Apagão das redes sociais e segurança da informação: por um repensar do Direito, Tecnologias e Responsabilidades
Nos casos de projetos de adequação à LGPD, a fase de mapeamento de dados será relevante para identificar como os dados são tratados e cuidados (do ponto de vista da segurança), desde o momento da coleta até o descarte, o que representará a exata configuração da vida útil dos dados na empresa.
terça-feira, 19 de outubro de 2021
Atualizado às 07:57
O dia 4 de outubro de 2021 sagrou-se o epíteto de um mundo digital desordenado, a data em que usuários dos serviços do Grupo Facebook deixaram de se comunicar. Ao lado de uma das mais preocupantes interrupções do funcionamento da super utilizada plataforma de mensagens - WhatsApp e das redes sociais Facebook e Instagram, seria possível falar em um apagão digital irremediavelmente. Serviços não ficaram simplesmente fora do ar. Eles deixaram de existir, momentaneamente, para a internet que conhecemos. Segundo informações oficiais da empresa, depois de quase 7 horas fora do ar, alterações de configuração nos roteadores de 'backbone' que coordenam o tráfego de rede entre os data centers do grupo Facebook - a 'espinha dorsal' de seus sistemas - teriam justamente causado problemas que interromperam essa comunicação. E notem que a explicação técnica é importante para compreendermos o que o tema da segurança da informação também tem a ver com as respostas dadas pelo Direito & Tecnologias e suas soluções legais para indústria e autoridades regulatórias.
Relatos de especialistas em TI e ciência da computação esclareceram que o apagão foi consequência de um erro ocorrido em uma camada profunda da internet, do protocolo BGP, que está na camada quatro da web. Ela se distingue daquelas camadas mais superficiais que conhecemos, como nos protocolos HTTP, HTTPS. Na camada mais profunda operam grandes programadores, daí porque a gravidade da falha teria exigido que profissionais do Facebook se dirigissem fisicamente à empresa para verificar e reconfigurar os servidores. Em tempos pandêmicos, tanto a trivialidade do trabalho remoto como a comoção mundial talvez ficassem menores diante também da rapidez com que os serviços foram restaurados. Sete horas e alguns minutos são pouco se comparadas à intensidade da falha nos servidores de um dos mais influentes e importantes conglomerados de tecnologia. Isso se pensarmos, também, que Facebook também responde pela reconhecida e bem-sucedida integração de serviços de comunicação e redes sociais de que larga maioria no globo é parte. São 2,85 bilhões de usuários ativos em 2021, segundo dados disponíveis, sendo aproximadamente também 2 bilhões de usuários do WhatsApp. Não falarei sobre a interdependência tecnológica, ainda que ela seja inevitável a essa altura.
Para o Brasil, a preocupação esteve intensificada em relação à segurança da informação, sobretudo porque o país veio experimentando uma série de incidentes relacionados a dados desde novembro de 2020. Alguns foram causados por ataques cibernéticos mais comuns (ataques de negação de serviço - DDoS), indisponibilidade de serviços, outros por vazamentos deliberados e atuação de hackers mal-intencionados na 'deep web'. De acordo com distintos indicadores globais, o Brasil figura como segundo ou terceiro país alvo de ataques cibernéticos e é o sexto maior originador desses ataques no globo. Organizações controladoras de dados, como grandes empresas, têm várias razões para cuidar das medidas de segurança da informação e respostas a incidentes, o que para a lei Geral de Proteção de Dados - LGPD - reforça os elementos probatórios para fins de comprovação do cumprimento às obrigações legais, em especial nas esferas administrativa e judicial. Por isso, a pronta resposta de uma empresa que tenha qualquer razão para supor que dados de titulares foram desprotegidos torna-se evidência de que medidas de segurança e mitigação de danos tenham sido adotadas. Penso que seja conduta orientada para demonstrar cumprimento das obrigações de controlador da LGPD e base probatória para o teste da excepcional exoneração de responsabilidade, a partir da interpretação sistemática dos artigos 43, 44, 46 e 47 da LGPD.
Afinal, no caso da LGPD, agentes de tratamento de dados estão diretamente vinculados à observância do princípio da segurança, um dos princípios basilares a organizar as relações envolvendo tratamento de dados. Segundo o art.6º, inciso VII, da LGDP, ele consiste na "utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão."
Segurança da informação torna-se simultaneamente um conceito mais amplo e uma categoria normativa decorrente da sistemática das leis de proteção de dados. Ela diz respeito não apenas à proteção de dados pessoais, mas também para dados não pessoais, todos eles compondo os ativos informacionais e digitais da organização responsável pelo tratamento de dados. Segurança da informação reúne o conjunto dos conhecimentos, técnicas e procedimentos necessários para a proteção das informações organizacionais, ativos de TI e digitais, contando com medidas e controles que asseguram a confidencialidade, disponibilidade e integridade de dados pessoais e de ativos informacionais contra ameaças e vulnerabilidades.
Servidores de dados, por exemplo, integram o conjunto de ativos de TI de uma organização e eles são objeto de medidas de segurança da informação - técnicas e administrativas-, daí porque tanto as instalações físicas, informáticas quanto chaves de funcionamento são também cobertos pelas obrigações relacionadas a proteção de dados. Nesse caso, do ponto de vista legal, destinatários da obrigação são os agentes vinculados pela lei e os bens protegidos, os dados e ativos informacionais. Não diferentemente, a própria categoria da responsabilidade por danos a titulares de dados pessoais é modelada por elementos decorrentes do cumprimento de medidas, mas apenas no que diz respeito a dados pessoais. E direta e indiretamente, a LGPD submete dados não pessoais à disciplina legal de proteção, inclusive resguardando-os de eventual obrigatoriedade de divulgação, como relativamente a segredos comerciais e industriais.
