Desafios da Gestão da Segurança da Informação com a implantação da LGPD

1 - Introdução

A Lei nº 13.709/19, conhecida como Lei Geral de Proteção de Dados Pessoais ou LGPD, em vigor desde 18 de setembro de 2020, consolida um importante avanço na proteção de um direito fundamental – o da privacidade – abordando-o de modo particularizado no que diz respeito aos dados pessoais.

A norma surge quando a proteção de dados pessoais se transforma em uma questão global, recrudescida em importância pelo escândalo da Cambridge Analytica e, fundamentalmente, pela edição do General Data Protection Regulation – GDPR, com abrangência entre os países europeus.

A observância às novas regras passa a se constituir em exigência do comércio internacional. A desatenção à lei é severamente punida.

Se por um lado o novel regramento aponta para a evolução dos Direitos Humanos e do próprio Direito, na sua tentativa de dirimir os conflitos inerentes à chamada Sociedade da Informação, de outro representa um momento de disrupção e, em consequência, um enorme desafio para o ambiente de negócios em geral.

A adequação à recente e minuciosa lei exigirá que os gestores dediquem bastante atenção aos processos da organização e que reformulem aqueles que não estiverem em conformidade com a LGPD.

Em muitos casos haverá profunda alteração do modelo de negócio.

Nesse contexto, a Gestão de Segurança da Informação, a par dos temas com os quais tradicionalmente tem que lidar, será chamada a assumir novos papéis e responsabilidades projetados pela LGPD.

Os riscos inerentes às atividades de tratamento de dados pessoais reclamarão novas funções, novos métodos de mitigação, elaboração de documentos específicos e, principalmente, novos comportamentos dos gestores e colaboradores da organização.

O presente trabalho procura evidenciar alguns dos desafios da Gestão da Segurança da Informação surgidos da incipiente vigência da LGPD.

2 - Desenvolvimento

Alvin Toffler, notável professor norte-americano, dizia que a evolução da humanidade se estabeleceu em três “ondas” (PINHEIRO, 2008, p. 6). 

A primeira onda se caracterizou pela riqueza agrícola. A propriedade da terra significava riqueza e poder. 

A segunda onda ficou conhecida por revolução industrial. Nessa fase, a riqueza se constituiu da combinação da propriedade, do trabalho e do capital. 

A terceira onda – a de nossa era – é a da informação. Nela a riqueza deriva do volume sempre crescente da informação. Consolida-se com a implementação da tecnologia digital e a criação da internet, que trazem à cena a velocidade de transmissão dos dados e a descentralização de suas fontes.

Nesse contexto, a matéria-prima das organizações é a informação.

Na percepção de Sêmola (2014, p. 7),

o sangue da empresa é a informação. Distribuída por todos os processos de negócio, alimentando-os e circulando por diversos ativos (tudo o que manipula direta ou indiretamente a informação, inclusive ela própria), ambientes e tecnologias, a informação cumpre o importante papel de fornecer instrumentos para a gestão do negócio.

Com o crescimento exponencial do uso de computadores e de dispositivos interconectados para trafegar e tratar a informação, multiplicam-se os dilemas e conflitos derivados do emprego de tecnologia. Da necessidade de dirimi-los nascem os instrumentos legais sobre o tema. Surge uma nova disciplina jurídica: o Direito Digital[1].

No Brasil, datam da década de 70, os primeiros registros de projetos de leis versando sobre “informática”, do que são exemplos: o projeto de lei nº 3.279, de 1976, do Deputado Siqueira Campos, que dispunha “sobre a programação viciada de computador” (arquivado em 1979); o projeto de lei nº 96, de 1977, do Senador Nélson Carneiro, que dispunha “sobre a proteção das informações computadorizadas” (arquivado em 1980); projeto de lei nº 579, de 1991, do Deputado Sólon Borges dos Reis, que dispunha “sobre o crime de interferência nos sistemas de informática (destruição); entre outros (REIS, 1997, p. 50).

