada no artigo 46 da LGPD, representa o objetivo de alto nível,
declarando o que se espera alcançar com a aplicação da medida.
O controle representa ações específicas de segurança que podem ser aplicadas sobre os ativos
organizacionais para se alcançar a medida de segurança.
Na planilha, a ordem em que se encontram as medidas de segurança não tem relação com
seu grau de importância, ou seja, o item Política de Segurança não é nem mais nem menos
importante que o item Registro de eventos e rastreabilidade.
Destaque h, h,
Dependendo das circunstâncias, os controles de segurança de uma de quaisquer
das medidas de segurança podem ser importantes. Assim, convém que cada
instituição implemente as referidas medidas, identificando quais controles
são aplicáveis, quão importantes eles são e qual a aplicação para os processos
individuais do negócio e do tratamento dos dados pessoais. Portanto, a relação
das medidas e controles não estão em ordem de prioridade.
Medidas de Segurança
Na tabela a seguir são descritas, em ordem alfabética, as medidas de segurança constantes da
planilha Controle LGPD com a finalidade de proporcionar melhor entendimento da relação entre
tais medidas e os respectivos controles.
MEDIDA DE SEGURANÇA1 DESCRIÇÃO
CLASSIFICAÇÃO DA INFORMAÇÃO Assegurar que a informação receba um nível adequado
de proteção, de acordo com a sua importância para a
instituição.
COMPARTILHAMENTO, USO E
PROTEÇÃO DA INFORMAÇÃO
Assegurar a privacidade e proteção das informações de
identificação pessoal conforme requerido por legislação e
regulamentação pertinente.
CONTINUIDADE DE NEGÓCIO A proteção de dados deve ser contemplada nos sistemas
de gestão da continuidade do negócio da organização.
CONTROLE DE ACESSO LÓGICO Limitar o acesso à informação e aos recursos de
processamento da informação.
CONTROLES CRIPTOGRÁFICOS Assegurar o uso efetivo e adequado da criptografia para
proteger a confidencialidade, autenticidade e/ou a
integridade da informação.
CONTROLES DE COLETA E
PRESERVAÇÃO DE EVIDÊNCIAS
A instituição deve definir e aplicar procedimentos para
a identificação, coleta, aquisição e preservação das
informações, as quais podem servir como evidências.
1. As medidas de segurança e os controles constantes da planilha Controles LGPD foram embasados na ABNT/ISO 27002:2013 e
ISO/IEC 29151:2016(E). O Anexo A da ISO/IEC 29151:2016(E) não foi considerado.
Enap Fundação Escola Nacional de Administração Pública 11
CÓPIA DE SEGURANÇA Cópias de segurança das informações, de softwares e
das imagens do sistema devem ser efetuadas e testadas
regularmente conforme a política de geração de cópias de
segurança definida.
DESENVOLVIMENTO SEGURO Garantir que a proteção de dados está projetada e
implementada no ciclo de vida de desenvolvimento dos
sistemas de informação.
GESTÃO DE MUDANÇAS Mudanças na organização, nos processos do negócio, nos
recursos de processamento da informação e nos sistemas
que afetam a proteção de dados devem ser controladas.
GESTÃO DE RISCOS Processo de natureza permanente, estabelecido,
direcionado e monitorado pela alta administração, que
contempla as atividades de identificar, avaliar e gerenciar
potenciais eventos que possam afetar a instituição.
Destinado a fornecer segurança razoável quanto à proteção
dos dados pessoais e à realização de seus objetivos.
ORGANIZAÇÃO DA SEGURANÇA Estabelecer uma estrutura de gerenciamento para iniciar
e controlar a implementação e operação da segurança dos
dados dentro da organização.
POLÍTICA DE SEGURANÇA Prover orientação da direção e apoio para a segurançados
dados pessoais de acordo com os requisitos do negócio e
com as leis e regulamentações relevantes.
PROTEÇÃO FÍSICA E DO AMBIENTE Prevenir o acesso físico não autorizado, danos e
interferências com os recursos de processamento e
informações institucionais.
