Da segurança e do sigilo de dados

Fonte: Shutterstock.

Deseja ouvir este material?

Áudio disponível no material digital.

Praticar para aprender

Olá, aluno! Estamos de volta para dar seguimento aos nossos estudos sobre a LGPD, e o tema agora é a segurança e o sigilo de dados.
Você já tem, até o momento, uma compreensão bem razoável sobre os níveis de interesse do Estado e do Direito na regulação do ciberespaço, com ênfase no trânsito de dados e no seu tratamento por parte dos controladores e dos operadores (agentes de tratamento). 
Mas, já parou para se perguntar como estão estruturadas as normas legais que cuidam da segurança da informação nesses casos? Como será que as empresas, por exemplo, devem agir para que deem o exato cumprimento à LGPD? 
Existe uma série de dispositivos legais que dizem respeito à maneira pela qual as empresas, e até o Poder Público, devem se comportar em termos de observância dos parâmetros de proteção de informações e dados que porventura passem por seus contextos de operação. 
A posse de arquivos digitais tem a ver, assim, com a posse de dados e de informações em geral, bem como aqueles dados tidos por sensíveis, que demandam mecanismos de atenção redobrada, sobretudo quanto ao seu armazenamento nos mais variados bancos de dados.
Sobre isso, a posse de arquivos digitais é tema que também investigaremos neste contexto, com a finalidade de saber como ocorrem os processos de fiscalização, de controle e de regulação de acordo com a abrangência da LGPD.
Por fim, falaremos sobre o chamado direito de arrependimento na Internet para evidenciar como essa temática se relaciona com os novos fenômenos ligados ao ciberespaço.

Um professor universitário ministrou uma aula sobre os impactos da tecnologia no mundo jurídico para alunos de uma universidade em São Paulo. Ocorre que, durante a aula, surgiram diversas dúvidas específicas sobre informação e segurança da informação, as quais o professor, que não é um profundo conhecedor da área, foi incapaz de responder.
Devido a esse empecilho e desejando sanar completamente a dúvida de seus alunos, o professor convida você, especialista em Direito Cibernético, para realizar uma palestra sobre o tema. 
O professor o deixa livre para abordar como queira o tema, mas coloca uma condição: que sejam respondidas as dúvidas que, durante a aula, ele não havia conseguido responder. São elas: 
•  O que é informação? 
•  Por que ela é objeto de estudo do Direito Cibernético? 
•  Qual o significado de segurança da informação? 
•  Ela é dever apenas do Estado ou também das empresas? 
•  Quais práticas uma empresa pode adotar para aumentar a segurança da informação e qual a importância disso? 
•  Quais os dispositivos que a lei traz para auxiliar a empresa a manter segura a informação? 
Durante os preparativos de sua palestra e muito atento às palavras do professor que o convidou, você se recorda que não pode deixar de responder a essas questões, por isso pretende iniciar explicando cada uma delas, para progredir livremente no restante da palestra.
A fim de esclarecer, agora, as questões levantadas pelos alunos, escreva um texto que aborde pontualmente todas essas dúvidas.
Estudemos com afinco para adquirir mais esse conhecimento. A LGPD se torna cada vez mais atrativa para todos nós à medida que a analisamos mais de perto. Vamos em frente e juntos!
Bons estudos!

conceito-chave

Quando você pensa no conceito de informação, o que vem à sua mente? Alguns conceitos são tão automáticos no nosso cotidiano que fica até difícil de precisá-los em palavras, não é mesmo? Isso acontece porque alguns deles são praticamente autoexplicativos. Note, num primeiro momento, que a ideia de informação é de interesse do Direito Cibernético porque, basicamente, há um elemento econômico intrínseco aí.
“Todo e qualquer tipo de informação adquire dimensão conceitual relevante na medida em que conduz à personalização do indivíduo a quem faz referência” (LIMA, 2020, p. 351). Isso se dá porque a informação é muito mais do que simplesmente um conjunto de dados: é um conjunto de dados que possui valor, é um verdadeiro recurso, um ativo, portanto, com relevância e significado para a vida pessoal ou profissional (FONTES, 2001).