Seguiram-se, entre outros, os seguintes diplomas normativos destinados a regular temas afetos à tecnologia: a Lei nº 12.735/12, denominada "Lei Azeredo", nascida do projeto de lei nº 84, de 1999, do Deputado Luiz Piauhylino, para dispor "sobre os crimes cometidos na área de informática, suas penalidades e outras providências"; a Lei nº 12.737/12, conhecida como “Lei Carolina Dieckmann”, concebida após o acesso indevido ao computador da referida atriz, seguido da divulgação de fotos íntimas assim obtidas, instituindo entre nós a definição dos crimes cibernéticos próprios; e a Lei nº 12.965/14, definidora do “Marco Civil da Internet”, conferindo uma base legal sobre deveres de provedores de conexão e de acesso a aplicações na internet em confronto com os direitos dos usuários.

A Lei nº 13.709/18, mais conhecida como Lei Geral de Proteção de Dados Pessoais ou LGPD, surge entre nós depois que a Europa colocou a questão da proteção dos dados pessoais no centro de sua agenda (MALDONATO, 2018, p. 87).

Embora a privacidade seja compreendida como um direito fundamental desde a Convenção Europeia dos Direitos Humanos, de 1950, diversas normas foram instituídas nos últimos 40 anos com o intuito de alargar o campo conceitual desse direito, bem como para assegurar de modo mais particularizado a proteção dos dados pessoais.

O primeiro diploma jurídico que trata especificamente da proteção de dados pessoais foi a “Convenção para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal”, concluída em 28 de janeiro de 1981.

Vieram, na sequência, a Carta dos Direitos Fundamentais da União Europeia de 2000; o Tratado de Lisboa de 2007, que inseriu no art. 8º do Tratado sobre o Funcionamento da União Europeia (TFUE) regras de proteção de dados de caráter pessoal; e o próprio TFUE, que versa em seu art. 16º sobre o direito à proteção de dados a todas as pessoas (MALDONATO, 2018, p. 87-90).

O diploma normativo mais recente e que, sem sombra de dúvida, fomentou a edição da LGPD, é o GDPR (General Data Protection Regulation), que entrou em vigor no dia 25 de maio de 2018.

Essa norma foi adotada nos 28 países da União Europeia e três países do Espaço Econômico Europeu (Noruega, Islândia e Liechtenstein) e é de observância obrigatória a todas as empresas que detêm ou manipulam dados pessoais dos cidadãos europeus, onde quer que estejam sediadas.

Aspecto interessante do GDPR é que empresas europeias ficam impedidas de contratar com empresas de países cujas leis não ofereçam o mesmo nível de proteção dos dados pessoais.

Assim sendo, a LGPD nasce entre nós como uma questão emergencial, de caráter econômico, pois, como observaram Cots e Oliveira (2019, p. 23), sua lacuna diminuiria a competitividade das empresas brasileiras no mercado internacional.

Os mesmos autores também apontam como fato motivador da edição da lei o caso da Cambridge Analytica, no qual o mal uso de dados pessoais poderia supostamente ter influído no resultado das eleições americanas.

Estima-se que o impacto da Lei Geral de Proteção de Dados Pessoais possa ser tão abrangente quanto foi o impacto da aprovação do Código de Defesa do Consumidor, da Lei dos Crimes Ambientais ou do Marco Civil da Internet.

Todas essas legislações têm algo em comum, como observou Ronaldo Lemos, no prefácio da obra de Cots e Oliveira (2019, p. 7): “elas transformam práticas e definem regras do jogo para o ambiente de negócios do país”.

As normas de proteção dos dados pessoais não foram criadas para produzir impactos negativos na economia, mas sim porque as novas tecnologias conhecidas como Internet das Coisas, Inteligência Artificial, Blockchain, Criptomoedas, Fintechs etc. utilizam dados pessoais como substrato de geração de valor (LIMA, 2018, p. 24), impondo-se que o façam em ambiente de segurança jurídica e respeitando os direitos individuais já consagrados[2].

Nesse cenário, é imperativo que as pessoas físicas, enquanto os titulares dos seus dados pessoais, tenham controle e entendimento sobre todo o ciclo de vida das informações que lhes dizem respeito.

 Aspecto bastante interessante é que tanto a GDPR quanto a LGPD asseguram ampla gama de proteção de dados pessoais, sejam eles tratados de forma automatizada ou mesmo manualmente.

