*Por Fábio Xavier
A Lei Geral de Proteção de Dados – Lei nº 13.709/2018, doravante LGPD – se aplica tanto ao setor privado, quanto ao setor público. Segundo Andressa Carvalho Silva (2020) – autora da monografia citada no final desse artigo, a LGPD “altera em muito a maneira como as empresas – e não só elas, mas também os órgãos e entidades públicas – devem gerenciar os dados”. Silva argumenta, ainda, que “já havia leis que abrangiam os temas privacidade e proteção de dados; no entanto, a LGPD veio para consolidar um microssistema de tratamento desses dados: quem, como, quando, onde, porque, com que fim podem ser usados esses dados”.
Pois bem, a Administração Pública vem há muito tempo coletando dados pessoais de maneira indiscriminada e sem se preocupar com princípios elencados no art. 6º na LGPD – especialmente finalidade, adequação, necessidade ou mesmo segurança -, e nem com o caput do art. 23, que define que o tratamento de dados pessoais pelas pessoas jurídicas de direito público, “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.
Via de regra, optava-se por maximizar a coleta de dados, mesmo sem ter a certeza em relação à sua necessidade para atender sua finalidade pública, para executar suas competências e atribuições legais, como previsto no caput do art. 23 da LGPD. E a consequência é destacada por Barbosa e Oliveira (2020) – obras indicadas no final do artigo – que são bem incisivos ao afirmar que uma “enorme quantidade de dados pessoais e dados sensíveis estão sob o domínio do Poder Público, como informações financeiras e fiscais (Imposto de Renda), de educação (histórico escolar), de saúde (prontuário médico), de consumo (Nota Fiscal Paulista), entre inúmeras outras”.
E como os dados são as novas commodities do século XXI, dada sua importância comercial e estratégica, é importante que o setor público faça a adequação para ficar em conformidade com a legislação, sem prejuízo à consecução de suas atividades finalísticas. E essa adequação vale para todo e qualquer entidade pública, inclusive para os municípios de pequeno (e até médio) porte, que possuem invariavelmente dificuldades com disponibilidade de recursos – orçamentários, de infraestrutura e pessoal -, o que torna a jornada de adequação mais hercúlea.
Agentes de Tratamento de Pequeno Porte
O art. 55-J, inciso XVIII[1] da LGPD prevê procedimentos simplificados e diferenciados para as microempresas e empresas de pequeno porte e, também, para as startups ou empresas inovadoras, mediante normatização da Autoridade Nacional de Proteção de Dados (ANPD). A agenda regulatória da ANPD[2] incluiu em seu item 3 uma ação para tratar da “proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos”.
A minuta de resolução, que foi submetida à consulta pública no último dia 30 de agosto[3], em seu art. 2º, define os agentes de tratamento abarcados pelas flexibilizações das regras da LGPD propostas na minuta da resolução, o que, obviamente, não inclui os municípios de pequeno porte, uma vez que há um capítulo específico na LGPD que estipula as regras para o tratamento de dados pelo Poder Público (Capítulo IV, artigos 23 a 30). Portanto, tais flexibilizações não são aplicáveis aos órgãos públicos.
A ANPD ressalta, no entanto, que o porte da empresa – e entendo que, de forma similar, municípios de pequeno porte – “não altera o direito fundamental que o titular de dados tem à proteção de seus dados pessoais e nem desobriga a observação da boa-fé e dos princípios do art. 6º. Essa afirmação vai ao encontro do que afirmou Pinheiro (2021): “um dos objetivos da LGPD é assegurar a proteção e o livre desenvolvimento da personalidade da pessoa natural” e que isso está relacionado à garantia de titularidade de seus dados e “inviolabilidade da vida privada”.
Em função disso, mesmo não possuindo funcionários especializados em segurança da informação, os agentes de tratamento de pequeno porte não podem deixar de tomar as medidas administrativas e técnicas de segurança da informação, conforme previsto nos artigos 46, 47, 48 e 49 da LGPD.
