1. Introdução. No ano de 2018, quando passou a viger a GDPR e foi publicada a LGPD, houve a publicação do Provimento nº 74/2018 pelo CNJ, dispondo sobre padrões mínimos de segurança da informação para as serventias extrajudiciais. Considerada a vacatio legis de 180 dias, desde o início 2019 as serventias já têm o dever de adequar seus sistemas internos às exigências de segurança da informação.
Nesse artigo, o objetivo é estabelecer um paralelo entre o que já era exigido pelo Provimento 74 e o que passa a ser exigido também pela LGPD, abordando otema a partir de uma perspectiva teórica e prática, à luz de autores da área tecnológica e das normas da família ISO 2700.
2. Provimento nº 74/2018 do CNJ. Essa normativa contempla o dever da implantação de políticas de segurança de informação, com mecanismos preventivos de controle físico e lógico. As medidas adotadas devem ser orientadas de forma tal que eventuais obstáculos não impeçam a continuidade eficiente dos serviços à população, devendo o cartório contar com
- plano de continuidade para eventuais incidentes de segurança, que atenda às normas de interoperabilidade, legibilidade e recuperação de informações (art. 2º, parágrafo único), bem como medidas que possibilitem a transmissão facilitada do acervo, em caso de sucessão (art. 7º).
- padrões mínimos de segurança e integridade para armazenamento de dados, com backups em nuvem e backups físicos de periodicidade máxima de 24 horas e hospedagem em local distinto da instalação da serventia (art. 3º).
- sistema escalas de permissões seccionados por função, associados a perfis individuais, cujo acesso deve ocorrer dupla autenticação: por usuário e senha e por certificação digital ou biometria (art. 4º).
- trilhas de auditoria que permitam rastrear e identificar acessos ou modificações, as quais devem ser preservada no backup (art. 5º).
Ao final, o Provimento 74 ainda lista uma série de tecnologias que são obrigatórias para as serventias. Existem três classesi de exigências, que variam conforme o faturamento de cada cartório.
3. LGPD. Embora seja relacionada a todo o âmbito da proteção de dados, a segurança da informação tem tratamento específico nos artigos 46 a 49 da LGPD. A lei determina a adoção de medidas de segurança técnicas e administrativas aptas a proteger os dados de quaisquer formas de tratamento inadequado. Cabe à Autoridade Nacional de Proteção de Dados (ANPD) estabelecer os “padrões técnicos mínimos” (art. 46, § 1º), a partir dos seguintes critérios (cf: art. 46, § 1º c/c art. 49, LGPD):
- características específicas do tratamento realizado pelo controlador;
- estado atual da tecnologia;
- princípios gerais previstos na LGPD.
O art. 46, caput da LGPD prescreve que os incidentes de segurança podem decorrer de situações acidentais ou ilícitas, elencando algumas espécies. Esta temática será abordada, porém, no tópico subsequente.
Se ocorrer algum incidente de segurança da informação, a ANPD e os titulares dados afetados ou potencialmente afetados devem ser comunicados. O critério para a comunicação não é o dano efetivo, mas a simples existência de “risco relevante” (art. 48). A comunicação deve ser preferencialmente de maneira imediata, ou em prazo razoável, indicando os motivos da demora (art. 48, § 1º). Em seguida, a ANPD verifica a gravidade do incidente e pode determinar medidas para reverter ou mitigar seus efeitos, ou mesmo a ampla divulgação do fato em meios de comunicação (art. 48, § 2º, LGPD).
4. Normas ISO 2700. O melhor parâmetro para uma Information Security de ponta são as normas ISO da família 2700 (Sistema de Gestão de Segurança da Informação – SGSI). Seu estudo é profícuo mesmo que não sejam implantadas no cartório, pois servem de padrão para o mundo todo. O próprio Provimento 74 é inteiramente baseado nessas normas, com ligeiras adaptações.
Entendese que o dever implantar o Provimento 74 e a LGPD há não é pouco. Mas em matéria de segurança da informação, sempre é interessante manter padrões mais elevados que os estritamente exigidos, para garantir com mais “folga”, por assim dizer, a continuidade dos serviços e evitar responsabilizações. Até porque, em seu juízo sobre a gravidade dos incidentes, – a partir do qual determinará eventuais sanções – a ANPD levará em consideração as medidas técnicas adotadas para proteção dos dados.
5. A segurança da informação nos cartórios hoje. A Segurança da Informação tem como escopo estabelecer um equilíbrio entre os seguintes aspectos:
- Requisitos de qualidade que uma organização tem para suas informações
- Os riscos associados a esses requisitos de qualidade
- As contramedidas que são necessárias para mitigar esses riscos
- A garantia de continuidade do negócio em caso de um desastre
- Se e quando relatar incidentes fora da organização
Uma vez que o grau de medidas de segurança deve ser proporcional à qualidade que se espera das informações de determinada entidade, os cartórios têm grande exigência implementação de medidas de segurança. Afinal, as informações da serventia necessitam ser íntegras para cumprir sua função.
Muitos dispositivos da Lei 6.015/1973 e da Lei 8.935/1995 poderiam ser mencionados para demonstrar essa realidade, sendo desnecessária uma menção exaustiva. Por ora, basta recordar o dever de garantir a publicidade, autenticidade, segurança e eficácia dos atos jurídicos, que depende da qualidade dos dados.
