Por João Pedro Seefeldt e Rafaela da Rosa

No contexto da sociedade em rede e do consumismo exacerbado, grande parte do tempo utilizamos produtos e serviços que são disponibilizados por meio da rede mundial de internet. O fornecimento e a disponibilização de dados pessoais pode parecer tão natural para alguns, que sequer se questionam para onde vão, com quem são guardados, para que aproveitam e quais os riscos iminentes dessa transação envolvendo acesso a produtos e serviços em troca de informações pessoais, as quais, para os agentes de tratamento, são importantes e valiosos ativos. [1]

Embora o ciberespaço pareça seguro, conforme a ideia de que ninguém está vendo o que estamos fazendo ou porque os riscos advindos daí não são tão conhecidos, inúmeros estudos, inclusive os que o CEPEDI se debruça a explorar, demonstram que essa premissa não é verdadeira. Isso porque, num capitalismo de vigilância [2], a todo o momento que acessamos dispositivos, aplicativos, produtos, serviços, redes sociais, pesquisas em buscadores, tais como Google, dados são originados e coletados. E essas pegadas digitais são armazenadas com fundamento em diferentes finalidades para serem (in)devidamente exploradas pelos mais variados agentes de tratamento.

O presente texto foi escrito partindo do pressuposto de que, nos termos da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados, aquele que realizar o tratamento de dados pessoais, dentre tais operações, a coleta e o processamento, deve observar as imposições da lei, cumprindo deveres como assegurar a segurança da informação [3]. Por isso, todo agente de tratamento, isto é, toda pessoa natural ou jurídica, de direito público ou privado que realize ou determine o tratamento de dados pessoais (especialmente empresas) é obrigada a implementar medidas de prevenção e mitigação a fim de garantir a segurança da informação, sob pena de ser responsabilizada.

Conforme a NBR ISO/IEC 27001, norma técnica brasileira que importa as diretrizes internacionais sobre o tema, segurança da informação é a “preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas”. Isso pressupõe a instalação de um Sistema de Gestão da Segurança da Informação – SGSI, ou seja, “parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação”, incluindo a estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. [4]

A segurança da informação, conforme referido, visa a proteção de, pelo menos, três características: confidencialidade, integridade e disponibilidade, conhecidas pela sigla CIA (em inglês, “confidentiality”, “integrity” e “availability”). Em síntese, a confidencialidade é a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados; a integridade é a propriedade de salvaguarda da exatidão e completude de ativos; e a disponibilidade é a propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [5]

Diante desse contexto e buscando incorporar-se às normativas técnicas e internacionais, a Lei Geral de Proteção de Dados estabeleceu normas que regem a segurança da informação e que estão de acordo com outros princípios previsto na própria lei, a fim de garantir a segurança das informações coletadas e tratadas, tendo em vista o potencial lesivo que a publicização dos dados pode resultar ao titular. De acordo com o art. 6º, inc. VII, e art. 46, caput, da LGPD, é dever dos agentes a adoção de medidas, técnicas e administrativas, eficazes, a fim de evitar incidentes de segurança e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Embora não exista uma definição legislativa sobre incidente de segurança, a NBR antes citada conceitua evento de segurança da informação como “uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação”. Mais ainda, a normativa estabelece incidente de segurança da informação como “um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tem uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação”. [6]

O Centro de Estatística, Resposta e Tratamento de incidentes de Segurança no Brasil, o CERT.br, grupo mantido pelo Comitê Gestor da Internet no Brasil e responsável por receber, analisar e responder a incidentes de segurança no ciberespaço brasileiro, conceitua incidente de segurança como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores. O CERT exemplifica incidente de segurança: ataque de negação de serviço; modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema; tentativa de ganhar acesso não autorizado a sistema ou dado; uso ou acesso não autorizado a um sistema; e desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso. [7]