Reforçando seu papel orientativo, especificado na competência atribuída pelo art. 55-J, XVIII, da LGPD, a ANPD lançou no dia 04 de outubro, o seu segundo guia orientativo, intitulado “Segurança da Informação para Agentes de Tratamento de Pequeno Porte”[4] e um checklist[5] para facilitar a visualização das sugestões que serão adotadas. Trata-se de um documento que sugere padrões técnicos mínimos de segurança que as micro e pequenas empresas, além de startups, podem utilizar para proteger os dados pessoais sob a guarda dessas empresas. Contudo, o guia informa que “[a]s medidas sugeridas devem ser entendidas como boas práticas e devem ser complementadas com outras que possam ser identificadas como necessárias para promover a segurança no fluxo informacional da organização”. O guia não tem efeito normativo vinculante e trata-se apenas de um guia de boas práticas, que poderá ser atualizado e aperfeiçoado sempre que necessário.
Embora não seja direcionado aos Municípios de pequeno porte, entendo que tais orientações possam ser seguidas por esses entes públicos, como forma de se construir um ambiente institucional mais seguro e, consequentemente, materializar os princípios da boa-fé, segurança e prevenção.
O guia é dividido em Medidas Administrativas, Medidas Técnicas e recomendações para dispositivos móveis e serviços na nuvem.
Medidas Administrativas em relação à Segurança da Informação
As medidas administrativas são aquelas que tratam de política e procedimentos relacionados à segurança da informação. As medidas citadas no guia são:
• Política de Segurança da Informação, mesmo que seja simplificada, perfaz um conjunto de diretrizes e regras para viabilizar o planejamento, implementação e o controle de ações de segurança da informação dentro da instituição;
• Conscientização e Treinamento, uma vez que as pessoas muitas vezes são negligenciadas, mas são parte vital para o sucesso de qualquer ação em relação à segurança da informação e proteção de dados;
• Gerenciamento de contratos, com a inclusão de termos de confidencialidade para funcionários e em contratos com fornecedores e clientes nos quais deve haver a inclusão de cláusulas que determinem as responsabilidades e funções em relação à LGPD.
Adicionalmente, diferentemente dos agentes de tratamento de pequeno porte, os municípios de pequeno porte devem indicar um encarregado pelo tratamento de dados pessoais, como definido no art. 23, inciso III, da LGPD. O encarregado é o responsável pelas comunicações entre o controlador, o titular de dados e a ANPD, sendo um canal interativo entre esses atores. Além disso, O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD.
O ideal é que o indicado tenha conhecimento multidisciplinar – legislação, privacidade e proteção de dados, tecnologia da informação, segurança da informação, metodologias de análise de risco e governança, administração e atendimento às demandas internas e externas. Além disso, ele deve ter autonomia, independência e recursos – financeiros, estrutura e pessoal – para exercer suas atribuições. Deve-se, também, evitar possíveis conflitos de interesse e acúmulo de funções dentro da instituição. No meu artigo “O encarregado de dados no setor público”[1], discorri mais sobre o tema.
A necessidade de indicação do encarregado é ratificada pelo Guia Orientativo para Definições de Agentes de Tratamento de Dados Pessoais e do Encarregado[2] que afirma que órgãos e entidades públicas devem indicar um encarregado de dados, baseando-se no já citado art. 23, inciso III. Ademais, conforme §1º do artigo 41 da LGPD, a identidade e as informações de contato do encarregado devem ser publicadas no sítio eletrônico do controlador, para que ele possa ser facilmente encontrado, tanto pela ANPD, quanto pelos titulares dos dados e demais interessados, atendendo ao princípio da transparência. Isso é importante, pois os “direitos dos titulares (art. 18) são, em regra, exercidos em face do controlador, a quem compete, entre outras providências, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, receber requerimento de oposição a tratamento”.[3]
Medidas Técnicas em relação à Segurança da Informação
As medidas técnicas seriam aquelas mais relacionadas às tecnologias e controles que podem ser implementados em relação à segurança da informação.