Em segurança da informação, a qualidade se confunde com a integridade. Mas esta é apenas um dos seis atributos básicos de toda informação, que são elencados no hexagrama Parkenianoiii: (i) Confidencialidade; (ii) Posse ou controle; (iii) Integridade; (iv) Autenticidade; (v) Disponibilidade; (vi) Utilidade. Não à toa, a maioria desses atributos são os objetivos da segurança da informação previstos no Provimento 74.
5.1 Incidentes e continuidade dos serviços. Todas as organizações possuem informações valiosas (ativos). Por mais protegias que sejam, elas apresentam sempre alguma fraqueza que pode ser explorada (vulnerabilidade) por “uma potencial causa de um incidente não desejado”iv (ameaça). Os cartórios estão sujeitos a variadas amaças, tanto como quaisquer outras organizações cujos acervos contêm dados de alta relevância social, econômica e estratégica.
O incidente de segurança é um evento que impacta negativamente algum dos seis a atributos da informação acima listados. Por exemplo, a perda de informação afeta a posse; a quebra de sigilo afeta a confidencialidade; a alteração indevida altera a integridade, e assim por diante. Os incidentes são situações em que foi efetivado o risco, isto é, “a probabilidade de um agente ameaçador tirar vantagem de uma vulnerabilidade”v, gerando impactos deletérios e comprometendo a continuidade dos serviços.
Para que se tenha uma ideia de como resolver as questões práticas nas serventias, foi concebida a tabela comparativa abaixo. Para cada uma das hipóteses de incidentes que aparecem no art. 46 da LGPD, foram correlacionados exemplos de vulnerabilidades, riscos e impactos comuns nas atividades:
5.2 Soluções recomendadas. A boa gestão baseia-se no tripé tecnologia-processos-pessoas, pois depende de boas tecnologias, ordenação adequada de tarefas e treinamento da equipe. Em segurança da informação, todavia, o aspecto tecnológico adquire especial importância, pois garante processos básicos de proteção e gerenciamento de riscos, sem os quais praticamente inexiste proteção.
Manter equipamentos e ferramentas de segurança atualizados não apenas é requisito para cumprir as exigências legais, mas algo imprescindível para salvaguardar a integridade, a autenticidade e o armazenamento seguro das informações. Não se trata de tornar nulos os riscos, mas reduzi-los a um patamar aceitável.
Nas serventias, ferramentas imprescindíveis são as proteções contra ameaças advindas da internet. Não à toa, Firewalls são uma exigência do Provimento 74 para todos os cartórios indistintamente. Além dos ataques comuns a todas a todas as organizações (ex: pishing, envio de e-mails contaminados), é possível que os cartórios sejam alvo de ataques de hackers profissionais, para sequestros de dados (que são muito valiosos, como visto).
Daí ser recomendável a implantação de tecnologias mais avançadas, como os Next-Generation Antivirus (NGAVs) e os Next-Generation Firewalls (NGFWs). Além de estarem dentre as mais eficientes ferramentas para segurança de informações, esses softwares são capazes de fornecer registros avançados para, em caso de incidentes, gerar relatórios precisos com velocidade, auxiliando na satisfação das exigências do art. 48, § 1º da LGPD.
É importante manter um sistema eficiente de escalas de permissões, com usuários (logs) e senhas associados a perfis individuais, os quais devem ter acesso a informações de acordo com sua função (privilege restriction). São os chamados serviços de monitoramento IDS/IPS – Intrusion Detection System (IDS) e o Intrusion Prevention System (IPS) – que criam políticas de aceitação e rejeição de comunicação de rede, a fim de registrar os eventos ocorridos durante monitoramentos da circulação dos dados, controlando o histórico de modificações feitas sobre as informações e permitindo seu rastreamento.
Bibliografia e notas de fim
BAARS, Hans; HITZBERGEN, Jule; HITZBERGEN, Kees; SMULDERS , André. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport, 2018. Ebook.
COMAR, Regina. Por que os cartórios deveriam pensar na 27001 e não apenas na LGPD? Disponível em: https://bit.ly/2wVsgyx. Acesso em 05 abr. 2020.
MALDONADO, Viviane N. (org). LGPD – Lei Geral de Proteção de Dados Pessoais: manual de implementação. São Paulo: Thomson Reuters Brasil, 2019.
————————————–
i[1] Serventias com arrecadação, por semestre: (Classe 1) de até 100 reais mil; (Classe 2) entre R$ 100 e 500 mil reais; (Classe 3); superior a 500 mil reais.
ii[1] BAARS, Hans; HITZBERGEN, Jule; HITZBERGEN, Kees; SMULDERS , André. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport, 2018. Ebook.
iii[1] BAARS, Hans; HITZBERGEN, Jule; HITZBERGEN, Kees; SMULDERS , André. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport, 2018. Ebook.
iv[1] BAARS, Hans; HITZBERGEN, Jule; HITZBERGEN, Kees; SMULDERS , André. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport, 2018. Ebook.
v[1] BAARS, Hans; HITZBERGEN, Jule; HITZBERGEN, Kees; SMULDERS , André. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport, 2018. Ebook.
JOÃO RODRIGO STINGHEN – advogado e autor de diversos artigos sobre direito notarial e de registro.
CARLOS FELIPE RAMOS DA SILVA – Especialista em segurança da informação e sócio da Softlan Soluções em Informática.