Nesse quadro, em que é possível verificar que o conjunto de informações possui valor, pois pode influenciar na tomada de decisões que afetam direitos personalíssimos (como honra, imagem, privacidade, liberdade de expressão, etc.), assim como direitos patrimoniais, é fundamental que você saiba a importância da segurança da informação, como área destinada a operar o “conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e a sua missão seja alcançada” (FONTES, 2001, p. 10).
Trata-se de temática muito mais afeta à seara empresarial e, assim, privada, do que propriamente à seara pública quanto ao tratamento de dados efetuados pela administração pública, embora, nesse último caso, seja possível pensar em eventuais danos causados às pessoas quando há falha no armazenamento dos dados. Assim, a tônica é o tratamento feito pelas empresas justamente pelo valor econômico das informações, algo que não guarda pertinência com o campo de interesse do Poder Público. 
Neste sentido:

A segurança da informação existe para minimizar os riscos do negócio em relação à dependência do uso dos recursos de informação para o funcionamento da organização. Sem a informação ou com uma incorreta, o negócio pode ter perdas que comprometam o seu funcionamento e o retorno de investimento dos acionistas. 

No Capítulo VII da LGPD (BRASIL, 2018), intitulado “Da Segurança e das Boas Práticas”, no art. 46, consta que os agentes de tratamento de dados devem adotar as medidas de segurança, de natureza técnica e administrativa, devidamente aptas para a proteção dos dados pessoais de acessos não autorizados, bem como de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito. É um pilar fundamental da LGPD, que traz, de imediato, inovações muito importantes no que se refere às obrigações impostas àqueles agentes de tratamento. “O artigo 46, em especial, trabalha com a exigência de medidas direcionadas à efetivação de controles protetivos capazes de mitigar os riscos do tratamento de dados” (LIMA, 2020, p. 349).
Em primeiro lugar, exige a adoção de mecanismos de garantia da integridade, da confidencialidade e da disponibilidade dos dados que estão em tratamento. 
Em segundo lugar, na eventualidade de vazamento de dados, que é caso de incidente de segurança, há a obrigação de o controlador comunicar a autoridade nacional e o titular sobre a ocorrência, principalmente quando possa causar risco ou dano relevante. Essa comunicação deverá, ainda, ser feita em prazo razoável, consoante definição pela autoridade nacional, devendo, no mínimo, mencionar: a descrição da natureza dos dados afetados pelo incidente; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizadas para fins de proteção dos dados, respeitando os segredos comercial e industrial; os riscos que se relacionam ao incidente de segurança; se a comunicação não tiver acontecido de modo imediato, os respectivos motivos da demora; e as medidas que estão sendo ou que serão adotadas para a reversão ou mitigação dos efeitos do prejuízo. 
Em terceiro lugar, ganha espaço a ideia de Privacy by Design, de sorte que as medidas mencionadas acima devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução (LIMA, 2020, p. 139).
Note que, de acordo com a Associação Brasileira de Normas Técnicas (ABNT), “segurança da informação é a proteção dos vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco, maximizar o retorno sobre os investimentos e oportunidades” (TOMASEVICIUS FILHO, 2021, p. 120).

A segurança da informação é obtida a partir da implementação de um conjunto de controles, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. 

A pessoa é a legítima titular dos dados que compõem a informação, a qual passa a integrar sua esfera direta de interesses, sejam eles personalíssimos ou de cunho patrimonial. Nesse contexto é que a segurança da informação passa a ser um desdobramento “de um novo direito fundamental à proteção de dados pessoais” (LIMA, 2020, p. 351). 
Note que a LGPD disciplina, em verdade, o tratamento de dados em nível geral, isto é, não apenas os dados que constam em meios digitais, porém todos e quaisquer tipos de dados pessoais. É o que se depreende da intelecção do art. 1º da LGPD (BRASIL, 2018). Logo, a posse sobre arquivos digitais é apenas um dos eixos estruturais sobre os quais recai a proteção da lei especial. 
Com efeito, já se pode observar uma tentativa de promover proteção de dados desde os anos 1970, período no qual o Estado concentrava a maior responsabilidade nessa seara à medida que detinha, em maior quantidade e centralização, os dados das pessoas. Aliás, o caso da Alemanha pode ser mencionado como o de um país que primeiro esboçou os itinerários de proteção nessa temática (LIMA, 2020, p. 35).
Perceba que: 

a obsessão e a capacidade de manter segredos têm direcionado o rumo de guerras, monarquias e influenciado a vida em sociedade desde o Egito antigo. A ciência do sigilo vem transformando a forma com que percebemos e garantimos a privacidade e a proteção dos dados.