Essa característica faz com que tais normas sejam consideradas “tecnologicamente neutras” (LIMA, 2018, p. 35), pois não tem qualquer importância para a aplicação de suas regras se as informações foram coletadas por computadores, celulares, aplicativos ou mesmo por outras pessoas físicas.

Tal assertiva realça o fato de que a LGPD se aplica a qualquer organização, incluindo pequenos comércios, firmas individuais, empresas familiares etc.

É compreensível que, nas grandes corporações, o volume de dados pessoais manipulado torne a gestão do assunto muito mais complexa e desafiadora.

Empresas que se utilizam de Inteligência Artificial, por exemplo, para tomar decisões sobre clientes ou classificá-los em perfis podem ser demandadas a revisar e explicar as decisões automatizadas ou manter o controle dos vieses discriminatórios.

Explicam Cots e Oliveira (2019, p.130):

O titular poderá pedir explicações sobre decisões automatizadas que sejam tomadas a seu respeito, o que acontece em boa hora, pois a inteligência artificial vem ganhando espaço no processamento de dados em geral, inclusive pessoais. Empresas vêm utilizando o recurso para, por exemplo, realizar classificações, rankings, perfis, entre outras ações, segmentando público-alvo, mercado etc. Ocorre que, para uma pessoa que é classificada ou tem seu perfil traçado, nem sempre fica claro como isso se deu, ou, ainda, pode-se não concordar com a conclusão. A LGPD estabeleceu a possibilidade de o titular solicitar explicações sobre essas decisões automatizadas ou até a revisão destas.

Como se intui, no dia a dia das corporações, é de fundamental importância que todas as áreas da empresa que lidam com dados pessoais estejam atentas para as regras da LGPD, incluindo as sanções, a fim de garantir a conformidade de seus processos.

É nesse quadro que a Segurança da Informação assume posição estratégica e essencial, pois deve coordenar os esforços das diversas áreas voltados à proteção dos dados como um todo, dedicando especial atenção à fração dessas informações que corresponde aos dados pessoais.

Releva notar que, na vigência da LGPD, torna-se ainda mais evidente que a Segurança da Informação não se restringe aos sistemas computacionais.

Todos os aspectos relativos à proteção de dados – em especial os dados pessoais – recebem a atenção da disciplina, impondo-se ao gestor de segurança – ou CSO (Chief Security Officer) – atributos como: visão global com foco local; que tome decisões por meio de análise de riscos; que tenha habilidade de criar e multiplicar padrões; boa comunicação e relacionamento; liderança; e comprometimento[3].

Gerir a Segurança da Informação exigirá desse profissional, cada vez mais, a visão holística e abrangente de toda a organização.

Afinal,

a empresa virou uma grande teia de comunicação integrada, dependente do fluxo de informações que por ela são distribuídas e compartilhadas. Essas mesmas informações, agora sujeitas a vulnerabilidades que transcendem os aspectos tecnológicos, são alvos também de interferências provocadas por aspectos físicos e humanos (SÊMOLA, 2014, p. 13).

A GDPR e a LGPD criaram a figura de um novo profissional, conhecido no âmbito de sua incidência, respectivamente, como Data Protection Officer (DPO) e Encarregado pelo Tratamento de Dados Pessoais.

As funções do encarregado estão descritas no art. 41, § 2º da LGPD e abrangem: a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; b) receber comunicações da autoridade nacional e adotar providências; c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Essas tarefas não são taxativas e podem ser ampliadas por ato normativo da autoridade nacional.

A exemplo do DPO, o encarregado é alguém incumbido de monitorar, fiscalizar, orientar a aplicação da LGPD na empresa. Também é sua incumbência interagir em nome dela com os titulares dos dados pessoais.

Esse papel exige conhecimentos em Segurança da Informação, das regras de negócio e Direito.

O cargo reclama, como se constata, conhecimentos multidisciplinares de seu ocupante.

Na prática, percebe-se que as funções de DPO acabam sendo ocupadas por advogados ou consultores legais especialistas em privacidade e proteção de dados ou mesmo profissionais de segurança da informação, em razão de sua familiaridade com o tema (CHAVES, 2018, p. 134).

Embora advogados e profissionais do Direito venham ocupando essas posições, o Encarregado pelo Tratamento de Dados Pessoais deve ter, necessariamente, formação em tecnologia de Segurança da Informação ou disciplina correlata.