Em 2019, de janeiro a dezembro, o CERT.br, responsável por receber e responder aos incidentes, registrou 877.327 incidentes de segurança. Em 2020, só entre o período de janeiro a junho, foram reportados ao CERT 318.697 incidentes. Diferente de décadas atrás, a internet não é mais direcionada aos usuários na forma de uma rede de socialização, mas tornou-se um espaço propício ao mercado e ao consumo. Embora esse processo tenha sido facilitado pelos avanços das TICs e pela imersão das empresas no meio digital, fazer negócio em ambientes cibernéticos exige certos cuidados a fim de evitar ataques cibernéticos, a citar os ransomwares que aumentaram nos últimos anos, passando a afetar não apenas pessoas comuns, como também grandes empresas. Em 2017, o wannacry, um crypto-ransomware que afeta o sistema operativo do Windows e sequestra dados em troca de resgate, atingiu mais de 200 mil dispositivos e causou um prejuízo de mais de US$4 bilhões de dólares no mundo todo [8]. Nos anos seguintes, os ataques de sequestro de dados, ou ransomwares, alcançaram também o sistema judiciário, atingindo o STJ em 2020 [9] e o TJ/RS em 2021.

Neste contexto,  os agentes de tratamento, em especial as empresas, ao realizarem qualquer tratamento de dados, deverão agir com boa fé e em observância aos princípios previstos em lei (finalidade, adequação, necessidade, transparência, segurança, dentre outros), podendo se utilizarem das estratégias previstas nos programas de compliance elaborados por assessorias jurídicas, tecnológicas e contábeis. Além disso, podem utilizar as medidas previstas pela família ISO 27000, incorporadas no Brasil pela ABNT, que, por meio de suas técnicas de gestão da informação, se mostram aptas a proteger os dados pessoais de acesso não autorizado, prevenindo os riscos de exposição do titular a situações ilícitas ou indesejadas. Dentre as medidas de segurança previstas na família ISO 27002, pode-se citar: 

a) Análise e tratamento de riscos: controle de redução de riscos, tratamento dos riscos não aceitos, critérios para aceitação de riscos, avaliação de ações que promovam riscos.

b) Organização da segurança da informação: atribuição de responsabilidades específicas a colaboradores, atribuição de atividades de segurança da informação executadas em conformidade com a política de segurança da informação, utilização de acessos permitidos com identificadores de usuário e senhas de controle; utilização de medidas contra softwares maliciosos, aquisição de softwares por meio de fontes conhecidas e seguras, guarda de provas de licenças de uso e conformidade etc.

c) Gestão de ativos: realização de inventário dos ativos, classificação dos ativos e análises periódicas e críticas dessa classificação, estabelecimento de diretrizes para o uso de dispositivos móveis, utilização de rótulos e medidas de tratamento da informação de acordo com classificação;

d) Segurança em recursos humanos: treinamento em conscientização e educação em segurança da informação, instauração de processo disciplinar aos que violam a segurança da informação, utilização de termo de confidencialidade, atribuição de responsabilidade dos funcionários, fornecedores e terceiros no tratamento das informações;

e) Segurança dos ambientes: utilização de sistema de detecção de intrusos, criação de área de recepção que controle o acesso ao local, uso de barreiras físicas, alarmes, registro de visitas, não fornecimento de informações sensíveis a agentes externos, utilização de segurança no cabeamento, realização de varreduras técnicas;

f) Controle de acesso: controle de acessos individuais, senhas que mudam, aplicação do princípio “need to know”, perfis de acesso de usuário-padrão para trabalhos comuns; uso de ID de usuários, bloqueio de ID de contas redundantes, registro de autorizações de privilégio concedidos, encerramento de sessões ativas e desconexão de outro dispositivos; remoção de informações sensíveis de impressoras imediatamente; procedimentos de autorização para determinar quem tem direito de acessar as redes, autenticação para usuário remoto – implementação de criptografia, desafio de resposta e hardware tokens, controle de discagem  reversa (dial-back), VPNs, instalação de gateways; segregação de redes por meio de IP switching, requisitos de proteção contra vírus e de firewall, uso de contas privilegiadas como: root e administrador;

g) Aquisição, manutenção e desenvolvimento de sistema de informação: processamento correto nas aplicações, verificação periódica do conteúdo de campos-chaves e arquivos de dados para confirmar a validade e integridade,  procedimentos para tratar erros de validação, uso de buffer overrun/overflow na proteção contra ataques, implementação de técnicas hash para registros e arquivos; usos de assinaturas digitais ou códigos de autenticação de mensagens (MAC), técnicas de chaves secretas e públicas, varredura do envio de mídias para verificar informações ocultas, mascaramento e modulação do comportamento dos sistemas, monitoramento regular do pessoal e do sistema, gestão de vulnerabilidades técnicas, teste de patches antes de serem instalados;

