A segurança da informação já é norteada por normas, requisitos e boas práticas para proteção da confiabilidade da informação, antes mesmo das normas específicas relativas a proteção de dados pessoais entrarem em vigor.
 
As imposições trazidas pela general Data Protection Regulation e Lei Geral de Proteção de Dados demandaram uma análise e revisão dos processos de segurança da informação nas empresas e agentes de tratamento. Muitas empresas, no entanto, se questionam sobre a relação da proteção de dados e segurança da informação, e é comum que fiquem na dúvida sobre a aderência dos seus controles de segurança da informação já existentes.
 
Basicamente, a segurança da informação já é norteada por normas, requisitos e boas práticas para proteção da confiabilidade da informação (confidencialidade, integridade, disponibilidade), antes mesmo das normas específicas relativas a proteção de dados pessoais entrarem em vigor. Protege-se com elas a informação na empresa e não somente dados pessoais.
 
Portanto, é evidente que os controles existentes que sigam os requisitos da ISO 27001 e demais normas são considerados pelas leis de proteção de dados e compatibilizam-se com elas. Estão intimamente ligados. As normas de proteção de dados (GDPR e LGPD) enaltecem a segurança da informação a todo o instante, não só estabelecendo a necessidade de agentes de tratamentos, controladores e operadores, em implementarem medidas técnicas e organizativas para proteção de dados, trazendo também exemplos de boas práticas técnicas como pseudonimização e criptografia, mas principalmente, ambas as normas trazem a segurança (exatidão) como princípio relativo à proteção de dados.
 
A relação entre as regras de proteção de dados e a segurança da informação é tão evidente que a própria formação do Data Protection Officer, encarregado de proteção de dados nas empresas, tem necessariamente conhecimentos de fundamentos de segurança da informação, ativos, análises de risco, continuidade de negócio, dentre outros conhecimentos inerentes a security officers e profissionais de SI em geral.
 
Conquanto as normas de proteção de dados preocupem-se com o data breaches e não com qualquer evento ou incidente de segurança da informação, é evidente que estabelecem como um dos pontos de conformidade, o estabelecimento por parte dos agentes de tratamento de uma gestão efetiva de incidentes, bem como a concepção de procedimentos claros, diante de um vazamento de dados, envolvendo notificação à autoridade de controle e em casos específicos, comunicação aos titulares dos dados, sempre, informando a natureza, extensão do incidente e quais medidas estão sendo tomadas ou práticas para mitigar os riscos (lembrando que este ponto ainda carece de regulamentação na LGPD).
 
Se o gerenciamento de incidentes de segurança da informação e resposta forense aos incidentes era um requisito de normas de melhores práticas em si, agora, ele é elevado a um dos itens de adequação para as normas de proteção de dados. Assim, as equipes de resposta a incidentes são válidas, pertinentes e precisam se adaptar aos requisitos e particularidades envolvendo proteção de dados. Vale destacar que na consideranda 49 da GDPR a existência do CSIRT (time de resposta a incidentes) apresenta-se como fundamental, definindo na consideranda 83 a importância da análise de risco, disciplinando ainda a norma no seu art. 32 o dever dos agentes de tratamento em assegurarem um nível de segurança adequado ao risco, inclusive prevendo os testes em seus sistemas (como os pentests, validações de programação segura, dentre outros), na sua alínea “d”, ao estabelecer que os agentes devem adotar “Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.”
 
Ademais, no Brasil, com base no art. 38 da LGPD, espera-se que a Autoridade Nacional de Proteção de Dados passe a exigir relatório de impacto a proteção de dados dos agentes de tratamento, que deverá indicar, pelo menos a metodologia utilizada para coleta e segurança das informações tratadas. E o mais grave: pela lei brasileira, um tratamento de dados não será só considerado irregular quando tratado sem uma premissa legal ou consentimento, mas principalmente, quando “não fornecer segurança que o titular dele possa esperar”, sendo que controladores e operadores poderão responder por danos diante do afrouxamento de controles de segurança, previstos no artigo 46, que estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
 
Não bastasse todas as relações acima trazidas, é importante destacar que uma empresa que se demonstre madura em termos de segurança da informação e processos para identificar e tratar incidentes de dados, poderá muitas vezes minimizar o impacto da norma e sua responsabilização por incidentes. Procedimentos claros de perícia digital em dados serão úteis para, a exemplo, demonstrar a inexistência de violação (fakeleaks) a dados ou mesmo a culpa exclusiva do titular dos dados, como estabelece o art. 43 da norma brasileira.
 
A perícia de informática ou em dados também será útil nas controvérsias envolvendo a realização ou não de um tratamento, onde o titular afirma que o controlador ou operador fazem o tratamento, e estes negam. Além disso, será muito útil nas questões envolvendo confirmação ou não de consentimento eletrônico (ou mediante telas sistêmicas), onde a controvérsia está se houve ou não o referido consentimento, dentre outras hipóteses em que se revela boa prática que as empresas mantenham profissionais de digital e data forensics sempre por perto.
 
Como visto, a segurança da informação é direito do titular, medida técnica e organizativa indicada e elencada à princípio para as normas de proteção de dados, sendo elemento fundamental para assegurar a conformidade de agentes de tratamento às diretrizes das normas e principalmente, agora, para evitar responsabilizações junto à ANPD (Autoridade Nacional Brasileira) e até judiciais, diante de danos decorrentes de tratamento de dados. Do mesmo modo, uma resposta a incidentes efetiva e adequada à norma, com recursos para investigação digital e em dados, é mais que boa prática para empresas que queiram reduzir riscos de problemas jurídicos e responsabilizações diante de incidentes envolvendo dados, aos quais todo agente de tratamento está sujeito.
 
*José Antonio Milagre é advogado especialista em Direito Digital e Proteção de Dados, fundador do Instituto de Defesa do Cidadão e Consumidor na Internet – IDCI, presidente da comissão de direito digital da regional da Vila Pudente da OAB/SP.
 
*Carolina Bonfim Coelho é especialista em Direito Digital e Dados, membro do escritório José Milagre & Associados.