A Lei Geral de Proteção de Dados define, em seu art. 46, que os agentes de tratamento devem “adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Ou seja, as organizações devem implementar soluções tecnológicas e administrativas para garantir a disponibilidade, integridade e autenticidade dos dados, pilares da segurança da informação. No § 1º desse artigo, a LGPD define que a Autoridade Nacional de Proteção de Dados poderá definir padrões técnicos mínimos para que o caput do art. 46 seja validado e para que a própria autoridade possa fiscalizar seu devido cumprimento com base em critérios objetivos. Contudo, a ANPD ainda não definiu quais seriam esses padrões técnicos mínimos que serão observados pela autoridade guardiã da nossa lei de proteção de dados. Qual seria, então, o caminho a ser seguido pelas organizações que fazem tratamento de dados?
Privacidade desde a concepção (Privacy by design)
O § 2º do art. 46 consagra claramente que as organizações devem adotar o conceito de “privacidade desde a concepção” (privacy by design), quando diz que “as medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até sua execução”. Basicamente, utilizar o conceito de privacidade desde a concepção significa que a privacidade e proteção de dados devem ser consideradas fator importante e crucial desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço produto ou processo. Esse conceito foi desenvolvido por Ann Cavoukian, fundadora do Global Privacy and Security by Design Centre, e é baseado em sete princípios fundamentais:
(i) proativo, e não reativo; preventivo, e não corretivo; ou seja, tomar medidas proativas e não reativas, antecipando e prevendo eventos que coloquem a privacidade em risco, antes que aconteçam;
(ii) privacidade por padrão, primando por entregar o máximo grau de privacidade garantindo que os dados pessoais são automaticamente protegidos em qualquer sistema de TI ou práticas de negócio;
(iii) privacidade incorporada ao projeto (design), em outros palavras, a privacidade deve estar incorporada no projeto e arquitetura de sistemas de TI e práticas de negócio desde o projeto e não se tratada como um apêndice, a ser tratado em fases posteriores;
(iv) funcionalidade total, acomodando todos os interesses e objetivos legítimos, privilegiando o ganha-ganha, evitando falsas dicotomias como a privacidade versus a segurança ou privacidade versus usabilidade;
(v) segurança ponta a ponta — proteção do ciclo de vida dos dados, de forma que a privacidade seja incorporada antes da coleta do primeiro dado e desdobrando-se por todo o ciclo de vida dos dados envolvidos, com medidas de segurança adequadas e fortes. Assim, todo dado é coletado, mantido e eliminado de forma segura, garantindo a segurança ponta a ponta de todos o processo de tratamento de dados;
(vi) visibilidade e transparência, de forma a garantir, a todas as partes interessadas, que o tratamento de dados está de acordo com a finalidade e objetivos declarados, independentemente da prática comercial ou tecnologia empregada, e sujeito a verificação; ou seja, é dar transparência para os componentes e operações que tratam de dados pessoais, permitindo sua verificação por aqueles diretamente interessados. Seria o tripé Prestação de Contas (Accountability), Transparência (Openness) e Conformidade (Compliance);
(vii) respeito pela privacidade do usuário, que é colocar o interesse dos titulares em primeiro lugar, oferecendo medidas e padrões rígidos de privacidade e facilidade de uso e interação. É respeitar os direitos do titular, especialmente quanto ao consentimento, precisão dos dados, acesso e conformidade.
Boas práticas de mercado
O conceito de privacidade na concepção é importante para termos uma cultura de proteção de dados pessoais no país. Contudo, os seus princípios não são como uma receita de bolo, um tutorial de como implantar padrões técnicos mínimos de segurança, como determinado pela LGPD. A verdade é que, até o momento, a ANPD ainda não regulamentou quais são esses padrões citados no § 1º do art. 46. Uma opção para as organizações é utilizar as diretrizes definidas no Decreto 8.771/16, que regulamenta o Marco Civil da Internet. Esse decreto define, por exemplo, a previsão de utilização de sistemas de autenticação de dois fatores e uso de criptografia.
Outra opção é se espelhar em boas práticas já consolidadas no mercado, como as normas da ABNT. A norma ABNT ISO/IEC 27001:20131 define os requisitos para estabelecer, implementar, manter e melhorar de forma contínua um Sistema de Gestão da Segurança da Informação (SGSI), com foco nas necessidades e particularidades de cada organização. Por sua vez, a norma ABNT ISO/IEC 27002:2013 estipula as melhores práticas para apoiar a implantação do SGSI, incluindo a seleção, implementação e o gerenciamento de controles, com base em análise de risco da organização. Há ainda a norma ABNT ISO/IEC 27005:2019, que trata do processo de gestão de riscos de segurança da informação, complementada pela ABNT ISO/IEC 31000:2018, que traz recomendações para gerenciar os riscos. Por fim, há a ABNT ISO/IEC 27701:2019, para tratar da gestão da privacidade no contexto da organização.
Padrões Técnicos de Segurança valorizados pelas autoridades europeias
Um relatório do time de cibersergurança e proteção de dados do escritório de advocacia DLA Piper2, de janeiro de 2021, destaca algumas tendências e ações acerca da atuação das autoridades de proteção de dados europeias.
Esse relatório, dentre outras informações, identificou as principais violações que ensejaram a aplicação de multas pelas autoridades de proteção de dados europeias. A violação na aplicação do princípio da transparência aparece em primeiro lugar, apontando, principalmente, a insuficiência, a imprecisão, a não completude e a complexidade dos avisos de privacidade. A seguir, aparece a violação na demonstração da base legal que fundamenta o processamento de dados pessoais, tendo, em alguns casos, a constatação de que não havia nenhuma base legal para o processamento de dados analisado.