Quando pensamos em termos de direitos fundamentais, a proteção de dados pode ser considerada, já nessa quadra histórica, como um direito fundamental implícito (LIMA, 2020).
À medida que podemos considerar a proteção de dados como um legítimo direito fundamental implícito, certo é que não apenas nas relações entre os cidadãos e o Estado é que tal direito deverá ser observado e aplicado, mas também nas relações intersubjetivas de natureza privada – sobretudo nestas, aliás –, é que o referido direito fundamental possui incidência (eficácia) direta e imediata. Isso se deve ao fato de que os direitos fundamentais não são aplicados apenas nas relações verticais (entre cidadão e Estado), mas também o são nas relações horizontais (entre particulares, pessoas naturais e jurídicas), principalmente por meio dos contratos. A LGPD permite, assim, uma conformação prática da eficácia horizontal dos direitos fundamentais, notadamente da proteção de dados, como corolário da privacidade, da imagem, da honra, da liberdade e da dignidade. Isso significa dizer que a LGPD coloca em prática os direitos fundamentais, porque estabelece normas claras quanto à postura dos agentes de tratamento.
Nesse sentido, ganha destaque a temática das boas práticas de da governança, que está umbilicalmente conectada à matéria da segurança da informação – afinal, sem que exista uma política organizacional (no setor público ou no privado) em conformidade com a LGPD (programas de compliance), não há que se falar num sistema eficaz e coerente de segurança informacional. 
Logo, de acordo com o art. 50 da LGPD (BRASIL, 2018), os controladores e operadores, individualmente ou por intermédio de associações, poderão elaborar regras de boas práticas e de governança com a finalidade de estabelecer condições de organização, regimes de funcionamento, procedimentos (quanto a reclamações e a petições de titulares), normas de segurança, padrões técnicos, obrigações de cada um dos envolvidos, bem como ações de natureza educativa, mecanismos de supervisão e de redução de riscos. Cada modalidade de tratamento de dados demanda um arcabouço específico de regras de boas práticas, cuja elaboração deverá levar em conta, portanto, a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios resultantes do tratamento de dados.
À luz dos princípios da segurança e da prevenção, o controlador, especialmente, observando a estrutura, a escala, o volume, a sensibilidade dos dados e a probabilidade e a gravidade dos danos ao titular, poderá implantar programa de governança em privacidade, o qual, segundo o art. 50, §2º, I da LGPD (BRASIL, 2018), deverá, no mínimo:
•  Demonstrar comprometimento do controlador quanto à adoção de políticas internas que assegurem cumprimento às normas e boas práticas quanto à proteção de dados.
•  Ser aplicado à totalidade do conjunto de dados pessoais em seu controle, independentemente da forma da coleta.
•  Ser adaptado à estrutura, à escola e ao volume das operações realizadas, atentando-se a eventual caráter sensível dos dados.
•  Estabelecer políticas e medidas de salvaguarda adequadas, lastreadas em processos de avaliação sistemática de impactos e riscos à privacidade.
•  Estabelecer uma relação de confiança com o titular, pautada pela transparência, com garantia de coparticipação dele.
•  Integrar o programa de governança em privacidade à estrutura geral de governança, com aplicação de mecanismos internos e externos de supervisão.
•  Munir o programa de governança em privacidade com planos de resposta a incidentes e com remediação.
•  Promover constante atualização, com base em informações resultantes de monitoramentos contínuos e avaliações periódicas. 
Prevê-se, ainda, que a autoridade nacional incentivará a adoção de padrões técnicos que visem facilitar o controle pelos titulares dos seus dados pessoais.

