POR Henrique Fabretti e Adriana Cansian* (Artigo publicado originariamente no Valor Econômico)

As preocupações e regulações relacionadas ao manuseio de dados pessoais não são recentes, muito embora o tema tenha ganhado maior relevância no mundo todo. Da mesma forma, as boas práticas ligadas à cibersegurança não debutaram na sociedade ontem nem passaram a figurar em leis e regulações setoriais apenas depois do advento das legislações sobre privacidade e proteção de dados pessoais.

Houve um momento, entretanto, em que ambas as matérias oficialmente se entrecruzaram e passaram a compor uma legislação no Brasil, a Lei Geral de Proteção de Dados (Lei 13.709/2018). No cenário mundial, o mesmo movimento aconteceu em outros países, a exemplo da criação do GDPR (Regulamento Geral sobre Proteção de Dados), vigente na União Europeia.

Muito embora haja certa complementaridade entre ambas as legislações, é fato que elas criaram problema para os gestores na implementação dos programas de governança de dados, uma vez que, por serem leis multidisciplinares, exigem olhar profundo e técnico dos pontos de vista jurídico, tecnológico e de cibersegurança, o que tem se mostrado mais desafiador do que inicialmente previsto.

A convergência de esforços para a execução de programa robusto de governança de dados revela o compromisso dos controladores com o atendimento às legislações, além de ser fator fundamental na mitigação dos riscos de danos reputacionais e patrimoniais em razão, por exemplo, de incidentes cibernéticos.

Outra questão fundamental nos programas de governança de dados é a ausência de processos de tratamento definidos e devidamente documentados, o que permitiria que gestor ou encarregado pelo tratamento de dados pessoais reconhecesse a maneira como trafegam as informações desde a coleta até a exclusão.

Esses apontamentos demonstram que ambas as questões estão intimamente relacionadas a aspectos de segurança cibernética ou segurança da informação, que englobam, em sua natureza, tanto questões relacionadas ao universo digital quanto à configuração física dos ambientes em que se realiza a guarda de dados.

Quando falamos em dados armazenados em dispositivos digitais, os desafios são ainda maiores, em razão da complexidade de diversas variáveis. Nesse sentido, as aplicações que não são desenvolvidas a partir de linguagens de programação, que consideram módulos de segurança desde sua concepção, dificilmente poderão ser tidas como seguras e estar em conformidade com os normativos de privacidade e proteção de dados.

Da mesma forma, empresas desenvolvedoras que não têm políticas de testes de intrusão (pentests ou penetration tests) terão maior dificuldade em comercializar seus produtos e de oferecer garantia de segurança dos dados tratados. Além disso, as políticas de privacidade e segurança dessas companhias, bem como seus termos de uso, correm risco de não serem considerados documentos fidedignos.

Sobre esse tema, é importante ressaltar que realizar um único teste de intrusão numa aplicação não configura atestado de segurança, uma vez que a dinamicidade dos ataques cibernéticos não comporta uma política estática de testes e de correções de vulnerabilidades. Dessa forma, a testagem de aplicações não garante que o usuário não sofra nenhum ataque ou que seus dados estejam isentos de sofrer algum tipo de incidente de segurança, até porque, no universo da cibersegurança, a palavra de ordem é dinamismo.

Isso significa não apenas conduzir pentests ou scans, considerando que o segundo pode ser caracterizado apenas como mapeamento inicial das possíveis vulnerabilidades, feito automaticamente, enquanto o primeiro pode utilizar o scan como etapa inicial, sendo muito mais completo e profundo, assegurando a qualidade da análise humana em relação às vulnerabilidades encontradas, com o intuito de evitar falsos positivos e de categorizar os resultados conforme a criticidade das vulnerabilidades encontradas. Para isso, podem ser utilizadas diversas metodologias, como OWASP Top 10, SANS Top 25 e Cyber Kill Chain, por conferirem maior credibilidade ao processo, além de parâmetros para sua execução.

O sucesso do programa de governança de dados, entretanto, transcende todos esses pontos, na medida em que, assim como apregoa Bruce Schneier, renomado criptologista americano: “segurança é um processo, e não um produto”, ou seja, ainda que se invista nessas duas frentes, treinar, avaliar e estabelecer círculo virtuoso de revisões são fundamentais para que os dados estejam, de fato, seguros.

Indissociável desse processo é a sinergia entre profissionais do direito e da segurança cibernética, assegurando a documentação das avaliações e dos testes realizados para fins de accountability, além do consequente respeito às legislações protetivas de dados pessoais.

Por fim, reiteramos a necessidade de operadores do direito e profissionais de tecnologia estarem cada vez mais próximos, investindo no compartilhamento de conhecimentos, bem como no trabalho conjunto, de forma a se tornarem multifacetados e icônicos do seu tempo, afinal, o direito do século XXI ultrapassou os limites do papel e da caneta, entrando, definitivamente, para o mundo cibernético com todos os seus meandros.

*Henrique Fabretti é sócio do Opice Blum, Bruno e Vainzof Advogados Associados.

*Adriana Cansian é gestora de Segurança da Informação do Opice Blum, Bruno e Vainzof Advogados Associados.