Privacidade e Proteção de Dados – Cenário Internacional e seu relacionamento com a Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil

Privacidade é um direito universal – regulações nacionais vêm definir as regras para a garantir esse direito aos cidadãos. Privacidade é uma necessidade natural do ser humano, e a proteção dos dados pessoais como uma forma de garantir a proteção da privacidade.

Já em 1948, a Declaração Universal dos Direitos Humanos registrava, em seu artigo 12, que “Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência […]. Contra tais intromissões ou ataques toda pessoa tem direito à protecção da lei.”

Artigo 12 da Declaração Universal dos Direitos Humanos (Fonte: UN).

Embora seja reconhecida como direito universal do homem desde a publicação da Declaração Universal dos Direitos Humanos, logo após a II Guerra, apenas na década de 1970, os países passaram a observar regras concretas para a garantia da privacidade, com a publicação de leis sobre a privacidade na Alemanha (Bundesdatenschutzgesetz), na França e nos Estados Unidos (1974 U.S. Privacy Act).

Regulações pelo Mundo
As primeiras regulações sobre privacidade surgiram na década de 1970; após meia década, a regulação do tema está consolidada na maior parte do mundo.

De acordo com a UNCTAD (United Nations Conference on Trade and Development – Conferência das Nações Unidas sobre Comércio e Desenvolvimento), 132 dos 195 países membros possuíam legislações sobre privacidade e proteção de dados.

Legislações sobre Privacidade e Proteção de Dados Pelo Mundo (Fonte UNCTAD).

Algumas dessas são particularmente relevantes por conta do impacto e da influência exercida em todo o mundo. Um exemplo de legislação de alto impacto e influência é a europeia GDPR (General Data Protection Regulation). A GDPR teve grande influência sobre a legislação brasileira, a LGPD – Lei Geral de Proteção de Dados, que discutimos a seguir.

Regulação no Brasil: a Lei Geral de Proteção de Dados
Com a LGPD, o Brasil passa a ter regras de Privacidade e Proteção de Dados compatíveis com as mais avançadas regulações no mundo.
A Lei 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD), é a legislação brasileira que regula os aspectos relativos ao tratamento de dados pessoais “com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” [LGPD].

Breve histórico

O histórico da LGPD é bastante conturbado. Fruto da aglutinação de diversas propostas que vinham tramitando no parlamento desde 2012, como o Projeto de Lei 4060/2012 e um anteprojeto do Ministério da Justiça, em maio de 2016, a então Presidente Dilma Rousseff encaminhou ao congresso o anteprojeto de lei, recebido como Projeto de Lei nº 5276/2016. Em julho de 2018 o Projeto Lei da Câmara 53/2018 foi aprovado no plenário do Senado. A Lei Geral de Proteção de Dados foi sancionada pelo Presidente Temer em 14 de agosto de 2018, publicada no Diário Oficial da União (DOU) no dia seguinte. O início da vigência seria em 18 meses após a publicação no DOU. O projeto sofreu vetos – o mais importante deles, impedindo a criação da Agência Nacional de Proteção de Dados. Em dezembro de 2018, a Medida Provisória nº 869 alterou o início da vigência da lei para agosto de 2020.

A ANPD

A criação da Agência Nacional de Proteção de Dados (ANPD) também não foi um processo simples. Após o veto de Temer às disposições relacionadas à ANPD no texto original da ANPD, em 27 de dezembro de 2018, Temer editou a Medida Provisória nº 869, prevendo a criação da ANPD. A MP 869 sofreu várias alterações no Congresso, sendo tratada como Projeto de Lei de Conversão nº 7 de 2019 e enfim aprovada e sancionada pelo presidente Jair Bolsonaro como Lei nº 13.853 em 8 de julho de 2019. Pouco depois, o Decreto Nº 10.474, de 26 de agosto de 2020 aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados – ANPD. E em 20 de outubro de 2020, o Plenário do Senado aprova os nomes dos cinco Diretores que irão compor a Autoridade Nacional de Proteção de Dados “ANPD”, indicados pelo presidente da República.

