Por: Jeferson D’Addario

O tema privacidade ganhou força nos últimos anos, assumindo papel de protagonista no Brasil devido a Lei Geral de Proteção de Dados (LGPD), prevista para entrar em vigor em agosto de 2020. Tudo isso gerou muita expectativa, especulação e busca por conhecimento e serviços relacionados à Lei.

De fato, todo o debate no campo da proteção de dados pessoais é sensível a qualquer profissional que lide com dados e informações — sejam eles clientes, fornecedores, operadores de tecnologias, comércio eletrônico e convencional, escritórios de contabilidade, farmácias, convênios médicos, bancos ou até mesmo um simples comércio convencional manuseando dados pessoais.

O que pouca gente sabe, apesar do cenário agitado e receoso diante da LGPD e suas exigências, é que investir em proteção de dados pessoais é assunto (e obrigação) de longa data. Vale relembrar alguns marcos importantes que já abordavam, em partes, essa temática:

Constituição de 1988

O princípio da inviolabilidade à privacidade está previsto em nossa Constituição Federal, em seu Art. 5º, inciso X, dispondo que:

“(…) são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.” 

Código Civil

Os artigos 12º e 21º da Lei nº 10.406, de 10 de janeiro de 2002, diz que é possível:

“(…) pedir indenização pelos danos materiais e compensação pelos danos morais sofridos.”  

Dia Internacional da Proteção de Dados

Celebrado no dia 28 de janeiro, criado pelo Conselho Europeu em 2006, o Dia Internacional da Proteção de Dados tem o objetivo de alertar e conscientizar as pessoas sobre a importância da privacidade de dados na internet.

Lei 12.737:2013

Popularmente conhecida como Lei Carolina Dieckmann, a Lei 12737 entrou em vigor em 2013. Esta lei promoveu mudanças no Código Penal Brasileiro (Decreto – Lei 2.848 de 7 de Dezembro de 1940), regulamentando os crimes chamados “delitos informáticos” como a invasão de dispositivos alheios e falsificação de documentos particulares.

Lei 12.965/2014

Conhecida como o Marco Civil da Internet garante a liberdade de acesso à rede e também protege a liberdade de expressão, sem deixar de prestar atenção na privacidade dos usuários.

Esses marcos evidenciam que o tema proteção de dados pessoais e “privacidade” já é velho por aqui, e só ganha mais força impulsionado pelas tecnologias emergentes, como Big Data, robôs, Machine Learning, I.A. (Inteligência artificial) e Cloud Computing, que atua diretamente com uma massa de dados, muitas vezes sem garantir a segurança e privacidade devidas.

Para compreender melhor os riscos à pessoa comum e até onde pode chegar as consequências do uso indevido dos seus dados e informações pessoais, recomendo assistir o documentário privacidade hackeada da Netflix, que expõe o perigoso mundo da exploração de dados, e apresenta ao mundo o escândalo da Cambridge Analytica e Facebook.

Nesse contexto, a privacidade e proteção de dados ganharam mais holofotes após o advento da GDPR (General Data Protection Regulation), que entrou em vigor na Europa no dia 28 de Maio de 2018, que veio justamente para regulamentar o que já era previsto na legislação de diversos países.

Especialistas de Segurança da Informação, Direito e de Privacidade, Claudio Dodt, Luis Felipe e Emerson Predolim abordam a regulamentação nacional em um Webinar sobre o desafio das empresas diante da LGPD e as Normas. Confira as experiências deles.

Já em dezembro de 2019, foi lançada no Brasil pela ABNT (Associação Brasileira de Normas Técnicas), a norma NBR ISO/IEC 27701:2019 – Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27.001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes. Uma das primeiras traduções da ISO de mesmo número e teor.

Segundo Ariosto Farias Jr., coordenador da Comissão de Estudo CE-021.000.027:

 “É uma norma que representa os anseios da sociedade, em decorrência do Regulamento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia, como também da nossa Lei Geral de Proteção de Dados Pessoais (LGPD), que entrará em vigor em agosto de 2020.”

Não existe bala de prata — e o mais recomendado é seguir as normas e melhores práticas existentes para a gestão de segurança da informação, gestão de serviços de tecnologias e investir na capacitação e educação em todos os níveis organizacionais.

Desde 1995, temos à disposição no mercado mundial as normas ISO, que são referências para empresas que precisam aumentar a maturidade quanto à proteção do negócio, resiliência empresarial e segurança da informação, resultando na devida proteção de dados pessoais e diminuição dos riscos para investidores, acionistas e titular dos dados.

Para facilitar o seu entendimento sobre a relação cronológica entre os marcos e as leis, veja a linha do tempo:

No alt text provided for this image

Um dos maiores custodiantes dos dados e informações em todo e qualquer negócio, seja governo ou setor privado, é a área de TI. Nos velhos e bons bancos de dados de várias aplicações, navegam diariamente milhões e milhões de dados, informações pessoais e privadas — além de infinitas conexões com outras aplicações. E como está a segurança disso?

Adequar-se à LGPD é uma responsabilidade social e, ao mesmo tempo, um diferencial competitivo.

Bom, alguns dos problemas e riscos de Tecnologia da Informação (TI) de 20 anos atrás ainda existem, e em muitas aplicações novas e legadas coexistindo para cumprir suas obrigações, os riscos de acessos indevidos e vazamentos só aumentaram.

Para empresas que olham esse mundo novo baseado em dados e informações, onde a análise comportamental para vendas, controle ou proteção terá uma grande VANTAGEM COMPETITIVA, implementar um Sistema de Gestão de Segurança da Informação (SGSI), baseado na norma ISO/IEC 27001 (focada na gestão de Sistema da Informação) é considerado o primeiro grande passo.

Simplificando, a implementação das normas ISO 27001 e do complemento ISO 27701 permite que a empresa atende aos principais requisitos de segurança da informação e privacidade.

Para facilitar o entendimento das normas ISO 27.001 e 27.701, confira:

No alt text provided for this image

Fonte: ABNT NBR ISO/IEC 27.201:2019 – Anexo F

Adequar-se a LGPD é um fato e uma necessidade legal, e possibilita ao Brasil acelerar negócios com a Europa e demais países que entendem que proteger adequadamente a privacidade é ético, respeitoso e necessário em um mundo onde a tecnologia tornou-se um exponencial.

Sei que diante de muitos termos, regulamentos e padrões, nós podemos ficar perdidos ou não entender completamente tudo o que foi escrito.

Por conta disso, produzimos uma Planilha | Matriz Cruzada da LGPD versus normas de Segurança ISO 27701, ISO 27001 e ISO 27002. É uma maneira muito mais fácil de visualizar e entender os fundamentos que terão início a lei.

Você pode baixar este material a seguir.

https://dary.us/matriz-cruzada-lgpd-versus-iso

Boa leitura!

Este artigo contou com o apoio de Nadia Guimarães, Helio Cordeiro, Claudio Dodt e time DARYUS.

Fonte: Daryus