h) Gestão de incidentes da segurança da informação: formulário de anotação de notificação de eventos de segurança, análise e identificação da causa do incidente, ação corretiva, notificação a autoridade apropriada, ações de emergência documentadas, coleta de evidências por meio de cópias em discos rígidos;

i) Gestão de continuidade do negócio: levantamento de riscos que a organização está exposta, gestão de risco e contratação de seguro, controles preventivos e de mitigação, identificação de recursos financeiros disponíveis, documentação de planos de continuidade do negócio, testes e avaliações regulares dos planos implantados, procedimentos operacionais de restauração, atividade de treinamento de pessoas nos procedimentos.

Nesse panorama, o art. 50 da Lei nº 13.709/2018 sugere que os agentes de tratamento, no âmbito de suas competências, formulem regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. 

Veja-se que, ao contrário do que muitos pensam, a lei não busca reduzir ou limitar as operações com os dados pessoais, mas legitimar, cada vez mais, essas atividades de tratamento, inclusive nos meios digitais, promovendo uma maior circulação de dados legítimos no mercado dentro de um contexto seguro e confiável, de maneira que a operação feita em desconformidade pode gerar repercussões negativas. A LGPD estipula sanções aos que não agirem de acordo com o que estiver ali determinado, podendo o agente sofrer aquelas previstas no art. 52 do texto legal, que variam desde a responsabilização administrativa – com divulgação do incidente e multas milionárias – até a responsabilização civil – sob  o dever de reparar, conforme art. 42. 

No entanto, salienta-se que a pior sanção não está prevista na legislação, tendo em vista que o tratamento de dados em desconformidade ou a sujeição às penalidades administrativas e cíveis leva necessariamente a um abalo na imagem do agente de tratamento e do seu negócio, que pode comprometer severamente a sua posição no mercado. Portanto, embora a segurança da informação, promovida por meio de medidas técnicas e administrativas, seja um dever dos agentes de tratamento e das empresas, a gestão da informação também pode ser vista como um bônus de promoção empresarial, já que, quando o usuário/cliente/titular de dados se sente seguro em relação à forma como a empresa lida com os dados, constrói-se uma relação de confiança e fortalece a marca, o que pode trazer inúmeros resultados positivos para ambos – agentes e titulares.

REFERÊNCIAS

[1] PESSOA, João Pedro Seefeldt. O Efeito Orwell na sociedade em rede: cibersegurança, regime global de vigilância social e direito à privacidade no século XXI. Porto Alegre: Editora Fi, 2020. Disponível em: https://www.editorafi.org/073orwell. Acesso em: 02 abr. 2021.

[2] ZUBOFF, Shoshana. A era do capitalismo de vigilância. Rio de Janeiro: Intrínseca, 2021.

[3] BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 31 maio 2021.

[4] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001. Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro: ABNT. 2006.

[5] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001. Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro: ABNT. 2006.

[6] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001. Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro: ABNT. 2006.

[7] COMITÊ GESTOR DA INTERNET NO BRASIL. Centro de Estatística, Resposta e Tratamento de Incidentes de Segurança no Brasil. O que é um incidente de segurança? Disponível em: https://www.cert.br/docs/certbr-faq.html. Acesso em: 31 maio 2021.

[8] BACKUPÛGARANTIDO PROTEÇÃO EM NUVEM. Exemplos de ransomware: 6 casos que abalaram o mundo. Disponível em: https://backupgarantido.com.br/blog/exemplos-de-ransomware/. Acesso em: 10 junho 2021.

[9] MIGALHAS. O ataque ao STJ é mais um grito de socorro da segurança cibernética no Brasil. Disponível em: https://www.migalhas.com.br/depeso/336131/o-ataque-ao-stj-e-mais-um-grito-de-socorro-da-seguranca-cibernetica-no-brasil. Acesso em: 10 junho 2021.

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s