Decreto que aprova a estrutura regimental da ANPD (Fonte: DOU).

Entrada em vigor, COVID-19 e multas. Como se o processo de entrada em vigor da LGPD já não fosse suficientemente “emocionante”, a pandemia da COVID-19 motivou a promulgação da Lei Nº 14.014, de 10 de junho de 2020 que, em suas disposições finais, prorroga para 1º de agosto de 2021 a aplicação sanções administrativas relacionadas à LGPD. No entanto, menos de duas semanas após a entrada em vigor da Lei, já se observava decisões judiciais aplicando multas relacionadas ao descumprimento da LGPD. A partir de agosto de 2021, a ANPD terá autoridade para aplicar sanções administrativas na forma de multas de até 2% do faturamento com limite de até R$ 50 milhões.

A quem se aplica a LGPD
Quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma vale para coletas operadas em outro país, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros, ou que tenham sido realizadas no país.

Conceito de Dados Pessoais
Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada a categoria “dado sensível”, com informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.

Privacidade e Segurança da Informação
Segurança da Informação é requisito prévio para a proteção de dados.

De maneira simplificada, as regras expressas pelas regulações de Privacidade e Proteção de Dados nada mais são do que uma Política de Segurança, ou seja, tais regras direcionam a forma como uma organização deve proteger um conjunto de recursos críticos – neste caso, os recursos críticos a serem protegidos são os Dados Pessoais. Esta definição é totalmente compatível, por exemplo, com a definição de Política de Segurança do “Glossário de Segurança de Internet” da Internet Society. E, de fato, o que se deseja em relação aos Dados Pessoais é a garantia de serviços “clássicos” de Segurança da Informação, com destaque para a Confidencialidade – mas também incluindo outros, tais como Controle de Acesso, Auditoria, Integridade, Autenticação de Origem e Não-Repúdio (novamente, usando a terminologia do “Glossário de Segurança de Internet” da Internet Society).

A importância da Segurança da Informação como um requisito prévio para a proteção de dados pessoais está evidente na própria concepção do padrão ISO/IEC 27701:2019 – Sistema de Gerenciamento de Privacidade da Informação. A ISO/IEC 27701:2019 é hoje a principal referência para a construção de um Sistema de Gestão com foco em Privacidade e Proteção de Dados. O padrão, no entanto, caracteriza-se como uma extensão aos padrões de Segurança da Informação ISO/IEC 27001 (Gestão de Segurança da Informação) e ISO/IEC 27002 (Controles de Segurança da Informação). Ou seja, para que uma organização possa implementar os controles relacionados à Privacidade e Proteção de Dados, ela deve, antes, atender aos requisitos da ISO/IEC 27001 por meio da implantação de um Sistema de Gestão de Segurança da Informação, e os controles previstos na ISO/IEC 27002.

Padrão sobre Sistema de Gestão de Privacidade da Informação (Fonte: ISO).

A norma ISO/IEC 27701:2019 possui definições adicionais relacionadas à Privacidade e Proteção de Dados, sendo os mais importantes deles os termos Sistema de Gestão de Privacidade da Informação (Privacy Information Management System) e Dados Pessoais. A ISO/IEC 27701:2019 apresenta requisitos adicionais a duas das sete seções da ISO/IEC 27001 e diretrizes a doze das quatorze seções da ISO/IEC 27002. No Brasil, a ABNT já internalizou a ISO/IEC 27701:2019 na forma da norma ABNT NBR ISO/IEC` 27701:2019. Mas ainda é muito claro que, o ponto de partida para a Privacidade e a Proteção de Dados é a Segurança da Informação.

Status das Organizações

Organizações Brasileiras querem proteger os dados de seus clientes, mas vão enfrentar desafios de adequação de processos, controles e sistemas de gestão.

