Nem "só" de privacidade vive a LGPD: a importância do plano de continuidade de negócios

Ao pensarmos na LGPD é quase instintivo que associemos a norma ao conceito de "privacidade" (que, afinal, é um dos fundamentos da disciplina da proteção de dados pessoais, conforme dispõe o art. 2º, inciso I, da LGPD), o que acaba por fornecer uma compreensão limitada do tema, com consequências práticas bastante sérias.

Por se tratar de norma relativa ao campo da Segurança da Informação, a LGPD deve ser lida à luz dos três pilares (ou princípios) que orientam a matéria¹:

Disponibilidade - A informação é acessível por usuários autorizados sempre que a solicitarem.
Integridade - Somente usuários autorizados podem alterar informação.
Confidencialidade - Somente usuários autorizados podem visualizar informação².

A análise dos dispositivos da LGPD revela a preocupação com esses pilares ao longo de todo o texto, como no art. 6º, inciso VII, que traz a definição de "segurança" e exige a adoção de medidas para "proteger os dados de acessos não autorizados [confidencialidade] e de situações acidentais ou ilícitas de destruição, perda [integridade e disponibilidade], alteração [integridade], comunicação ou difusão [confidencialidade]".

Portanto, a estruturação de programas de adequação à LGPD não pode se basear unicamente em preocupações a respeito da privacidade (ou, mais precisamente, da confidencialidade) dos dados pessoais tratados pelo controlador, mas deve também cuidar de aspectos de disponibilidade e integridade das informações.

A recente invasão aos sistemas informatizados do STJ, por meio de ataque conhecido como ransomware^{3, 4}, tornou os sistemas do tribunal indisponíveis durante mais de uma semana e motivou, posteriormente, a instituição do Comitê de Segurança Cibernética do Poder Judiciário (Portaria 242, de 10 de novembro de 2020)⁵, por parte do CNJ. Trata-se de poderoso lembrete sobre a necessidade de não se descuidar dos demais aspectos da segurança da informação e, como afirmaram João Pedro Favaretto Salvador e Tatiane Guimarães em artigo publicado no Portal Migalhas em 10/11/2020, representa "mais um grito de socorro da segurança cibernética no Brasil"⁶.

E, dentre as ferramentas existentes para auxiliar no gerenciamento dos riscos de segurança cibernética (e, consequentemente, na adequação plena à LGPD), merece destaque o Plano de Continuidade de Negócios ("PCN") conforme desenhado, por exemplo, na norma técnica ABNT NBR ISO 22301:2020.

A norma conceitua o Plano de Continuidade de Negócios como o documento que orienta a organização (seja sociedade empresária, seja um órgão público) na retomada da prestação de serviços frente a um evento adverso (como a completa indisponibilidade das instalações físicas da organização, por exemplo), e traz requisitos para a implementação de um plano de continuidade de negócios adequado (como a definição de políticas e procedimentos para situações de crise, elaboração da análise de risco e impacto, estabelecimento de metas e indicadores para avaliação do plano de continuidade de negócios, além de exigir auditorias e testes periódicos do plano para garantir a eficiência e eficácia dos controles previstos no documento).

Ao considerarmos situações análogas à invasão ao sistema do STJ (como, por exemplo, um ataque de ransomware aos servidores de uma empresa de médio porte), um PCN bem estruturado permitiria a retomada mais célere das atividades essenciais de uma organização, o que pode ser a diferença entre a vida e a morte do negócio: afinal, qual o tamanho do impacto que uma indisponibilidade sistêmica de uma semana provocaria em uma média empresa?

Assim, a adequação à LGPD não pode se limitar apenas às disposições da lei, sob pena da elaboração de um programa de segurança da informação que não se sustentará frente a incidentes mais graves, sendo necessária a integração dos dispositivos da Lei Geral de Proteção de Dados com diretrizes previstas em normas técnicas e códigos de boas práticas de governança de TI e segurança da informação (como previsto, por exemplo, no art. 33, inciso II, alínea "d", ou no art. 50, ambos da LGPD).

________

1- A norma ABNT ISO/IEC 27001:2013, que especifica os requisitos para sistemas de segurança da informação, define a segurança da informação como a preservação da confidencialidade, integridade e disponibilidade da informação, podendo, eventualmente, envolver outros serviços como autenticidade ou não-repúdio (BRASIL. Associação Brasileira de Normas Técnicas - ABNT. ABNT NBR ISO/IEC 27001:2013).