O recrutamento dos profissionais do Direito para essa função se deveu, num primeiro momento, à indeterminação de alguns conceitos trazidos pela lei e à inexistência da autoridade nacional, que poderia esclarecer o alcance das definições normativas, elaborando uma espécie de jurisprudência administrativa sobre os assuntos tratados na LGPD.

Incorporados esses conceitos na cultura da empresa, o foco da gestão da Segurança da Informação na vigência da LGPD será implementação do “privacy by design” em todos os processos, na mitigação de incidentes que possam comprometer a proteção de dados pessoais e na introdução e manutenção das boas práticas de governança.

Essas tarefas, como se conhece, já são inerentes às atribuições do Gestor de Segurança da Informação e, com a LGPD, serão adaptadas à sua rotina, tornando-o ainda mais valioso para a empresa.

3 - Considerações finais

Em conclusão do presente trabalho, pode-se afirmar que:

1. Na Sociedade da Informação, o uso massivo de tecnologia põe em disputa direitos humanos fundamentais, como o da privacidade.

2. A Lei nº 13.709/18, mais conhecida como Lei Geral de Proteção de Dados Pessoais ou LGPD, surge quando a questão da proteção dos dados pessoais se torna preocupação mundial e requisito das relações de comércio internacional.

3. A LGPD impõe novos processos de negócio e a assunção de novos papéis e responsabilidades pelos gestores da Segurança da Informação.

4. O novo paradigma de proteção dos dados pessoais trazido pela LGPD demanda a existência de profissionais de Segurança da Informação com visão holística, amplo conhecimento do negócio e formação multidisciplinar.

5. Embora profissionais do Direito venham assumindo posições de DPO, tal fato se deve à indeterminação de conceitos trazidos pela LGPD e o receio de consequências jurídicas em razão de alguma não conformidade com a norma. Uma vez que as regras da LGPD estejam incorporadas à cultura da empresa, a função de Encarregado pelo Tratamento de Dados Pessoais poderá ser carreada ao profissional de Segurança da Informação ou de área afim, para ênfase nos processos dotados de “privacy by design”, na mitigação de incidentes e das boas práticas de governança.

Ética em Vázquez e o Hacking

O presente ensaio se propõe a responder se é possível relacionar Ética, na perspectiva de Adolfo Sánchez Vázquez, com Tecnologia da Informação, particularmente no campo das condutas hackers. Destacam-se, de início, tópicos da doutrina de Vázquez e, em seguida, aspectos da evolução do hacking, conforme abordados nos documentários “Os bons piratas” (SOCIEDADE INDEPENDENTE DE COMUNICAÇÃO S.A., 2008) e “Hackers: anjos e demônios” (DISCOVERY COMMUNICATIONS, INC, 2002).

Consoante Vázquez (1984, p. 17-20), o comportamento de um indivíduo que afeta outro indivíduo, impondo-lhe prejuízo, pode dar ensejo a um problema prático moral, que demanda razões, juízos de valor e uma justificação interna para se saber se é adequado ou não.

Para esse julgamento, de nada vale recorrer à Ética. Essa ciência, segundo o autor, não aponta para o que se deve fazer em cada situação concreta, nem diz o que é bom ou ruim. Não trata de uma moral absoluta ou universal. Ao contrário, aceita com indiferença a diversidade de morais e compreende que a moral se modifica com o tempo.

Note-se, assim, que a concepção de Ética em Vázquez tem seu valor naquilo que explica e não no que prescreve (1984, p. 22-24). Nesse ponto se distingue, por exemplo, da denominada ética positivista, defendida por Peter Singer, de feição prescritiva (informação verbal)[1].

Fincadas essas premissas, temos que o documentário “Os bons piratas” retrata o final da década de 80 e início da de 90, quando não havia Internet ou telefone celular.

Nesse cenário, surgiu um grupo de rapazes aficionados por tecnologia. No geral, eles tiveram contatos com computadores através dos jogos eletrônicos e recorreram a BBS para trocar programas e reunir pessoas interessadas nesses assuntos.

Para mantê-las funcionando, burlaram o sistema de cobrança das concessionárias de telefonia, pois a conexão era interurbana e a tarifa exorbitante. Era uma época de descobertas, segundo alegam.