O guia cita as seguintes medidas técnicas:
• Controle de acesso, baseado na necessidade de acesso aos dados pessoais, implementando política de senhas complexas e desabilitando senhas padrões de fabricantes. Também recomenda que não se faça o compartilhamento de senhas entre funcionários e que se adote o princípio do menor privilégio, ou seja, atribuir o nível de acesso necessário para a realização das atividades de cada funcionário. Por fim, recomenda a utilização de autenticação multi-fator. Ressalto que o processo de autenticação é uma das medidas que abordei em outros dois artigos aqui no MIT Technology Review: “Regra de Pareto para a Segurança Digital: 3 ações que mitigam 80% dos ataques[4]” e “Quais são os padrões técnicos mínimos exigidos pela LGPD?[5]”;
• Segurança dos dados pessoais armazenados, com ressalva para a observação ao princípio da necessidade (art. 6º, III), com a minimização da coleta dos dados, atentando-se para a configuração segura das estações de trabalho – o hardening que citei no artigo “Regra de Pareto para a Segurança Digital: 3 ações que mitigam 80% dos ataques[6]” – e não utilização de dispositivos de armazenamento externo, como HD ou pendrives. Essa medida também se relaciona com as cópias de segurança (backup) e uso de criptografia nos dados armazenados;
• Segurança das comunicações, com a utilização de protocolos de comunicação seguros – como TLS/HTTPS – e aplicativos com criptografia fim a fim, inclusive com o uso de e-mails criptografados, se forem utilizados para envio de dados pessoais. Há ainda a necessidade de se utilizar tecnologias de proteção de tráfego, como sistema de firewall, antivírus, antispyware e anti-spam. Por fim, remover qualquer dado pessoal que esteja em redes públicas, como o site da empresa, caso não exista a necessidade de tal publicidade; (iv) manutenção de programa de gerenciamento de vulnerabilidades, para monitorar e aplicar correções de sistemas e aplicativos lançadas pelos servidores. É importante manter os sistemas atualizados, para se minimizar o risco de ser vítima de um ataque que explore vulnerabilidades conhecidas. Essa também é uma das 3 ações que eu citei no meu artigo “Regra de Pareto para a Segurança Digital: 3 ações que mitigam 80% dos ataques[7]”. Além disso, deve-se também manter antivírus e antimalwares sempre atualizados e com varreduras periódicas em todos os dispositivos da empresa.
• Manutenção de programa de gerenciamento de vulnerabilidades, para monitorar e aplicar correções de sistemas e aplicativos lançadas pelos servidores. É importante manter os sistemas atualizados, para se minimizar o risco de ser vítima de um ataque que explore vulnerabilidades conhecidas. Além disso, deve-se também manter antivírus e antimalwares sempre atualizados e com varreduras periódicas em todos os dispositivos da empresa.
Recomendações para Dispositivos Móveis e Serviços na Nuvem
Para dispositivos móveis, como notebooks, tablets e smartphones, o guia sugere que estejam sujeitos aos mesmos procedimentos de controle de acesso implantados para os demais equipamentos da empresa, incluindo autenticação multi-fator. O guia recomenda, ainda, que a empresa separe os dispositivos móveis de uso privado daqueles de uso institucional. Ou seja, a recomendação é que não se utilize dispositivos móveis particulares para fins institucionais, uma vez que estão mais sujeitos a vulnerabilidades, trazendo mais risco para o agente de tratamento. Uma última recomendação é a implementação de funcionalidade que permita apagar todos os dados no dispositivo, de forma remota, para ser usada em caso de perda ou roubo do equipamento.
Quanto à serviços na nuvem, é importante ter um contrato de acordo de nível de serviço (SLA – Service Level Agreement) adequado, que contemple a segurança dos dados armazenados e uso de autenticação multi-fator, para acesso aos serviços e dados pessoais que estão na nuvem.