A maturidade conceitual expressa pela ideia de que privacidade é um direito do indivíduo já foi alcançada na maior parte do globo. A questão, no entanto, está longe de ser resolvida. Existe, agora, um importante passo, que é o de dar ao indivíduo a adequada proteção de seus dados pessoais, conforme as respectivas regulações nacionais.

O cenário observado na maioria das instituições é o desejo de proteger os dados pessoais de seus clientes e usuários – mas uma forte limitação decorrente da incapacidade de dar tais garantias de proteção por conta de fragilidades de controles de segurança da informação. De fato, o núcleo da ideia da proteção dos dados pessoais é a ideia de que os dados pessoais fornecidos para determinada finalidade não serão usados (acessados!) para qualquer outra finalidade. Isso implica um rigoroso controle sobre tais dados, o que inclui o acesso limitado, durante seu uso, e o apropriado descarte, após o seu uso. Apenas cuidadosos procedimentos e controles de segurança podem garantir o atendimento a tais políticas de proteção de dados pessoais. Na prática, o que se observa é que a ampla maioria das violações evidentes de proteção aos dados pessoais é decorrente não de má-fé de fornecedores de serviços, mas de falhas que permitem a atacantes obter (e divulgar) os dados pessoais de seus clientes.

Importante destacar que não importa o dolo do prestador de serviço em relação à violação dos dados de clientes/usuários. Uma vez que tais dados estejam sujeitos a vazamento ou violação, tal prestador estará sujeito às sanções administrativas e, principalmente, penais, decorrentes da legislação de proteção de dados pessoais.

Dessa forma, cabe ao custodiante de dados pessoais, zelar pela adequada proteção a tais dados e implantar os adequados controles que mitiguem os riscos de que tais dados venham ser indevidamente divulgados ou repassados a terceiros. Como discutimos anteriormente, tal proteção está fortemente relacionada à implantação de um sistema de gestão e controles que atendam a requisitos de privacidade e de segurança da informação.

Estratégia para Conformidade à LGPD

Sistema de Gestão e Controles de Segurança são o caminho para alcançar a conformidade.
A concepção da ISO/IEC 27701:2019, apresentada anteriormente, revela uma importante visão a respeito dos caminhos necessários para alcançar a maturidade no tratamento de dados pessoais. Por um lado, ao basear-se na ISO/IEC 27001, passa-se a mensagem de que o ponto de partida é a governança promovida por um sistema de gestão de segurança da informação, o qual definirá políticas, papéis e responsabilidades. Por outro lado, ao referenciar a ISO/IEC 27002, reconhece-se a importância de adequados Controles de Segurança que permitam mitigar os riscos à privacidade.

Argumentamos que estes dois elementos – Sistema de Gestão e Controles de Segurança – são o caminho a ser trilhado para alcançar a maturidade no tratamento de dados pessoais. No entanto, as organizações não devem parar nos requisitos e diretrizes da ISO/IEC 27701:2019. Por se tratar de um padrão internacional, a ISO/IEC 27701:2019 é suficientemente abrangente para construir as bases que permitam atender às diversas regulações existentes. No entanto, para que se atenda às especificidades de cada legislação – além dos riscos inerentes a cada área de negócio – é fundamental que a implantação da ISO/IEC 27701:2019 seja complementada por um conjunto de controles adequados a cada cenário.

Nesta linha, cabe a cada organização selecionar um (ou mais) arcabouço(s) que permitam avaliar riscos e implantar os controles adequados. E aí, alguns modelos já vêm se destacando. Uma referência natural é o NIST Privacy Framework, fortemente baseado no modelo Cyber Security Framework, também do NIST. O arcabouço é extremamente consistente, mas costuma ser de difícil aplicação por conta de seu grau de abstração e generalidade. Por conta disso, consultorias de segurança e organizações em geral têm optado por arcabouços mais pragmático para a definição de controles de segurança e privacidade. Um arcabouço que vem se destacando, em particular, é o CIS Controls, não apenas pela praticidade de uso, mas pela demonstração de equivalência ao NIST Cyber Security Framework.

