domingo, 28 de novembro de 2021

MIGALHAS DE PESO

fechar

Cadastre-se para receber o informativo gratuitamente

  1. Home >
  2. De Peso >
  3. Nem "só" de privacidade vive a LGPD: a importância do plano de continuidade de negócios

Nem "só" de privacidade vive a LGPD: a importância do plano de continuidade de negócios

A recente invasão aos sistemas do Superior Tribunal de Justiça é poderoso lembrete de que a adequação à LGPD não se limita à proteção da privacidade dos dados tratados

quinta-feira, 7 de janeiro de 2021

(Imagem: Arte Migalhas)

(Imagem: Arte Migalhas)

Ao pensarmos na LGPD é quase instintivo que associemos a norma ao conceito de "privacidade" (que, afinal, é um dos fundamentos da disciplina da proteção de dados pessoais, conforme dispõe o art. 2º, inciso I, da LGPD), o que acaba por fornecer uma compreensão limitada do tema, com consequências práticas bastante sérias.

Por se tratar de norma relativa ao campo da Segurança da Informação, a LGPD deve ser lida à luz dos três pilares (ou princípios) que orientam a matéria1:

Disponibilidade - A informação é acessível por usuários autorizados sempre que a solicitarem.
Integridade - Somente usuários autorizados podem alterar informação.
Confidencialidade - Somente usuários autorizados podem visualizar informação2.

A análise dos dispositivos da LGPD revela a preocupação com esses pilares ao longo de todo o texto, como no art. 6º, inciso VII, que traz a definição de "segurança" e exige a adoção de medidas para "proteger os dados de acessos não autorizados [confidencialidade] e de situações acidentais ou ilícitas de destruição, perda [integridade e disponibilidade], alteração [integridade], comunicação ou difusão [confidencialidade]".

Portanto, a estruturação de programas de adequação à LGPD não pode se basear unicamente em preocupações a respeito da privacidade (ou, mais precisamente, da confidencialidade) dos dados pessoais tratados pelo controlador, mas deve também cuidar de aspectos de disponibilidade e integridade das informações.

A recente invasão aos sistemas informatizados do STJ, por meio de ataque conhecido como ransomware3, 4, tornou os sistemas do tribunal indisponíveis durante mais de uma semana e motivou, posteriormente, a instituição do Comitê de Segurança Cibernética do Poder Judiciário (Portaria 242, de 10 de novembro de 2020)5, por parte do CNJ. Trata-se de poderoso lembrete sobre a necessidade de não se descuidar dos demais aspectos da segurança da informação e, como afirmaram João Pedro Favaretto Salvador e Tatiane Guimarães em artigo publicado no Portal Migalhas em 10/11/2020, representa "mais um grito de socorro da segurança cibernética no Brasil"6.

E, dentre as ferramentas existentes para auxiliar no gerenciamento dos riscos de segurança cibernética (e, consequentemente, na adequação plena à LGPD), merece destaque o Plano de Continuidade de Negócios ("PCN") conforme desenhado, por exemplo, na norma técnica ABNT NBR ISO 22301:2020.

A norma conceitua o Plano de Continuidade de Negócios como o documento que orienta a organização (seja sociedade empresária, seja um órgão público) na retomada da prestação de serviços frente a um evento adverso (como a completa indisponibilidade das instalações físicas da organização, por exemplo), e traz requisitos para a implementação de um plano de continuidade de negócios adequado (como a definição de políticas e procedimentos para situações de crise, elaboração da análise de risco e impacto, estabelecimento de metas e indicadores para avaliação do plano de continuidade de negócios, além de exigir auditorias e testes periódicos do plano para garantir a eficiência e eficácia dos controles previstos no documento).

Ao considerarmos situações análogas à invasão ao sistema do STJ (como, por exemplo, um ataque de ransomware aos servidores de uma empresa de médio porte), um PCN bem estruturado permitiria a retomada mais célere das atividades essenciais de uma organização, o que pode ser a diferença entre a vida e a morte do negócio: afinal, qual o tamanho do impacto que uma indisponibilidade sistêmica de uma semana provocaria em uma média empresa?

Assim, a adequação à LGPD não pode se limitar apenas às disposições da lei, sob pena da elaboração de um programa de segurança da informação que não se sustentará frente a incidentes mais graves, sendo necessária a integração dos dispositivos da Lei Geral de Proteção de Dados com diretrizes previstas em normas técnicas e códigos de boas práticas de governança de TI e segurança da informação (como previsto, por exemplo, no art. 33, inciso II, alínea "d", ou no art. 50, ambos da LGPD).

________

1- A norma ABNT ISO/IEC 27001:2013, que especifica os requisitos para sistemas de segurança da informação, define a segurança da informação como a preservação da confidencialidade, integridade e disponibilidade da informação, podendo, eventualmente, envolver outros serviços como autenticidade ou não-repúdio (BRASIL. Associação Brasileira de Normas Técnicas - ABNT. ABNT NBR ISO/IEC 27001:2013).

2- KIM, David. SOLOMON, Michael G. Fundamentos de segurança de sistemas de informação. Tradução: Daniel Vieira. Revisão técnica: Jorge Duarte Pires Valério. Rio de Janeiro: LTC. 2014, p. 7.

3- Disponível aqui. . Acesso em 11/11/2020

4- "O ransomware é um malware utilizado para o sequestro dos dados das vítimas e, atualmente, tem duas formas de atuação, concomitantes ou não. Na primeira modalidade, é infectada a máquina e os dados do dispositivo são criptografados, sendo gerado um arquivo acessível, geralmente na área de trabalho ou apresentado em um navegador web em que o criminoso pede um resgate - geralmente a ser pago em criptomoedas - prometendo o envio de um código que possibilite que os dados sejam decriptografados, o que muitas vezes não acontece, ainda que seja efetivado o pagamento do "resgate". Na segunda modalidade, ocorre o mesmo processo supracitado, porém, o criminoso envia os dados da vítima - e da empresa inteira em algumas oportunidades - para servidores remotos, podendo ou não os criptografar, exigindo o resgate para não revelar informações sigilosas que a empresa possua" (TUBINAMBÁ, Marcos. Ataques e crimes cibernéticos. In: SLEIMAN, Cristina e outros. Segurança digital: proteção de dados nas empresas. Org.: Patrícia Peck Pinheiro. São Paulo: Atlas. 2020, p. 18.

5- Disponível aqui.. Acesso em 17/11/2020.

6- Disponível aqui.. Acesso em 13/11/2020.

Atualizado em: 7/1/2021 12:31

Sérgio Luiz Beggiato Junior

VIP Sérgio Luiz Beggiato Junior

Bacharel em Direito pela UFPR, especialista em Direito Empresarial (FGV), Compliance e Integridade Corporativa (PUC-MG) e Filosofia do Direito (PUC-MG). Graduando em Segurança da Informação (UCB).