Os diversos controles da Segurança da Informação, foram citados em cerca de 70% (setenta por cento) das decisões judiciais relacionadas a LGPD – Lei Geral de Proteção de Dados Pessoais. Estes dados foram levantados, estudados e divulgados pelo Escritório de Advocacia Opice Blum, Bruno, Vainzof, no seu Report Jurimetria de 13 de agosto de 2021.
Dentro dos controles específicos diretamente relacionados a LGPD aparecem Direito a Exclusão com 8% e Base Legal e Finalidade com 7%.
Este resultado de situação prática em vigor, reforça que a Segurança da Informação é a Base para a Conformidade com a Lei Geral de Proteção de Dados Pessoais. Não só pela essência dos seus controles, mas porque a LGPD explicita nos seus artigos a necessidade de um Processo Organizacional de Segurança da Informação. Cito abaixo, de maneira resumida os principais artigos da LGPD que explicitam a necessidade da segurança da informação:
- Art. 6: Princípios. Segurança é um dos princípios da LGPD. Os Princípios são os Direcionadores Obrigatórios que devem ser considerados em qualquer ação de proteção de dados pessoais.
- Art. 38: O Relatório de Impacto ao tratamento Dados Pessoais deve descrever a metodologia utilizada para a garantia da segurança das informações.
- Art. 44: Atender a expectativa de segurança do Titular.
- Art. 46: Os Agentes de Tratamento devem adotar medidas de segurança.
- Art. 47: Os Agentes de Tratamento obriga-se a garantir a segurança da informação em relação aos dados pessoais, mesmo após o seu término.
- Art. 49: Os sistemas utilizados devem atender aos requisitos de segurança.
- Art. 50: Os controladores e operadores, deverão formular regras e normas de segurança.
- Art. 52. Par. 1. VIII: Existência de tratamento seguro e adequado de dados.
Desta maneira, a organização precisa ter um Processo Organizacional de Segurança da Informação, baseado na Família de Normas NBR ISO/IEC – Segurança da Informação, mas especificamente a Norma NBR 27002.
Nos trabalhos que temos desenvolvidos pela Nucleo para a Conformidade com a LGPD, sempre em parceria com escritórios de advocacia, dedicamos dois blocos do projeto à Avaliação da Maturidade da Gestão da Segurança da Informação e ao Plano de Ação. Muitas organizações possuem uma razoável proteção técnica, mas uma fraca e vulnerável Gestão da Segurança. E esta mensagem precisa ser conhecida pelo Corpo Diretivo, para que apoie e patrocine a execução do Plano de Ação.
Estar em Conformidade com a LGPD é uma obrigação de todas as organizações, e o projeto para alcançar este objetivo precisa ser conduzido considerando os diversos tipos de controles exigidos pela lei.