REGISTRO DE EVENTOS E
RASTREABILIDADE
Registrar eventos e gerar evidências, a fim de proporcionar
rastreabilidade.
SEGURANÇA EM REDES Assegurar a proteção das informações em redes e dos
recursos de processamento da informação que os apoiam.
SEGURANÇA NAS OPERAÇÕES Garantir a operação segura e correta dos recursos de
processamento da informação.
TRATAMENTO E RESPOSTA A
INCIDENTES
Assegurar um enfoque consistente e efetivo para gerenciar
os incidentes de segurança que possam acarretar risco ou
dano relevante aos titulares de dados pessoais, incluindo
a comunicação sobre fragilidades e eventos de segurança.
Tabela: Descrição das medidas de segurança
Para cada medida de segurança, são elencados controles a serem aplicados sobre os ativos
organizacionais.
Enap Fundação Escola Nacional de Administração Pública 12
Controles de Segurança
Na planilha Controles LGPD, o controle está descrito em formato de pergunta com a finalidade de
verificar se o respectivo controle está sendo aplicado sobre o ativo organizacional marcado com
um “X”. Ao implementar o controle questionado sobre o ativo, a instituição estará fortalecendo
a proteção dos dados pessoais.
Essa proteção ocorre porque os ativos organizacionais suportam os dados pessoais, ou seja, um
dado pessoal pode ser, por exemplo, coletado por um Sistema, armazenado em uma Base de
Dados e tratado por uma Pessoa.
A fim de exemplificar o uso da planilha Controles LGPD para identificação de controles, será
considerado que a instituição deseja aplicar medida de segurança relacionada com Gestão de
Mudanças. Na tabela a seguir, constam os três primeiros controles da medida de segurança
“Gestão de Mudanças”.
ID CONTROLE
BASES
DE
DADOS
DOCUMENTOS
EQUIPAMENTOS
LOCAIS PESSOAS SISTEMAS
UNIDADES
ORGANIZACIONAIS
MEDIDA DE SEGURANÇA: GESTÃO DE MUDANÇAS
1
Existe e é executado
um processo formal de
Gestão de Mudanças
na organização?
X X X X
2
É realizado o controle
de mudanças em
atualizações de
software e outros
componentes das
soluções de TIC?
X X X
3
Mudanças
significativas são
identificadas e
registradas?
X X X X
Tabela: Três primeiros controles da medida de segurança “Gestão de Mudanças”.
Na medida de segurança Gestão de Mudanças, constam controles que contribuem para que as
mudanças sejam realizadas de forma a assegurar a proteção dos dados pessoais. Nesse caso,
consideramos que a instituição está tratando o controle ressaltado, na tabela, em fundo verde:
“É realizado o controle de mudanças em atualizações de software e outros componentes das
soluções de TIC?”.
Para tal controle, são identificados três ativos organizacionais marcados com “X”: Base de Dados,
Equipamentos e Sistemas. Isso significa que mudanças em atualizações de software e outros
componentes das soluções de TIC que envolvam Base de Dados, Equipamentos e Sistemas
devem ser controladas.
Enap Fundação Escola Nacional de Administração Pública 13
Essa abordagem de identificação dos controles a serem aplicados sobre os ativos organizacionais
é aplicável para todas as medidas de segurança constantes da planilha em questão.
A planilha também proporciona a visão de todos os controles que podem ser aplicados para um
ativo organizacional específico. Considerando que a instituição deseje verificar, por exemplo,
quais controles são aplicáveis para o ativo Sistemas, então basta identificar quais linhas da
planilha estão com um “X” marcado na coluna com o mesmo nome do ativo.
O conhecimento sobre medidas e controles de segurança será muito importante no momento de
elaborar o Relatório de Impacto à Proteção do Dados Pessoais – RIPD. O RIPD representa uma
ferramenta muito útil no sentido de avaliar o impacto potencial que um produto ou serviço pode
gerar sobre a privacidade dos dados pessoais que serão tratados pela instituição. Esse Relatório
também mapeará os riscos à privacidade dos dados e respectivas medidas de segurança a serem adotadas.