A LGPD é para todos
Segurança da informação é uma área muito dinâmica, muito embora as recomendações feitas no guia possam servir como um caminho inicial para os municípios de pequeno porte. Contudo, há outras práticas e recomendações que podem (e devem) ser buscadas, para que se tenha um ecossistema de privacidade e proteção de dados cada vez mais efetivo. Por exemplo, há boas práticas já consolidadas no mercado, como as normas da família 27.000 da ABNT/ISO/IEC. Recomendo também a observância em relação às principais violações que ensejaram a aplicação de multas pelas autoridades de proteção de dados da Europa, a partir das quais podemos identificar onze boas práticas, como já abordei no artigo “Quais são os padrões técnicos mínimos exigidos pela LGPD?”[8], e que cito a seguir:
• Monitoramento de contas de usuário privilegiadas – contas privilegiadas são aquelas que têm permissão para alterar sistemas de segurança e, consequentemente, conseguem acessar todos os dados sensíveis. Se esse tipo de conta for comprometido por um ataque ou mesmo se for utilizada de forma indevida, a privacidade dos dados sensíveis será comprometida. Assim, é importante a implantação de soluções técnicas para monitorar o uso de contas privilegiadas, para evitar o seu uso indevido;
• Monitoramento do acesso e uso de bancos de dados com dados pessoais – todo acesso aos bancos de dados que possuem dados pessoais também deve ser monitorado e registrado, para que seja possível rastrear eventuais usos indevidos. Um ponto de atenção é com as contas de administradores do Banco de Dados, que como as contas privilegiadas, podem ter acesso aos dados pessoais;
• Implementação de hardening de servidores, para evitar acesso a contas de administradores ou super usuários – mais uma vez, a preocupação com as contas privilegiadas é tratada neste caso. Hardening de servidores é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas em servidores com o objetivo principal de torná-lo preparado para enfrentar tentativas de ataque, especialmente ataques para exploração de contas privilegiadas;
• Encriptação de dados pessoais e dados pessoais sensíveis – a criptografia é uma técnica que cifra os dados, tornando-os ininteligíveis para os que não têm acesso às regras e chaves utilizadas. É uma técnica importante que trabalha para garantir a confidencialidade dos dados, um dos pilares da segurança da informação;
• Uso de autenticação multifator – que trabalha em um dos pontos mais sensíveis e explorados pelos invasores, o roubo de credenciais, por meio de técnicas de phisphing, por exemplo. O uso de autenticação multifator verifica a identidade do usuário por meio de duas ou mais credenciais de acesso. Pode-se utilizar, por exemplo, algum critério que o usuário saiba (a senha), outro critério que ele possua (dados biométricos) ou algo que ele possua (um token);
• Controle de acesso rígido para aplicações, com base na necessidade e remoção de acesso quando não for mais necessário – privilegiando o princípio da necessidade, definido no art. 6º da LGPD, com a exclusão do dado ao final do seu ciclo de vida;
• Teste de invasão frequentes – a equipe técnica deve implantar soluções técnicas de proteção e, além disso, fazer testes de invasão frequentes de forma a validar se os controles implementados são eficazes. Aqui é importante utilizar o ciclo PDCA – planejar (Plan) as soluções técnicas, executar (Do), implantar a solução planejada, verificar (Check) sua implantação – onde entra o teste de invasão – e atuar (Act), fazendo as correções e ajustes necessários, reiniciando o ciclo;
• Não armazenamento de senhas em texto claro em arquivos não criptografados – o que parece ser uma atitude óbvia, mas que infelizmente ainda é negligenciada, dado o volume de multas aplicadas pelas autoridades europeias. O armazenamento de senhas em arquivos com texto claro é um grande risco para a segurança da informação e sua existência deve ser mapeada e eliminada;
• Registro de tentativas de login sem sucesso – esse tipo de situação pode indicar um ataque de força bruta que, em caso de sucesso, pode colocar em risco todo o aparato de segurança implantado. Em conjunto com essa prática, deve-se implantar políticas de senhas fortes, com uso de senhas longas e diversos tipos de caracteres. O sucesso do ataque de força bruta se baseia na utilização de senhas simples;
• Revisão manual de códigos para verificação se há dados pessoais indevidos – é importante verificar os códigos de sistemas para verificar se não há dados pessoais “chumbados”, especialmente senhas de sistemas e credenciais de usuários. Esse tipo de informação não pode existir nas linhas de códigos de sistemas de informação;
• Processamento de dados de cartões de acordo com o padrão PCI DSS, um padrão mundialmente reconhecido para tratamento de dados de pagamento com uso de cartão. As iniciais PCI DSS vêm do inglês “Payment Card Industry Data Security Standard.
