Lei de Proteção de Dados Pessoais e os possíveis controles de segurança exigidos pela ANPD
A LGPD – Lei de Proteção de Dados Pessoais – entra em vigor a partir de agosto de 2020 e estabelece os princípios, direitos e deveres que deverão ser observados por empresas públicas e privadas no tratamento de dados pessoais de pessoas físicas.
A LGPD ainda não detalha quais serão os controles exigidos para que a proteção e privacidade sejam alcançadas, deixando para a ANPD – Agência Nacional de Proteção de Dados – essa possibilidade.
Em seu artigo 46, a LGPD descreve o seguinte:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
É possível que a ANPD se utilize de padrões técnicos já estabelecidos por frameworks ou certificadores de segurança mundialmente reconhecidos, tais como: ISO/IEC, SANS OU NIST.
A segurança da informação trabalha basicamente para garantir a sustentação de três pilares básicos: confidencialidade, integridade e disponibilidade. Como a LGPD versa especificamente sobre proteção e privacidade, é provável que alguns controles para manutenção da confidencialidade venham a ser exigidos pela ANPD.
Caso a ISO/IEC seja considerada como modelo pela ANPD, seria possível a utilização da família ISO 27.000, que estabelece controles e processos de segurança da informação e menciona a criptografia como uma das formas de se garantir a confidencialidade das informações. Criptografia é um mecanismo de segurança e privacidade que torna determinado dado ininteligível para quem não tem acesso aos códigos (chaves criptográficas). Importante ressaltar que esse mecanismo não se confunde com Anonimização, que, nos termos da LGPD, é o mecanismo pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
É possível, portanto, que a ANPD exija que as empresas que coletam dados pessoais apliquem controles criptográficos como forma de garantir a confidencialidade dos dados do titular.
Além de as informações tornarem-se legíveis apenas para quem possui as chaves criptográficas, ela pode ser implementada em arquivos como banco de dados, arquivos, pastas, dispositivos, etc., e em comunicações como redes, transferência de dados, voz, interconexão entre sistemas, entre empresas, etc.
Importante ressaltar, também, que durante a sua implementação alguns cuidados devem ser tomados, especialmente os relacionados a custo, performance, tempo, gestão de chaves, entre outros.
Por fim, um cuidado essencial deve ser tomado: uma vez que os gestores das chaves terão acesso aos dados em “texto claro”, ou seja, sem criptografia, é de suma importância que exista um procedimento robusto quanto à gestão das chaves criptográficas para garantir a proteção, privacidade dos dados e as obrigações e direitos previstos na LGPD.
Sua empresa já está com todos os processos de tratamento de dados resguardados pelos procedimentos de segurança e privacidade?
