Proteção de dados pessoais – responsabilidade do gestor de segurança da informação

11:01 am - 26 de janeiro de 2019

O Gestor de Segurança da Informação, seja em que grau hierárquico esteja, diretor ou gerente, é responsável pela proteção dos dados da organização. É sua responsabilidade garantir a existência de controles para que o processo organizacional de segurança da informação existe, seja efetivo, se mantenha ao longo do tempo e possibilite que a organização atinja seus objetivos no que depende do recurso informação.

A proteção de dados pessoais está incluída neste escopo de controles. Com a legislação recente na União Europeia com o GDPR (General Data Protection Regulation) e mais recentemente com a Lei de Proteção de Dados Pessoais do Brasil, publicada em agosto de 2018 e com vigência em agosto de 2020, o assunto veio para a imprensa e foi endereçada aos executivos. Afinal, existem multas que podem chegar a R$ 50 milhões, no caso brasileira.

As organizações que não possuem processo de segurança da informação e forem tratar o tema proteção de dados pessoais como apenas a necessidade de atender uma lei, terão em médio prazo um retumbante fracasso. Esta solução não se sustenta.

Qualquer ação de proteção de dados, e mais especificamente de proteção de dados pessoais, precisa estar ancorada em uma estrutura de segurança da informação. Para que controles sejam implementados e continuados é necessário a existência de um Processo Organizacional de Segurança da Informação, com prévia definição da Arquitetura de Segurança e os Direcionadores que são seguidos pela organização.

Quem estuda seriamente o assunto proteção de dados pessoais sabe muito bem que as regras definidas na legislação em alguns casos são bem explícitas e outras vezes são mais generalistas. Então como a organização pode lidar com uma ação judicial e explicar para uma autoridade, um controle que não está bem específico na lei e a organização está sendo questionado por negligência? Somente demonstrando que a organização possui um efetivo processo de segurança da informação, ela poderá demonstrar o conjunto de ações e controles que estão implementados e planejados para a proteção da informação. Tudo formalmente aprovado pelo corpo diretivo, considerando os riscos e as limitações da organização.

Retornando ao tema legal da proteção de dados pessoais, toda estrutura de regras da lei brasileira, mas também da União Europeia, está respaldada pelas dimensões da segurança da informação. Vejamos:

Pessoa natural ou pessoa singular.

=> Usuário da informação. Um dos tipos de usuários.

Dados Pessoais

=> Classificação da informação. Normalmente só pensamos o aspecto do sigilo, mas classificação da informação deve considerar: sigilo, criticidade, dados pessoais.

Aplicação para qualquer tipo de tecnologia, local físico

=> O escopo da Arquitetura de Segurança da Informação considera a definição deste escopo.

Consentimento e outras formas de uso do dado pessoal

=> Acesso a informação. Para cada tratamento da informação é necessário considerar os aspectos legais. Com a Lei de Proteção de Dados Pessoais, vamos considerar os dados pessoais. Mas não podemos esquecer os dados que não são pessoais mas que precisam ser protegidos por contratos ou outros requerimentos legais.

Coleta mínima, objetiva, com finalidade.

=> Acesso a informação. Em conjunto com a administração de dados. Coletar dados por coletar é a assinatura de negligência com o ambiente de informação. Indica um mal levantamento de dados. Agora com a legislação de dados pessoais a lei está exigindo o que já deveria ser feito.

Criptografia e anonimização de dados.

=> Como será o tratamento de cada informação é um dos controles de segurança da informação. Seja por proteção organizacional ou por exigência legal. A anonimização para certas organizações já faz parte da característica dos dados. Com a lei, estas ações são mais rigorosas

Dados apenas durante a execução do serviço

=> O ciclo de vida da informação faz parte da segurança da informação e da administração de dados. Muitos anos atrás em função do alto custo de armazenamento, esta questão era fortemente considerada. Com o barateamento do armazenamento as organizações relegaram este controle. Com a legislação de dados pessoais a responsabilidade da organização ficou explícita.

Comunicação com autoridade nacional

=> Gestão de incidentes, dentro da dimensão e flexibilidade operacional do processo organizacional de segurança da Informação. Independente da lei que exige comunicação com a Autoridade nacional, a ocorrência de incidentes precisa ser comunicada ao corpo diretivo. Porém, muitas organizações escondiam o lixo embaixo do tapete. Apenas uma área de segurança da informação com autoridade hierárquica pode alterar esta situação. É assunto de segurança.

Processo Segurança

=> A própria legislação declara explicitamente que a organização deve implementar os controles de segurança da informação para atender o que é exigido. Simples. Precisa ter o processo organizacional de segurança da informação.

Não descriminar pessoas e tratamento específico para crianças e adolescentes.

=> Uma das dimensões de segurança da informação é o respeito às leis do país. Descriminar pessoas e tratamento cuidadoso para crianças e adolescentes é mais do que segurança da informação. Já existem leis para isto. A lei de proteção de dados pessoais apenas explicita mais e dá limites para estas regras.

Conclusão

Evidentemente para garantir a conformidade com a Lei de Proteção de Dados Pessoais, deve existir uma força tarefa envolvendo além da área de segurança da informação, as áreas: jurídica, compliance, tecnologia (administração dados, desenvolvimento), recursos humanos e a alta administração. Afinal, o não cumprimento da lei leva a multas de até R$ 50 milhões, por evento. A lei, como toda legislação precisa ser detalhadamente avaliada pela área jurídica para o entendimento das suas nuances e especificidades.

Porém, um processo organizacional de segurança da informação é base para o atendimento à Lei de Proteção de Dados Pessoais.