Em 1992, a Polícia Judiciária portuguesa apreendeu 20 jovens, numa operação pioneira contra os hackers. Os agentes não imaginavam que os infratores eram adolescentes, nem conheciam o seu modus operandi. Aprenderam com eles.

A maioria desses hackers se tornou especialista em tecnologia. Hoje, refletindo sobre o que faziam, classificam seus atos como brincadeiras ou uma grande aventura. Insistem que não visavam ao lucro e que não podiam ser vistos como criminosos.

Em “Hackers criminosos e anjos” enfatiza-se o risco que os ataques hackers oferecem à sociedade.

A ameaça fez surgir profissionais conhecidos como hackers éticos, que mentem para conseguir informações, acessos privilegiados a sistemas informáticos ou atuam para acobertar os ataques sofridos por grandes corporações.

Ficou claro nas produções televisivas que os primeiros hackers – adolescentes dos anos 80 – estavam experimentando a tecnologia e não tinham plena consciência dos danos que podiam causar a terceiros. Suas ações não seriam passíveis de maior censura moral, já que esta é adquirida pelo hábito e pressupõe a plena capacidade intelectiva.

A Ética de Vázquez nos ajuda a compreender esse fenômeno como prática moral em um contexto específico e também o esforço que seus protagonistas fazem, ainda hoje, para justificá-lo.

 

REFERÊNCIAS

DISCOVERY COMMUNICATIONS, INC. Hackers: criminosos e anjos (Hackers: outlaws and angels). 2002. (49m09s). Princeton, NJ. Disponível em: <https://www.youtube.com/watch?v=vLulG30EM9c>. Acesso em: 10 jul. 2020.

SOCIEDADE INDEPENDENTE DE COMUNICAÇÃO S.A. Os bons piratas. 2008. (1h20min03s). Paço de Arcos. Disponível em: <https://www.youtube.com/watch?v=Z8Q6GPtB3SE>. Acesso em: 10 jul. 2020.

VÁZQUEZ, Adolfo Sanches. Ética. 4ª. ed. Barcelona: Editorial Crítica, 1984.

---

[1] Informação fornecida por Benedito Luciano Antunes de França em aula ministrada na Faculdade de Tecnologia de Americana aos alunos do curso de Tecnologia em Segurança da Informação no 1º semestre de 2020.

Como capturar publicações criminosas nas redes sociais para fazer prova em processo judicial?

É muito comum pessoas serem ofendidas, discriminadas ou chantageadas através de redes sociais e aplicativos (apps) de mensagens.
Nessas situações, pode ser conveniente fazer prova dessa ocorrência, inclusive para apresentá-la à Polícia ou em Juízo.
Existem programas e técnicas refinadas para isso, mas são do domínio dos peritos.
Para a generalidade dos casos, a própria vítima pode tomar as providências abaixo antes que a postagem ofensiva ou criminosa seja apagada.

1) Noção geral
Para capturar e preservar publicações do Facebook, Instagram, WhatsApp etc., recomenda-se a utilização de métodos que associem os links ao conteúdo e confiram autenticidade à coleta.
É importante, também, identificar de forma inequívoca o usuário (a conta) que fez a postagem.

2) Publicações
Para identificar publicações, salve o print da tela e o link completo do post.
Uma boa forma de obter o link é clicando em compartilhar e, ao invés de dar ok, usar o "copiar link".
Convém organizar os prints e os links num documento único e levá-lo à Autoridade Policial ou ao Promotor de Justiça em forma de uma representação (petição), impresso e em meio digital.
Para que tudo possa ter validade, o funcionário que recepcionar a representação deve checar os links (no documento digital) e, constatando as publicações incriminadas, lavrar a certidão, com data e hora.

