“A Lei Geral de Proteção de Dados abre para o mercado a possibilidade de formular suas próprias regras de boas práticas e de governança. As empresas vão desenvolver práticas eficazes [por meio de códigos de conduta e boas práticas], que serão submetidas à aprovação da Autoridade Nacional de Proteção de Dados”, disse nosso chairman e sócio-fundador, Renato Opice Blum, na live “Aspectos legais de Segurança da Informação: desafios a serem transpostos por advogados e técnicos”, realizada no dia 14 de março em nosso canal do YouTube.
O advogado se referiu ao artigo 50 da LGPD (Lei Geral de Proteção de Dados), que trata do instituto da autorregulação regulada, ou seja, da possibilidade de controladores e operadores, no âmbito de suas competências, formularem regras de boas práticas e de governança, que estabeleçam, entre outras coisas, as normas de segurança e os padrões técnicos adotados pela empresa.
De acordo com o parágrafo terceiro do artigo 50, essas regras deverão ser publicadas e atualizadas periodicamente, podendo ser reconhecidas e divulgadas pela ANPD. A LGPD “não deixa apenas para a Autoridade a responsabilidade de se debruçar e regular todas as regras de segurança”, disse Opice Blum.
Um dos convidados da live foi Arthur Sabbat, diretor da ANPD, que tratou do tema sob a perspectiva da Autoridade. Segundo ele, “a ANPD tem debatido amplamente sobre esse impacto das medidas de segurança de informação nas legislações futuras, principalmente no âmbito da proteção de dados pessoais”. Ele ainda destacou que a LGPD não se ateve aos detalhes de definir a metodologia de segurança da informação, pois, se assim fizesse, as regras precisariam mudar rapidamente frente à velocidade da evolução da tecnologia.
“Não dá para separar proteção de dados e privacidade das medidas de segurança da informação, que devem ser proporcionais ao ativo a ser protegido. A implementação da cultura da segurança da informação é difícil de conseguir, mas nós estamos em crescente movimento de implementação, que exige incentivo ao mercado e trabalho da Autoridade para isso”, disse o diretor da ANPD.
Proteção de dados e segurança da informação
Mediador da live, nosso sócio Caio Lima reforçou que algumas regras de proteção de dados e segurança da informação, que pensamos ter sido inovadoras a partir da LGPD, já existiam em outras legislações nacionais, como o Código de Defesa do Consumidor (CDC) e o Marco Civil da Internet (MCI). “Quando olhamos para a segurança da informação, lembro do artigo 13 do Decreto 8.771/2016, que regulamenta o MCI. Esse dispositivo determina que as empresas devem ter regras de segurança da informação, bem como inventário detalhado para saber quem acessou os dados pessoais, havendo também menção à encriptação, entre outros pontos”, explicou.
Ainda de acordo com o advogado, “a LGPD, no artigo 46, traz menção a medidas de Privacy by Design ou Security by Design, mas não há, no texto legal, determinação exata sobre o que as empresas devem seguir em relação à segurança da informação”, o que possibilita o instituto da autorregulação regulada, bem como dá à ANPD a possibilidade de divulgar guias ou resoluções para orientar o comportamento dos agentes, como já ocorreu com os agentes de tratamento de pequeno porte.
Do ponto de vista do mercado, outro convidado da live, o Cyber Evangelist do C6 Bank, Anchises Moraes, ressaltou que entende a razão da genericidade da LGPD quanto às regras de segurança, mas reconhece que o técnico, ao ter acesso à lei, pode ficar confuso, sendo essencial o papel da ANPD na construção do comportamento frente à legislação. “A LGPD foi um marco regulatório para os profissionais de segurança da informação e para a sociedade. Ela trouxe a preocupação com a segurança dos dados pessoais, colocando essa pauta para pequenas, médias e grandes empresas”, disse.
Anchises afirmou que o técnico sabe que deve construir sistema eficaz para a proteção dos dados da empresa. “Na área de segurança, já existem práticas bem sedimentadas no mercado para a proteção dos dados e da segurança de uma empresa e das pessoas. Se tomarmos os cuidados básicos de monitoramento do ambiente e de proteção de dados, conseguimos nível bom de conformidade e boas práticas. Isso vale para estrutura local e na nuvem”, concluiu.
Interdisciplinaridade
O direito tem se tornado cada vez mais interdisciplinar. Para nossa gestora de Segurança da Informação, Adriana Cansian, que também participou da live realizada no dia 14 de março, “cada vez mais há necessidade de entendimento de que operadores do direito e área técnica precisam ter domínio de conceitos específicos de outras matérias para trazer melhores resultados”. Por isso, a área de segurança da informação está intrinsecamente ligada ao direito, principalmente quando falamos em proteção de dados.
“Hoje, o operador do direito que está mais próximo de questões técnicas dá uma série de contribuições para a evolução do negócio, atuando nas decisões que impactam valuation da empresa. Estamos falando de novo viés dos advogados, com perfil mais interativo. As questões de segurança estão relacionadas a esse novo viés interdisciplinar que temos observado na ciência jurídica”, complementou a advogada. Em relação à segurança da informação, Adriana explicou que “não há como ter programa robusto de governança de dados sem que exista preocupação com aspectos relacionados à segurança da informação. É importante se preocupar com aspectos técnicos”.
Por fim, Adriana Cansian mencionou a participação do Encarregado pelo Tratamento de Dados Pessoais ou DPO (Data Protection Officer) na construção do arcabouço de compliance de uma empresa à LGPD. Para ela, a organização deve pensar na proteção de dados sob dois vieses: (i) relacionado à política de segurança da informação e seus anexos procedimentais, como os previstos na ISO 27.001; e (ii) elaboração de documentos relacionados a questões de incidente de segurança, como Plano de Continuidade de Negócios, Plano de Recuperação de Desastres e Plano de Resposta a Incidentes.
“É importante que os advogados se aproximem da elaboração desses documentos. Outra questão é que as visões tanto para programas de governança quanto para políticas de segurança da informação são holísticas e devem ser pensadas de acordo com o porte da instituição e com o segmento de negócios que ela está inserida”, concluiu, reforçando que a autorregulação regulada permite que as empresas pensem em plano de adequação coerente com suas necessidades, devendo submetê-lo à ANPD.
Para mais informações, inclusive sobre autorregulação regulada (códigos de conduta e boas práticas setoriais), nossas equipes permanecem à disposição.