Ao pensarmos na LGPD é quase instintivo que associemos a norma ao conceito de “privacidade” (que, afinal, é um dos fundamentos da disciplina da proteção de dados pessoais, conforme dispõe o art. 2º, inciso I, da LGPD), o que acaba por fornecer uma compreensão limitada do tema, com consequências práticas bastante sérias.
Por se tratar de norma relativa ao campo da Segurança da Informação, a LGPD deve ser lida à luz dos três pilares (ou princípios) que orientam a matéria1:
Disponibilidade – A informação é acessível por usuários autorizados sempre que a solicitarem.
Integridade – Somente usuários autorizados podem alterar informação.
Confidencialidade – Somente usuários autorizados podem visualizar informação2.
A análise dos dispositivos da LGPD revela a preocupação com esses pilares ao longo de todo o texto, como no art. 6º, inciso VII, que traz a definição de “segurança” e exige a adoção de medidas para “proteger os dados de acessos não autorizados [confidencialidade] e de situações acidentais ou ilícitas de destruição, perda [integridade e disponibilidade], alteração [integridade], comunicação ou difusão [confidencialidade]”.
Portanto, a estruturação de programas de adequação à LGPD não pode se basear unicamente em preocupações a respeito da privacidade (ou, mais precisamente, da confidencialidade) dos dados pessoais tratados pelo controlador, mas deve também cuidar de aspectos de disponibilidade e integridade das informações.
A recente invasão aos sistemas informatizados do STJ, por meio de ataque conhecido como ransomware3, 4, tornou os sistemas do tribunal indisponíveis durante mais de uma semana e motivou, posteriormente, a instituição do Comitê de Segurança Cibernética do Poder Judiciário (Portaria 242, de 10 de novembro de 2020)5, por parte do CNJ. Trata-se de poderoso lembrete sobre a necessidade de não se descuidar dos demais aspectos da segurança da informação e, como afirmaram João Pedro Favaretto Salvador e Tatiane Guimarães em artigo publicado no Portal Migalhas em 10/11/2020, representa “mais um grito de socorro da segurança cibernética no Brasil”6.
E, dentre as ferramentas existentes para auxiliar no gerenciamento dos riscos de segurança cibernética (e, consequentemente, na adequação plena à LGPD), merece destaque o Plano de Continuidade de Negócios (“PCN”) conforme desenhado, por exemplo, na norma técnica ABNT NBR ISO 22301:2020.
A norma conceitua o Plano de Continuidade de Negócios como o documento que orienta a organização (seja sociedade empresária, seja um órgão público) na retomada da prestação de serviços frente a um evento adverso (como a completa indisponibilidade das instalações físicas da organização, por exemplo), e traz requisitos para a implementação de um plano de continuidade de negócios adequado (como a definição de políticas e procedimentos para situações de crise, elaboração da análise de risco e impacto, estabelecimento de metas e indicadores para avaliação do plano de continuidade de negócios, além de exigir auditorias e testes periódicos do plano para garantir a eficiência e eficácia dos controles previstos no documento).
Ao considerarmos situações análogas à invasão ao sistema do STJ (como, por exemplo, um ataque de ransomware aos servidores de uma empresa de médio porte), um PCN bem estruturado permitiria a retomada mais célere das atividades essenciais de uma organização, o que pode ser a diferença entre a vida e a morte do negócio: afinal, qual o tamanho do impacto que uma indisponibilidade sistêmica de uma semana provocaria em uma média empresa?
Assim, a adequação à LGPD não pode se limitar apenas às disposições da lei, sob pena da elaboração de um programa de segurança da informação que não se sustentará frente a incidentes mais graves, sendo necessária a integração dos dispositivos da Lei Geral de Proteção de Dados com diretrizes previstas em normas técnicas e códigos de boas práticas de governança de TI e segurança da informação (como previsto, por exemplo, no art. 33, inciso II, alínea “d”, ou no art. 50, ambos da LGPD).
________
1- A norma ABNT ISO/IEC 27001:2013, que especifica os requisitos para sistemas de segurança da informação, define a segurança da informação como a preservação da confidencialidade, integridade e disponibilidade da informação, podendo, eventualmente, envolver outros serviços como autenticidade ou não-repúdio (BRASIL. Associação Brasileira de Normas Técnicas – ABNT. ABNT NBR ISO/IEC 27001:2013).
2- KIM, David. SOLOMON, Michael G. Fundamentos de segurança de sistemas de informação. Tradução: Daniel Vieira. Revisão técnica: Jorge Duarte Pires Valério. Rio de Janeiro: LTC. 2014, p. 7.
3- Disponível aqui. . Acesso em 11/11/2020
4- “O ransomware é um malware utilizado para o sequestro dos dados das vítimas e, atualmente, tem duas formas de atuação, concomitantes ou não. Na primeira modalidade, é infectada a máquina e os dados do dispositivo são criptografados, sendo gerado um arquivo acessível, geralmente na área de trabalho ou apresentado em um navegador web em que o criminoso pede um resgate – geralmente a ser pago em criptomoedas – prometendo o envio de um código que possibilite que os dados sejam decriptografados, o que muitas vezes não acontece, ainda que seja efetivado o pagamento do “resgate”. Na segunda modalidade, ocorre o mesmo processo supracitado, porém, o criminoso envia os dados da vítima – e da empresa inteira em algumas oportunidades – para servidores remotos, podendo ou não os criptografar, exigindo o resgate para não revelar informações sigilosas que a empresa possua” (TUBINAMBÁ, Marcos. Ataques e crimes cibernéticos. In: SLEIMAN, Cristina e outros. Segurança digital: proteção de dados nas empresas. Org.: Patrícia Peck Pinheiro. São Paulo: Atlas. 2020, p. 18.
5- Disponível aqui.. Acesso em 17/11/2020.
6- Disponível aqui.. Acesso em 13/11/2020.