São meios equivalentes ao da certidão do funcionário público:

• Ata Notarial
• Serviços como o Verifact (https://www.verifact.com.br/) ou OriginalMy (https://originalmy.com/)

3) Identificação de usuário e grupos de FB
Usuários do Facebook investigado são identificados por um número único, de 15 dígitos, no formato "id": https://www.facebook.com/profile.php?id=000000000000000 e também pelo nome no formato: https://www.facebook.com/IBDDIG
Grupos do Facebook possuem a identificação numérica de 15 dígitos, no formato: https://www.facebook.com/groups/000000000000000


4) Prazo
O Marco Civil da Internet (MCI) prevê prazos exíguos de preservação dos logs (registros).
Provedores de aplicação devem guardar os logs de acesso por 6 meses e os provedores de conexão à Internet mantêm os registros por 1 ano.
Convém que a Autoridade Policial oficie ao provedor (de aplicação ou de conexão, conforme o caso) para pedir a conservação dos registros por prazo maior, enquanto investiga o caso.
Com autorização judicial, o ofendido pode conseguir os registros de IP (protocolo de Internet) gravados no provedor de aplicação através do link/usuário relacionado à publicação investigada e, com essa informação, identificar o ofensor junto ao provedor de conexão.


5) WhatsApp
Recomenda-se exportar toda a conversa do contato/grupo, anexando as mídias, e produzir o documento que instruirá a representação. Deve-se também conservar a conversa no dispositivo para eventual perícia.

6) Outras informações:
Cartilha MPF: https://www.mpdft.mp.br/portal/pdf/imprensa/cartilhas/Cartilha_Facebook_Requisicao_Judicial_Dados.pdf

PJe e MNI em crise

O Tribunal de Contas da União concluiu, em 2019, auditoria no Conselho da Justiça Federal, no Conselho Nacional de Justiça e no Conselho Superior da Justiça do Trabalho voltada à informatização dos processos judiciais e a evolução do Modelo Nacional de Interoperabilidade - MNI (TC 008.903/2018-3).

O TCU apontou, em apertada síntese, que houve a fragmentação do Processo Judicial Eletrônico - PJe, em razão da adoção pelos tribunais de versões distintas dessa solução ou mesmo de softwares outros, inclusive particulares, gerando burocracia, aumento de custos e do tempo de tramitação dos feitos judiciais. A falta de governança conduziu à implementação de sistemas informatizados de baixa qualidade, com impacto na economia de recursos e na celeridade da prestação jurisdicional. 

No capítulo dedicado ao MNI, tecnologia que permite a troca de informações entre sistemas informatizados do Poder Judiciário e dos demais órgãos do sistema de Justiça (MP, Advocacia Pública, etc.), constatou-se que o padrão ainda não foi completamente implementado: oferece 4 serviços (entregarManifestaçãoProcessual; consultarProcesso; consultarAvisosPendentes; e consultarTeorComunicação) dos 6 inicialmente previstos (além dos citados: consultarAlteração; e confirmarRecebimento). A auditoria também constatou que o MNI apresenta uma quantidade significativa de erros transacionais e não transacionais, muitos dos quais ocorridos por falta de padronização das interfaces. Aponta-se que, das transações realizadas pela AGU, 25% não foram bem-sucedidas.

O assunto também vem interessando à comunidade acadêmica. Registram-se nesse âmbito os recentes trabalhos de Eduardo Watanabe (Representação das informações de processos judiciais, Dissertação de mestrado. Brasília, 2019), com destaque para o tópico dedicado à novel engenharia de documentos, e o de Egon Sewald Jr e outros (Avaliação do modelo nacional de interoperabilidade do Poder Judiciário brasileiro in: Pensar, Fortaleza, n.2, p. 442-483, maio/ago. 2016), indicando alguns aspectos do MNI que demandam atenção.

Penso que a informatização dos processos judiciais e o MNI estão em inescondível crise. Também o Conselho Nacional de Justiça já reconheceu a necessidade de superar as deficiências do modelo nacional do processo eletrônico (autos nº 002582-36.2019.2.00.0000) e convocou os atores envolvidos e "eventuais empresas interessadas" para contribuir com o projeto. A sociedade e os usuários agradecem. 

Cotas automatizadas no e-SAJ (com o emprego do recurso de Mala Direta do Word)

A elaboração de cotas simples no e-SAJ pode ser facilitada com os recursos de "correspondência" e "mala direta" do Word.

Uma vez identificados na área de intimação os processos com vista que demandam cotas simples, de um único parágrafo, é possível exportar as respectivas informações para um arquivo Excel, que será editado (para incluir a manifestação) e servirá de base à geração do documento automatizado.