A LGPD indica que a autoridade nacional poderá fixar sanções de natureza administrativa aos agentes de tratamento, em virtude do cometimento de infrações previstas nessa lei. As sanções previstas no art. 52 da LGPD (BRASIL, 2018; BRASIL, 2019) são:
•  Advertência, com prazo para correção.
•  Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
•  Multa diária, observando-se os limites supracitados.
•  Publicização da infração após ter sido confirmada.
•  Bloqueio de dados pessoais relacionados à infração até que ocorra sua regularização.
•  Eliminação dos dados pessoais.
•  Suspensão parcial do funcionamento do banco de dados por até seis meses, prorrogável por igual período até a regularização pelo controlador.
•  Suspensão do exercício da atividade de tratamento de dados por até 6 seis meses, prorrogável por igual período.
•  Proibição parcial ou total do exercício de quaisquer atividades atinentes ao tratamento de dados.
Toda sanção somente pode ser aplicada mediante a existência do devido processo administrativo, garantindo-se aos envolvidos a ampla defesa e o contraditório, isto é, plena oportunidade de defesa.
Vale ressaltar que as sanções administrativas serão aplicadas em conformidade com alguns critérios, como: gravidade e natureza das infrações; boa-fé do infrator; vantagem auferida ou pretendida; condição econômica do infrator; reincidência; grau do dano causado; cooperação por parte do infrator; adoção de mecanismos de prevenção de riscos e de políticas de boas práticas e de governança; adoção célere de medidas de correção; e proporcionalidade existente entre a falta cometida e a intensidade da sanção (BRASIL, 2018).
De qualquer maneira, como cediço, as sanções administrativas porventura aplicadas não excluem as responsabilidades civis e penais existentes. Ademais, saiba que o produto da arrecadação das multas será destinado ao Fundo de Defesa e Direitos Difusos, instituído no art. 13 da Lei nº 7.347/1985 e na Lei nº 9.008/1995.
Para finalizar, vamos tratar do direito de arrependimento na Internet.
Esse tema possui uma aderência inicial no domínio das relações consumeristas, tuteladas pelo Código de Defesa do Consumidor (CDC), Lei nº 8.078/1990. No domínio da proteção contratual, o art. 49 do CDC prevê que o consumidor pode desistir do contrato, no prazo de sete dias a contar da sua assinatura ou do ato de recebimento do produto ou do serviço, sempre que a contratação ocorrer fora do estabelecimento comercial, especialmente por telefone ou a domicílio. Ademais, “se o consumidor exercitar o direito de arrependimento previsto neste artigo, os valores eventualmente pagos, a qualquer título, durante o período de reflexão, serão devolvidos, de imediato, monetariamente atualizados” (BRASIL, 1990, [s. p.]).

À época da elaboração do CDC estava tornando-se usual a venda de produtos por telefone, porta a porta – venda de livros e enciclopédias principalmente – e até mesmo em canais de televisão especializados no assunto ou canais que dedicavam a programação da madrugada para isso (e.g. Shoptime). Neste contexto, foi inserida no CDC a previsão contida no artigo 49, cujo objetivo é conferir ao consumidor o direito ao arrependimento pela compra realizada. 

Porém, com o desenvolvimento das relações econômicas de consumo pela Internet e com a consectária expansão do comércio eletrônico, o CDC já não serviria para tutelar todas as situações possíveis em termos de incidência do chamado direito ao arrependimento. 
Surge, assim, o Decreto nº 7.962/2013, que tem por finalidade regulamentar a Lei nº 8.078/1990 (CDC) no que tange ao comércio eletrônico. Já no art. 1º, referido decreto prevê a necessidade de se observar o respeito ao direito de arrependimento. No art. 5º, indica-se que o fornecedor de produtos ou serviços deve informar, de maneira clara e ostensiva, quais os meios adequados e eficazes para que o consumidor possa exercer o direito de arrependimento. 
Nesse caso, note que o consumidor poderá exercer tal direito utilizando-se da mesma ferramenta para a contratação, de modo que seu exercício efetivo importa na rescisão dos contratos acessórios, sem qualquer ônus imputável a ele. Quanto à comunicação, o fornecedor deverá informar, imediatamente, a instituição financeira ou a administradora do cartão de crédito ou similar, para que a transação não seja lançada na fatura do consumidor; ou, se já realizado o lançamento, que se proceda ao estorno. Uma vez que o consumidor haja cientificado o fornecedor acerca do exercício do seu direito de arrependimento, este deverá confirmar, também de modo imediato, o recebimento da manifestação.
Perceba que “o direito ao arrependimento não impõe justificativas e pode ser exercido independente da vontade do comerciante, podendo ser compreendido como um direito potestativo, cuja escolha cabe apenas ao consumidor” (LONGHI, 2020, p. 420-421).
Por um lado, o exercício do direito de arrependimento se amolda perfeitamente àquelas situações em que ocorre a chamada compra desinformada, isto é, quando, por motivos vários, o consumidor acaba efetuando operação pela Internet, adquirindo produtos ou serviços prestados fisicamente e que, no prazo assinalado pela lei, vem a refletir com maior cautela e paciência a respeito. De outro lado, note que não há que se falar em direito de arrependimento quando a compra de um produto ou serviço é feita pela Internet e se trata de um bem digital, consumido imediatamente.

É com cautela, portanto, que deve ser visto o direito de arrepender-se. 
Com isso, finalizamos mais uma etapa do nosso aprendizado. Cada vez mais conscientes da importância do Direito Cibernético, buscaremos avançar ainda mais. Vamos em frente!