Poster sobre os CIS Controls (Fonte: CIS).

Responsabilidade pela Proteção de Dados

O Encarregado pelo Tratamento de Dados Pessoais – ou “DPO”, para os íntimos – será o principal agente de transformação das práticas de tratamento de dados pessoais nas organizações.

A LGPD definiu um responsável formal por atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Embora a legislação brasileira tenha nomeado este papel como “Encarregado pelo Tratamento de Dados Pessoais”, o mercado vem se referindo a ele, frequentemente, como DPO (Data Protection Officer), em clara referência à nomenclatura da GDPR Europeia.

O DPO deverá ser indicado pelo controlador e suas atribuições formais estão descritas no segundo parágrafo do artigo 41 da LGPD:

  1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  2. receber comunicações da autoridade nacional e adotar providências;
  3. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  4. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O item 4 acima já dá uma pista do que é a tendência do mercado em relação à atuação do DPO: na prática, espera-se que ele seja muito mais do que uma mera interface de comunicação entre as diversas partes, mas que ele atue efetivamente na adaptação dos processos internos com foco na privacidade e na proteção de dados. Dessa forma, o DPO deve ser um protagonista no processo de efetivação dos princípios da LGPD no dia-a-dia das organizações, atuando na revisão de processos, adaptação de sistemas de gestão, acompanhamento de controles, realização de treinamentos e ações de conscientização.

O Governo Federal conforme publicado no Diário Oficial da União em 20/11/2020 detalha um pouco mais como deve ser o Encarregado para administração pública federal. Como por exemplo

  • Deverá possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público; e
  • Não deverá se encontrar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação do órgão ou da entidade.
  • A autoridade máxima do órgão ou da entidade deverá assegurar ao Encarregado pelo Tratamento dos Dados Pessoais:
    • acesso direto à alta administração;
    • pronto apoio das unidades administrativas no atendimento das solicitações de informações; e
    • contínuo aperfeiçoamento relacionado aos temas de privacidade e proteção de dados pessoais, de acordo com os conhecimentos elencados no inciso I do § 1º do art. 1º e observada a disponibilidade orçamentária e financeira do órgão ou entidade.

Todas essas recomendações muito alinhadas ao Art.38 do GDPR com o objetivo de evitar o conflito de interesse.

Check-up de Conformidade
Diagnóstico como o primeiro passo rumo à conformidade

A pergunta que fica então, é: como tenho confiança de que minha empresa atende aos princípios de privacidade e proteção de dados previstos na LGPD? A resposta começa pela elaboração de um “diagnóstico de segurança e privacidade” que irá avaliar os riscos à privacidade e à proteção dos dados pessoais manipulados por sua empresa. Tal diagnóstico é uma fotografia que permitirá entender como sua empresa trata os dados pessoais de seus clientes, e permitirá que, em próximos passos, se definam os controles e correções necessárias para garantir o adequado tratamento a tais dados pessoais.

Este diagnóstico pode ser executado pela própria empresa, com base em frameworks disponíveis publicamente, mas é recomendável que se busque o apoio de consultorias especializadas no tema – considerando-se empresas que dominem, não apenas, o tema da Privacidade e Proteção de Dados, mas também, o vasto campo da Segurança da Informação, pois “não existe privacidade sem segurança!”. Especialistas no assunto ajudarão sua organização a adequar seu sistema de gestão e a implantar os controles necessários para mitigar os riscos à Privacidade e adequar-se à LGPD.

A Clavis Segurança da Informação, é um parceiro oficial reconhecido pelo EXIN apta a oferecer treinamento oficial e aplicar exames, incluindo a trilha completa de formação do EXIN DPO = ISFS + PDPF + PDPP

(EXIN Information Security Foundation + EXIN Privacy & Data Protection Foundation + EXIN Privacy & Data Protection Practitioner).

Por: Raphael MachadoBruno SalgadoVictor SantosDavidson Boccardo e Rafael Soares Ferreira

Pubicado originalmente no portal do SegInfo