Preliminares
Nesta mesma coluna, da última sexta-feira, 16 de julho, o artigo "Segurança cibernética em escritórios de advocacia" aborda, em seu início, um elenco de crimes cibernéticos que afrontam, não só os escritórios de advocacia, mas uma série de outras instituições. No início deste mês, dois órgãos nacionais foram acusados de vazamento de dados, a Dataprev e o Instituto Nacional do Seguro Social (INSS). O Instituto de Defesa Coletiva, alega a ineficiência dos órgãos federais em manter seguros os dados dos segurados, assim impetrou uma ação civil pública na 17ª Vara da Justiça Federal de Minas Gerais [FDR, 2021] [EXTRA-GLOBO, 2021]. Alguns são acusados de serem reincidentes, como é o caso do LinkedIn, acusado de vazar dados pessoais de 700 milhões de usuários, ou seja, 93% dos usuários cadastrados na plataforma [UOL, 2021].
Infelizmente a lista de malandragens cibernéticas não se limita ao vazamento de dados, e cobre um largo espectro falcatruas. Outra trapaça ainda muito comum é o sequestro de dados, os já famosos ransomwares, que são ataques cibernéticos que sequestram dados na intenção de cometer outro crime, a extorsão. Recentemente o grupo Fleury, uma grande organização de serviços médicos no país, ficou com os sistemas fora do ar, e também, a empresa alimentícia JBS dos EUA teve suas operações de processamento de carne, tanto nos EUA, quanto na Austrália, impactadas.
Poderíamos aqui listar inúmeros casos deste tipo desfalque. Se fizermos uma busca na web por palavras-chave tais como “vazamento de dados”, “crimes cibernéticos” e semelhantes, poderemos nos certificar do lastimoso número de casos noticiadas. Isso sem contar os casos das empresas e instituições de pequena expressão que não chegam na mídia. Segundo a pesquisa realizada pela empresa PSafe, e divulgada pela CNN [CNN, 2021], este ano já foram vazados os 4,6 bilhões de credenciais na rede e, certamente, mais dados virão à tona.
O elenco de “safadezas” cibernéticas é muito mais diversificado do que as inúmeras estratégias dos "mocinhos" de T.I. cuja imaginação não foi capturada pelo capiroto e seus algozes. Não obstante, ao meu ver, a lógica invertida das acusações que punem os detentores de dados por não acrescentarem outro "cadeado na porta já trancada dos dados", esses desfalques sobre os dados alheios devem ser minimizados, quiçá, aos olhos dos iludidos, eliminados. Antes de chegarmos nos pontos de silos e despacho de dados, antes mesmo dos algoritmos de anonimização que podem apenas dissipar o ímpeto do invasor pirata e dos firewalls que filtram dados e acessos, devem reinar absoluto para segurança dos dados a governança e a gestão destes.
Governança e Gestão de dados
Foi-se o tempo que contabilizávamos os ativos computacionais de uma instituição pelo seu parque computacional, pelos sistemas de gerenciamento de dados e os sistemas de comunicação. Há tempos, os mais valiosos ativos de uma empresa são os dados, os meus, os seus dados e os nossos. Hoje é fácil ver como os information assets monetizam e rentabilizam as maiores empresas, em valor de mercado, do planeta: Apple e Microsoft.
Em termos leigos, do que adianta termos um super sistema seguro de processamento e armazenamento de dados pessoais se, quando um cliente faz contato com uma empresa, algum funcionário anota em papel alguns dados pessoais do cliente para realizar um procedimento? Ou ainda, quando recebemos uma encomenda e notamos que na etiqueta impressa no pacote constam metadados que revelam vários dados pessoais nossos? Para estes casos, o que falta para prevenir o vazamento de dados? Governança ou gestão de dados?
Em termos amplos, a governança de dados define-se pelos relacionamentos entre os líderes da empresa, seus colaboradores, os acionistas e os usuários de seus serviços. Relacionamento este que define os objetivos organizacionais e monitora o seu desempenho. Quando afunilamos para o universo dos dados, podemos citar o trabalho de Khatri e Brown [KHATRI; BROWN, 2010] os quais definem governança como as decisões que devem ser tomadas para garantir a gestão e o uso eficaz dos ativos de dados, e quem como quem toma as decisões; enquanto também definem a gestão de dados como a tomada e implementação de decisões.
