Segurança da informação e a LGPD

Com a criação da LGPD vieram as regras sobre o tratamentos dos dados pessoais e regras sobre os direitos a que os titulares de dados têm. Entende-se por titulares de dados, as pessoas cujo os dados são tratados. E, por tratamento, entende-se por coleta, armazenamento, acesso, comunicação, compartilhamento e eliminação de dados pessoais. Além dessas regras que a LGPD traz, não menos importante, foi a inserção de padrões de conduta atrelados à segurança da informação. 

Mas o que é segurança da informação?

Primeiramente, importa lembrar que a Segurança da Informação não é medida nova que surgiu a partir das leis de proteção de dados. Ela é anterior pois inicialmente, o foco da segurança da informação era voltado à proteção da informação estratégica relevante para a empresa. Isto quer dizer, era aplicada no dia a dia das empresas para proteger segredos de negócio, como a fórmula de um produto exclusivo, a nova estratégia de marketing ou o código fonte de um sistema inovador. 

Por segurança da informação entende-se uma série de medidas técnicas e administrativas criadas para proteger dados tratados no âmbito digital,  de acessos não autorizados e de situações incidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. É, na verdade, o mecanismo para que os dados tratados por uma empresa  estejam seguros de eventuais incidentes. 

Dados estão, preponderantemente, armazenados em ambientes digitais: servidores, nuvens compartilhadas, aplicativos de comunicação, desktop, tablets e smartphones. E, portanto, precisam estar protegidos.

Especificamente sobre LGPD, as medidas para a segurança da informação contemplam medidas aptas a proteger os dados pessoais em todo o seu ciclo de vida (que pode contemplar coleta, manuseio, armazenamento, transmissão, descarte e etc.).

Existem as normas técnicas que já impõem um padrão para atender os requisitos de segurança da informação, são elas: ISO 27001, ISO 27002 e, especificamente sobre dados pessoais, a ISO 27701. 

As medidas para a segurança da informação se dividem entre técnicas e administrativas. 

Por medidas técnicas são aquelas que envolvem Tecnologia da Informação, com o uso de recursos de informática com funcionalidades voltadas à garantia da segurança da informação no ambiente digital. São alguns exemplos dessas tecnologias: ferramentas de autenticação de acesso a sistemas. mecanismos de segurança em software e hardware, recursos de controle de tráfego de dados em rede, instrumentos detectores de invasões de sistemas, recursos de criptografia, segregação de servidores, ferramentas de prevenção à perda de dados, testes de vulnerabilidade, entre outros. 

Já as medidas administrativas são aquelas atividades realizadas no âmbito organizacional da empresa, incluindo-se as de natureza jurídica. São alguns dos exemplos: políticas internas, política de privacidade externas, contratos de confidencialidade, capacitação de empregados cujas as atividades envolvam o tratamento de dados pessoais, controle de acesso de arquivos físicos, se existentes, entre outros. 

Como exemplo sobre o risco de uma empresa não implementar medidas de segurança da informação, traz-se um caso de um hospital europeu (Centro Hospitalar Barreiro Montijo) que foi multado pelo Comissão Nacional de Proteção de Dados (autoridade de proteção de dados portuguesa) no valor de 400.000 euros por violações à GDPR. Dentre as violações estava a não aplicação de meios técnicos e administrativos para prevenir o acesso não autorizado aos dados pessoais do paciente. 

O que aconteceu é que o hospital não tinha políticas para definir regras para criação de usuários que teriam acesso ao sistema com dados pessoais. Por exemplo, embora o hospital contasse com apenas 296 médicos, existiam 985 usuários ativos no sistema classificados como médicos. 

Veja-se que no caso acima não foi necessário um incidente de vazamento de dados para acontecer um processo administrativo contra o hospital. Neste caso, bastou uma denúncia e a constatação de que o hospital não atendia as medidas exigidas para a segurança da informação. 

Portanto, imprescindível que as empresas tomem as adequadas medidas técnicas e administrativas para a segurança da informação.  Controles internos precisam ser estabelecidos, implementados, monitorados, revisados e melhorados, onde necessário, para assegurar que os objetivos específico de segurança e do negócio da Empresa sejam atendidos. 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *