Sem Segurança da Informação não existe Proteção de Dados Pessoais

A Lei 13.790/2018, “Dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da pessoa natural”.

Com a data para início da aplicabilidade da lei, neste momento previsto para agosto/2020, todas as organizações ou pessoas que tratam com dados pessoais de pessoa natural, precisam proteger estes dados. Caso não o façam podem ser penalizadas, conforme a lei.

Primeiramente precisamos esclarecer que Proteção de Dados Pessoais, é uma subdivisão de Proteção de Dados. Isto é, uma subdivisão, ou um assunto que está contido no tema Segurança da Informação. Desta maneira se não existir uma efetiva Gestão da Segurança da Informação, a organização terá grandes dificuldades de implementar o subtema, Proteção de Dados Pessoais.

O Processo Organizacional de Segurança da Informação precisa, a partir desta lei, aumentar o foco nos dados pessoais, porém após ter verificado como estão os controles de proteção para todos os dados.

Sua organização tem explicitado e formalizado o Grau de Maturidade em Gestão de Segurança da Informação? Não? Pois obrigatoriamente deve ter e deve formalizar esta situação para o Corpo Diretivo. Mesmo que sua organização tenha muitas fraquezas em controles de segurança da informação (vermelho), esta situação deve ser levada ao Corpo Diretivo. Isto é exercer a Governança de Segurança da Informação: transparência da maturidade e validação do plano de ação.

Caso você não tenha a Maturidade da Gestão da Segurança da Informação e parta para executar o Projeto de Proteção de Dados Pessoais, você estará fazendo o projeto da cobertura do prédio, e não está considerando o projeto da base e construção do prédio. O que for implementado, será frágil.

Como exemplo simples, o início da lei que transcrevi no início deste artigo, fala de alguns conceitos que relaciono com Dimensões da Segurança da Informação:

1. Dados Pessoais
Dados pessoais é um tipo de dado, ou uma característica de um dado. Dessa maneira precisamos ter uma nova classificação, além da tradicional classificação de sigilo da informação.

2. Inclusive Ambiente Digital
O tratamento de dados precisa ter definido o escopo dos ambientes contemplados. Este controle é definido na Dimensão de Políticas e Normas de Segurança da Informação.

3. Privacidade dos Dados
Para garantir a privacidade dos dados, são necessários controles nas seguintes Dimensões de Segurança da Informação:
– Políticas e Normas;
– Acesso à Informação;
– Classificação da Informação;
– Cópias de Segurança;
– Gestão de Incidentes.

Continuando, citando algumas das regras da lei:

4. Requisitos para Tratamento de Dados Pessoais
A lei cita alguns requisitos, mas destacamos o Consentimento do Titular dos Dados e o outro requisito é a Obrigação Legal ou Regulatória da Organização.

Neste caso precisamos da Dimensão de Acesso à Informação, onde definiremos antes do acesso à informação, se um dos requisitos são atendidos. Baseado neste item, precisamos definir controles para o Registro de Acesso à informação e para as Cópias de Segurança da Informação. Não esquecendo de considerar as situações de crianças e adolescentes.

5. Direitos do Titular: Acesso, Esquecimento, Como foi o tratamento dos dados
Este item possui vários direitos do Titular. Mas, fica evidente principalmente a necessidade de Controles da Dimensão Acesso à Informação, Dimensão Cópias de Segurança. Além de que estes controles precisam estar formalizados nas Políticas e Normas de Segurança da Informação.

6. Finalidade Específica
Toda informação ou recurso de Informação precisa ter o seu Gestor da Informação que tem várias responsabilidades, e com a Lei ganha mais uma: garantir que a informação de dado pessoal está sendo utilizada exclusivamente para a finalidade específica que ela foi coletada ou foi tratada em contrato com a organização. Se a organização não tem o conceito de Gestor da Segurança da Informação, não vai implementar corretamente (e mais facilmente) esta regra da lei.

7. Tempo de Tratamento
Outra responsabilidade do Gestor da Informação. Na realidade este controle vale para todas as informações e assim deve ser considerado na Gestão da Segurança da Informação. Porém, com a lei este controle ficou obrigatório. A organização que não tiver definido, validado pelo Corpo Diretivo, formalizado e divulgado o controle Gestor da Informação, terá dificuldades para estar em conformidade com o Tempo de tratamento.

8. Coleta Mínima
Exige controles nas Dimensões de Acesso da Informação, Cópias de Segurança, Requisitos Básicos de Segurança para Desenvolvimento/Aquisição de Sistemas. E evidentemente, nas Políticas e Normas para a definição de responsabilidades.

9. Gestão de Segurança pelo Controlador e Operador
Nesta regra a lei é mais do que clara. É claríssima. A organização e seus parceiros precisam ter um Processo Organizacional de Segurança da Informação.

Este controle da lei, descrito nos Art. 37, Art. 43, Art. 46, simplifica: tenha segurança da informação.

10. Estruturação de Dados Pessoais
Um dos controles da Dimensão de Controles Básicos para desenvolvimento/aquisição de sistemas aplicativos, é a utilização de uma metodologia de desenvolvimento de sistemas e a documentação dos sistemas e arquitetura de dados. Se a organização tiver uma Gestão de Dados, cumprir este requisito da lei, será muito fácil. É um controle do processo organizacional de Segurança da Informação.

11. Comunicação de Incidentes
A lei exige a comunicação de incidentes para o mercado e para a Autoridade Nacional de Proteção de Dados Pessoais. A Gestão de Incidentes é um dos controles de Segurança da Informação que em conjunto com Gestão de Mudanças, Gestão de problemas e gestão de Capacidade, formam a Dimensão Flexibilidade Operacional.

12. Anonimização e Criptografia dos Dados
A implementação deste controle é técnica, porém a estruturação do controle é da Gestão da Segurança da Informação, com a responsabilidade do Gestor da Informação. Ele que vai validar o uso da informação com ou sem anonimização ou criptografia. É um controle de Segurança da Informação.

13. Governança para a Privacidade de Dados Pessoais
Está contemplada na Governança para a Proteção de Dados ou Governança de Segurança da Informação, contemplada na Arquitetura da Segurança da Informação.

14. Impacto à Proteção de Dados Pessoais
A Gestão de Segurança da Informação possui a Dimensão de Gestão de Riscos de Segurança da Informação, que trata dos impactos na proteção de dados. Desta maneira é necessário apenas acrescentar ameaças em relação à tratamento de dados pessoais.

15. Encarregado pelo Tratamento de Dados Pessoais
A Política e Normas de Segurança da Informação definem responsabilidades. Este encarregado será mais uma função que será formalizada. Evidentemente a estrutura deste Encarregado pelo Tratamento de Dados Pessoais, dependerá do tamanho da organização. Entendo que este profissional deve ser experiente em Gestão da Segurança da Informação. Este é o critério obrigatório. Significa que não basta ter só conhecimento. Precisa ter experiência em Gestão da Segurança da Informação. Desta maneira, saberá exigir das demais áreas a validação e realização de controles, como a questão contratual da organização com seus parceiros, que é uma atividade da Área Jurídica.

Conclusão
Os controles da lei que citamos, podem ser detalhados. Mas, sempre teremos por base controles da Gestão de Segurança da Informação.

Recomendo que sua organização tenha uma efetiva Gestão de Segurança da Informação e desenvolva considerando estes controles, a Proteção de Dados Pessoais.