Pode parecer que o tema de governança e gestão de dados passa ao largo da LGPD, muito longe da área jurídica, mas é interessante como praticamente qualquer abordagem que tomemos sobre esse tema de governança e gestão este se funde perfeitamente à lei, a parte dos detalhes, mas em seus princípios.
Para os mais afoitos, tomemos como exemplo os caminhos seguidos no clássico livro de Peter Weill e Jeanne Ross Ross [WEILL; ROSS, 2004]. Nesta obra a arquitetura de todo processo de decisão e reponsabilidade sobre os dados, ou seja, a governança de dados, recai sobre cinco domínios de decisão, que são: a) o domínio dos princípios; b) o domínio da arquitetura; c) o domínio da infraestrutura; d) o domínio dos negócios e aplicações; e, finalmente, e) dos investimentos e prioridades.
Pode não parecer, mas os cinco campos decisórios estão interrelacionados. O domínio dos princípios esclarece as funções que a TI desempenha na organização, ou ainda, se é função principal ou acessória. Este domínio orienta as decisões do sistema de arquitetura computacional, os quais, por sua vez, orientam a infraestrutura necessária para consecução das funções da empresa. Os recursos de infraestrutura da organização permitem avançar nos negócios da lógica e aplicação dos negócios. A necessidade de novas aplicações de negócios pode criar novos requisitos, os quais movimentam toda estrutura anterior e abre opções para novos investimentos e prioridades.
Foquemos nos primeiros três: o domínio dos princípios orienta as decisões da organização. É neste momento que podemos tomar a decisão por dados mínimos e a decisão de priorizar a anonimização de dados. Dois dos princípios fundamentais da LGPD. Destes princípios nascem as necessidades no domínio da arquitetura do sistema, das necessidades de software que garanta a anonimização, o tratamento dos dados, bem como seu armazenamento seguro. Esse design de engenharia de software, de arquitetura de software e requisitos, avança para as prioridades de infraestrutura, ou seja, mecanismos de proteção de dados como redes de dados seguras, armazenamento seguro de dados (storage em nuvem, por exemplo), firewall, criptografia como medida secundária de proteção, assinatura eletrônica, entre outros.
Analogamente à Weill e Ross, os estudos mais recentes de Khatri e Brown [KHATRI; BROWN, 2010] chegam a resultados semelhantes com uma proximidade ainda maior à LGPD. Neste estudo Khatri e Brown definem um arquétipo, um framework, para governança de dados também baseados em cinco eixos: a) dos princípios sobre os dados (como Weill e Ross); b) da qualidade dos dados; c) dos metadados (reparem na inovação); d) do acesso aos dados; e, e) do ciclo de vida dos dados. Reparem que neste modelo, os recursos físicos de TI, os ativos de infraestrutura, ficaram na saudade. Vamos abordar cada um na vicinalidade da LGPD.
A) Data principles: Para estabelecer esse princípio devemos responder à questões básica, tais como: Quais dados a organização precisa para realizar suas operações? (reparem o vínculo como o princípio dos dados mínimos sugeridos na LGPD); Como esses dados são usados nos mecanismos de comunicação internos e externos? (lembram-se das encomendas postais?); Os colaboradores reconhecem os dados como ativos da organização?; Como compartilhar e reutilizar os dados identificáveis?; e, Como o ambiente regulatório influencia nos negócios da organização?
Todos estes aspectos respondidos nas questões acima refletem nas decisões sobre a propriedade dos dados, os deveres dos operadores, controladores, dos consumidores e, certamente, implicam em direcionar a organização para a instituição de uma política extensiva de governança e gestão de dados. Faltou citar anonimização aqui? Claro que não, a LGPD está hoje mais incluída do que nunca neste eixo. É a preocupação mor de todo controlador.
B) Qualidade de dados: O nome é sugestivo deste eixo que estabelece os requisitos para o uso pretendido dos dados, ou seja, o tratamento responsável dos dados. Para estabelecer este princípio a equipe de gestão de dados deve estabelecer padrões para a completude, qualidade e credibilidade dos dados. Para tanto, esperamos a ação de especialistas em qualidade de dados, em gerentes de qualidade e programas contínuos de avaliação de resultados.
