O tema de segurança da informação é algo que sempre foi bastante restrito à esfera técnica, sendo um universo dominado pelos profissionais de TI e a infinidade de termos como hackers, crackers, script kids, white e black hat, etc… Enfim, é possível ter a impressão de a segurança da informação é um assunto obscuro e só relevante para os profissionais diretamente envolvidos no assunto. Nesse sentido seria uma espécie de “guerra secreta” entre profissionais de segurança e hackers (e todas suas variantes) na qual os “civis” teriam pouco ou nenhum interferência e/ou interesse no assunto.
No entanto a situação não é essa, muito pelo contrário, com o aumento exponencial de utilização de dados, inteligência de mercado (e todas as tendências e usos de big data) a quantidade de dados aumento bastante, bem como a sua difusão. Os dados deixaram de ser restritos à grandes empresas (e seus servidores e mainframes) para se tornar algo relativamente comum e “espalhada por aí”. E, consequentemente, o mau uso de dados, vazamentos e toda sorte de uso indevido se tornou algo comum e divulgado na mídia.
Em síntese, de um assunto obscuro e “secreto” a segurança da informação passou a dominar a mídia, incluindo casos de grande repercussão (como a interferência em eleições nos EUA e no Brexit).
Diante desse cenário é compreensível a movimentação de grupos organizados para uma regulação e punição de condutas indevidas, e o Brasil seguiu essa tendência mundial ao criar o Marco Civil da Internet, que trazia várias previsões e diretrizes sobre o uso da internet.
Contudo, o principal ponto falho (e bastante criticado) do Marco Civil era a ausência de disposições específicas sobre a segurança da informação e proteção de privacidade, pois embora existisse um padrão de “boas práticas” do mercado inexistia qualquer obrigação legal específica de segurança da informação e, sem esse tipo de obrigação, não é possível se falar em proteção da privacidade. De fato, sem a segurança da informação não é possível que exista privacidade, se a informação está guardada indevidamente o que impediria qualquer um de violá-la e, posteriormente, utilizá-la como bem entendesse? Aliás, sem a obrigação de segurança seria até conveniente para as empresas que suas informações fossem “roubadas” por terceiros para que estes fizessem outros usos que a empresa não poderia realizar.
A LGDP (Lei Geral de Proteção de Dados Pessoais) foi criada exatamente com a intenção de proteger os dados individuais, com um foco grande em privacidade, contudo, um ponto normalmente ignorado é que a LGDP também disciplinou a questão de segurança da informação, tornando-a uma obrigação específica, proteger os dados que armazena (coleta) não é mais apenas um meio de proteger seus clientes, mas uma obrigação específica, que possui uma finalidade em si mesma.
Por exemplo, o artigo 6 da LGDP, que estabelece os princípios básicos da utilização e tratamento de dados prevê a segurança de dados como um de seus pilares, da seguinte forma:
“ VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Além disso, não se trata apenas de um princípio, mas de uma obrigação (prevista no artigo 46) e, ainda mais, um dos elementos que será considerado pela Autoridade Nacional de Proteção de Dados em caso de sanção administrativa, que calculará eventual pena com base em diversos fatores, entre eles, a adoção de mecanismos de segurança de informação (artigo 52, inciso VIII):
“VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;”
Em síntese, o tema de segurança de dados se tornou um objeto regulado pela LGDP, tornando-se assim uma obrigação jurídica própria, em relação a qual são associadas multas e penalidades específicas em caso de descumprimento, tudo com o intuito de “forçar” o mercado a ser mais zeloso e criterioso com os dados que possui, afinal de contas a privacidade dos titulares dos dados dependerá da qualidade da segurança do controle pelos agentes que armazenam e/ou coletam dados pessoais e sensíveis.
—
Advogado Autor do Comentário: Luciano Del Monaco
“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”