A violação na adoção de medidas de segurança apropriadas aparece em seguida. Destaca-se que a aplicação de sanções por falhas nas medidas de segurança vem se consolidando com as multas aplicadas na Europa, sendo possível identificar algumas boas práticas valorizadas pelas autoridades europeias e que podem servir de exemplo para as organizações brasileiras, até que a ANPD regulamente o tema. As onze principais medidas técnicas valorizadas pelas autoridades europeias são:
(i) monitoramento de contas de usuário privilegiados – contas privilegiadas são aquelas que têm permissão para alterar sistemas de segurança e, consequentemente, conseguem acessar todos os dados sensíveis. Se esse tipo de conta for comprometido por um ataque ou mesmo se for utilizada de forma indevida, a privacidade dos dados sensíveis será comprometida. Assim, é importante a implantação de soluções técnicas para monitorar o uso de contas privilegiadas, para evitar o seu uso indevido;
(ii) monitoramento do acesso e uso de bancos de dados com dados pessoais – todo acesso aos bancos de dados que possuem dados pessoais também deve ser monitorado e registrado, para que seja possível rastrear eventuais usos indevidos. Um ponto de atenção é com as contas de administradores do Banco de Dados, que como as contas privilegiadas, podem ter acesso aos dados pessoais;
(iii) implementação de hardening de servidores, para evitar acesso a contas de administradores ou super usuários – mais uma vez, a preocupação com as contas privilegiadas é tratada neste caso. Hardening de servidores é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas em servidores com o objetivo principal de torná-lo preparado para enfrentar tentativas de ataque, especialmente ataques para exploração de contas privilegiadas;
(iv) encriptação de dados pessoais e dados pessoais sensíveis – a criptografia é uma técnica que cifra os dados, tornando-os ininteligíveis para os que não têm acesso às regras e chaves utilizadas. É uma técnica importante que trabalha para garantir a confidencialidade dos dados, um dos pilares da segurança da informação;
(v) uso de autenticação multifatorial — que trabalha em um dos pontos mais sensíveis e explorados pelos invasores, o roubo de credenciais, por meio de técnicas de phishing, por exemplo. O uso de autenticação multifatorial verifica a identidade do usuário por meio de duas ou mais credenciais de acesso. Pode-se utilizar, por exemplo, algum critério que o usuário saiba (a senha), outro critério que ele possua (dados biométricos) ou algo que ele possua (um token);
controle de acesso rígido para aplicações, com base na necessidade e remoção de acesso quando não for mais necessário — privilegiando o princípio da necessidade, definido no art. 6º da LGPD, com a exclusão do dado ao final do seu ciclo de vida;
(vi) controle de acesso rígido para aplicações, com base na necessidade e remoção de acesso quando não for mais necessário — privilegiando o princípio da necessidade, definido no art. 6º da LGPD, com a exclusão do dado ao final do seu ciclo de vida;
(vii) teste de invasão frequentes — a equipe técnica deve implantar soluções técnicas de proteção e, além disso, fazer testes de invasão frequentes de forma a validar se os controles implementados são eficazes. Aqui é importante utilizar o ciclo PDCA — planejar (Plan) as soluções técnicas, executar (Do), implantar a solução planejada, verificar (Check) sua implantação – onde entra o teste de invasão — e atuar (Act), fazendo as correções e ajustes necessários, reiniciando o ciclo;
(viii) não armazenamento de senhas em texto claro em arquivos não criptografados — o que parece ser uma atitude óbvia, mas que infelizmente ainda é negligenciada, dado o volume de multas aplicadas pelas autoridades europeias. O armazenamento de senhas em arquivos com texto claro é um grande risco para a segurança da informação e sua existência deve ser mapeada e eliminada;
(ix)registro de tentativas de login sem sucesso — esse tipo de situação pode indicar um ataque de força bruta que, em caso de sucesso, pode colocar em risco todo o aparato de segurança implantado. Em conjunto com essa prática, deve-se implantar políticas de senhas fortes, com uso de senhas longas e diversos tipos de caracteres. O sucesso do ataque de força bruta se baseia na utilização de senhas simples;
(x) revisão manual de códigos para verificação se há dados pessoais indevidos — é importante verificar os códigos de sistemas para verificar se não há dados pessoais “chumbados”, especialmente senhas de sistemas e credenciais de usuários. Esse tipo de informação não pode existir nas linhas de códigos de sistemas de informação;
(xi) processamento de dados de cartões de acordo com o padrão PCI DSS, um padrão mundialmente reconhecido para tratamento de dados de pagamento com uso de cartão. As iniciais PCI DSS vêm do inglês “Payment Card Industry Data Security Standard”.
Privacidade: um dever de todos
A definição de critérios mínimos de segurança que devem ser implementados pelas organizações é parte do trabalho de regulamentação que a ANPD deve realizar para orientar controladores, operadores e titulares de dados pessoais. Contudo, até que a Autoridade brasileira consiga cumprir sua missão, que inclui diversas ações já divulgadas por meio de sua agenda regulatória para o biênio 2021-2022, as organizações brasileiras não devem ficar paradas. Na verdade, a segurança da informação tem tido um papel cada vez mais relevante dentro das organizações, especialmente as privadas, o que é importante para que tenhamos uma cultura de proteção de dados efetiva. Vimos que é possível utilizar conceitos e práticas de segurança da informação já consolidadas no mercado, como a Privacidade desde a Concepção e normas da ABNT ISO/EIC. É possível utilizar, também, as onze práticas valorizadas pelas autoridades de proteção de dados da Europa, no seu caminho de já dois anos e meio de existência da GDPR. A falta de definição de critérios objetivos da LGPD não pode ser usada como um subterfúgio para a inércia em relação à proteção da privacidade de dados pessoais. Afinal, a privacidade é um direito e um dever de todos.