C) Metadados: Estabelece a “semântica” dos dados, ou melhor, qual é o conteúdo interpretado pelos colaboradores e usuários destes dados. Esse princípio claramente encontra respalda na transparência dos dados à pessoas que forneceram estes dados. Ou ainda, invoca a possibilidade de todos, colaboradores, usuários e fontes dos dados, serem informados e questionados não apenas sobre os fatos atestados pelos dados, mas de como a sua organização pode ser interpretada. Já debatemos os metadados nesta coluna. Leiam "Cookies: doces ou travessuras na LGPD" e"LGPD, qual é a cor do meu sapato?". Agora, de modo mais imediato...
D) Acesso aos dados: Quais são os requisitos para acesso aos dados? Uma pergunta simples, objetiva, e que realmente levanta a questão de segurança dos dados pessoais. Não só da segurança, mas como também da anonimização. Se este ponto “escapou” da verificação no primeiro eixo, dos princípios, desta “peneira” ele não passa. Respostas a questões como estas, a seguir, clarificam o acesso aos dados: Qual a relevância dos dados pessoais para nosso negócio? Quem irá estabelecer os riscos de acesso aos dados? Existe alguma norma de compliance a ser seguida? Quais são os programa educativos sobre a importância do tratamento de dados na organização? Como são realizadas as cópias de segurança e recuperação destes dados? E, finalmente
E) Ciclo de vida dos dados: Como os dados são adquiridos, tratados, armazenados e, eventualmente, removidos e apagados do sistema? A LGPD e, certamente, e a ANPD, Autoridade Nacional de Proteção de Dados, fazem e farão deste eixo sua praia favorita. A legislação para retenção e arquivamento destes dados, além dos processos envolvidos, ainda tem muito que evoluir neste eixo. O ciclo de vida incorpora o cerne do tratamento de dados pessoais, do seu “nascimento” ao destino final.
Acredito que visão dos dados pessoais fragmentada nestes eixos amplia a forma como entendemos as fragilidades, ou virtudes, de um sistema computacional que lida com dados pessoais. Estes frameworks possibilitam abrir a "caixa de Pandora". Como na criação de Hefesto, a abertura desta caixa poderá libertar de seu interior todos os males até então desconhecidos pelos controladores de dados. No entanto, ao curador ainda infunde-se a tentação de fechá-la e, ao fechar a caixa, como Pandora fez, ele mantém em seu interior apenas a esperança. Esta esperança que mantemos aqui, a esperança que estes modelos de governança e gestão de dados possam ao menos minimizar estes episódios de crimes cibernéticos ou mitigar os danos aos usuários.
Referências bibliográficas
OLIVEIRA, C. G. B & MINTO, G. A. R. Segurança cibernética em escritórios de advocacia. Migalhas. Migalhas de Proteção de Dados. No. 5.148.
FDR, Dataprev e INSS são acusados de vazamento de dados dos pensionistas; e agora? 2 de julho de 2016. Disponível aqui.
EXTRA-GLOBO, Vazamento de dados de aposentados do INSS vai parar na Justiça. 30 de julho de 2021. Disponível aqui.
UOL, LinkedIn é alvo de nova denúncia de vazamento de dados. 29 de junho de 2021. Disponível aqui.
CNN, O mundo já registra 4,6 bilhões de dados vazados em 2021, diz PSsafe. 21 de julho de 2021. Disponível aqui.
KHATRI, Vijay; BROWN, Carol V. Designing data governance. Communications of the ACM, v. 53, n. 1, p. 148-152, 2010. Disponível aqui.
WEILL, Peter; ROSS, Jeanne W. IT governance: How top performers manage IT decision rights for superior results. Harvard Business Press, 2004.
*Evandro Eduardo Seron Ruiz é professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor Livre-docente pela USP com estágios sabáticos na Columbia University, NYC e no Instituto de Estudos Avançados da USP (IEA-USP). Coordenador do Grupo de Pesquisa "Tech Law" do IEA-USP. Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.