Embora o Poder Público não esteja sujeito à sanções pecuniárias, as principais falhas encontradas na Europa são um ótimo referencial para minimizar a probabilidade de ocorrência de incidentes de segurança, especialmente envolvendo dados pessoais.
É fundamental que todos busquem um comportamento digital cada vez mais seguro, de forma que os direitos dos titulares de dados pessoais[9] sejam sempre respeitados.
*Fábio Xavier é Diretor do Departamento de Tecnologia da Informação do Tribunal de Contas do Estado de São Paulo
Referências bibliográficas
BARBOSA, Daniela B.; OLIVEIRA, Victor F. LGPD: a necessidade de proteção dos dados do setor público. O Estadão, São Paulo. 12 set. 2020. Disponível em: https://politica.estadao.com.br/blogs/fausto-macedo/lgpd-a-necessidade-de-protecao-dos-dados-do-setor-publico/. Acesso em 25 dez. 2020.
BRASIL. Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições de Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, mai. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf. Acesso em 14 jun. 2021.
BRASIL. Autoridade Nacional de Proteção de Dados. Guia Orientativo de Segurança Da Informação Para Agentes De Tratamento De Pequeno Porte. Brasília, out. 2021. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf. Acesso em 05 out. 2021.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015- 2018/2018/Lei/L13709.htm. Acesso em: 25 dez. 2020.
FÉ, Ana Lúcia Moura. Custo da conformidade pode variar de R$50 mil a R$800mil. Valor Econômico. São Paulo. 21 ago. 2020. Disponível em: https://valor.globo.com/publicacoes/suplementos/noticia/2020/08/21/custo-da-conformidade-pode-variar-de-r-50-mil-a-r-800-mil.ghtml. Acesso em: 31 ago. 2021.
PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: comentários à lei n. 13.709/2018 (LGPD). 3. ed. São Paulo: Saraiva, 2021.
SILVA, Andressa Carvalho da. Lei Geral de Proteção de Dados e a Responsabilidade Estatal: implicações no âmbito dos tribunais de contas. 73f. Monografia (Especialização) – Curso de Direito Público, Universidade de Caxias do Sul, Porto Alegre, 2020.
XAVIER, Fabio Correa. LGPD: conheça seus direitos como titular de dados pessoais. Conheça seus direitos como titular de dados pessoais. 2021. Disponível em: https://mittechreview.com.br/lgpd-conheca-seus-direitos-como-titular-de-dados-pessoais/. Acesso em: 31 ago. 2021.
XAVIER, Fabio Correa. Quais são os padrões técnicos mínimos exigidos pela LGPD?. 2021. Disponível em: https://mittechreview.com.br/quais-sao-os-padroes-tecnicos-minimos-exigidos-pela-lgpd/. Acesso em: 31 ago. 2021.
XAVIER, Fabio Correa. Regra de Pareto para a Segurança Digital: 3 ações que mitigam 80% dos ataques. 2021. Disponível em: https://mittechreview.com.br/regra-de-pareto-para-a-seguranca-digital-3-acoes-que-mitigam-80-dos-ataques/. Acesso em: 31 ago. 2021.