O art.42 da lei consagra as bases da responsabilidade por danos causados a titulares de dados, incluindo a responsabilidade solidária do operador e controlador. Essas bases são fundadas em certos elementos, como a confirmação de envolvimento parcial ou total com tratamento de dados; a possibilidade de inversão do ônus da prova no caso de processo judicial e direito de regresso pela parte que indenizou o titular pelos danos. Por outro lado, o art.43 da LGPD, ao dispor sobre a exoneração de responsabilidade, focaliza três requisitos alternativos centrais e que também são determinantes no processo administrativo e judicial envolvendo condutas potencialmente violadoras da lei: (i) ilegitimidade da parte - i.e. agente de tratamento que não realizou o tratamento de dados -; (ii) inexistência de violação positiva à legislação de proteção de dados; (iii) dano decorrente de culpa exclusiva do titular de dados ou de terceiros. O paralelo, importante destacar, é encontrado no art.82 do Regulamento Europeu de Proteção de Dados, que também prevê a exoneração da responsabilidade no caso de o responsável pelo tratamento "provar que não é de modo algum responsável pelo evento que deu origem aos danos".
A segurança da informação, por sua vez, decorrerá de uma obrigação de meio, não de resultado. Os arts. 45 e 46 da LGPD se articulam nesse sentido, de um lado, por uma expectativa quanto às ações positivas (proatividade) dos agentes de tratamento para proteção de dados pessoais contra acessos não autorizados, de situações acidentais de destruição, perda, alteração e comunicação, ou qualquer forma de tratamento inadequado ou ilícito dos dados. De outro, os dispositivos coordenam-se pelos efeitos aplicativos da regra de "tratamento irregular", fundada na violação da lei ou na conduta omissiva quanto à segurança de dados esperada pelo titular, em vista das circunstâncias relevantes como modo do tratamento, dos resultados e riscos que razoavelmente seriam esperados e das técnicas de tratamento. A LGPD estabelece um princípio de equilíbrio característico das teorias contemporâneas de responsabilidade, em que conduta ativa ou omissiva e conduta esperada com base em elementos objetivos tornam-se determinantes para o resultado aplicativo da regra. Por isso, tenho alertado para que a LGPD não venha sofrer de uma espécie de rebaixamento interpretativo, sem o devido cuidado quanto às estruturas e funções do tratamento de dados.
Segurança da informação será, portanto, parte do conjunto probatório para definição da responsabilidade de agentes. No momento que empresas e entes públicos tornam concretos seus planos de adequação às leis de proteção de dados, os agentes são levados a revelar as medidas de segurança e aquelas de mitigação de riscos relacionados à segurança da informação que tem sido empregada em todos os níveis e processos envolvendo tratamento de dados. Dentre eles, destacam-se a utilização de níveis de segurança dos servidores dentro de padrões internacionais disponíveis, classificação da informação, descarte seguro e eficiente dos dados; desenvolvimento e adoção de políticas de segurança cibernética, treinamento dos funcionários e prestadores de serviços, seguros contra panes nas redes. Alguns são mais arrojados e adotam políticas de cibersegurança, que também cobrem dados não pessoais. No caso da LGPD brasileira, não haveria adequação pelas empresas se não restar comprovado e factível o conjunto de medidas de segurança da informação, que se apresenta nos níveis administrativos, técnicos e corporativos da organização.
Por isso, nos casos de projetos de adequação à LGPD, a fase de mapeamento de dados será relevante para identificar como os dados são tratados e cuidados (do ponto de vista da segurança), desde o momento da coleta até o descarte, o que representará a exata configuração da vida útil dos dados na empresa. Os processos envolvendo tratamento compreendem sistemas, redes, tecnologias da informação disponíveis, fluxo de dados nos ambientes físico e digital, operações de transferências internacionais e janelas de interferência dos titulares e autoridades governamentais (i.e, nas situações em que operações de tratamento sofrem alterações diante de pedidos de titulares ou a ANPD, no caso brasileiro). E do ponto de vista regulatório, pensando no outro lado da cadeia de interessados em processos da LGPD, a ANPD terá também condições de especificar diretrizes, guias orientativos em que ela expresse sua visão sistêmica a respeito dos padrões mínimos de segurança da informação, particularmente os destinados à proteção de dados de titulares. Nesse sentido, voltam-se às referências da própria lei, relativas à natureza das informações tratadas, características específicas do tratamento e o estado atual de tecnologias e ao princípio da segurança (LGPD, arts.6º, incisoVII e art.46, §1º). No mais, o tempo nos dirá como o amadurecimento das empresas e autoridades regulatórias brasileiras permitirá encampar as premissas do trinômio Direito, Tecnologias e Responsabilidades. A segurança da informação é percurso inevitável.
Fabrício Bertini Pasquot Polido
Advogado, professor associado de Direito Internacional, Direito Comparado e Novas Tecnologias da Faculdade de Direito da UFMG, doutor em Direito Internacional pela USP e sócio das áreas de Inovação & Tecnologia e Solução de Disputas de L.O. Baptista.