Home / Artigo / A LGPD é nova, mas a privacidade é velha

A LGPD é nova, mas a privacidade é velha

O tema privacidade ganhou força nos últimos anos, assumindo papel de protagonista no Brasil devido a Lei Geral de Proteção de Dados (LGPD), prevista para entrar em vigor em agosto de 2020. Tudo isso gerou muita expectativa, especulação e busca por conhecimento e serviços relacionados à Lei. 

De fato, todo o debate no campo da proteção de dados pessoais é sensível a qualquer profissional que lide com dados e informações — sejam eles clientes, fornecedores, operadores de tecnologias, comércio eletrônico e convencional, escritórios de contabilidade, farmácias, convênios médicos, bancos ou até mesmo um simples comércio convencional manuseando dados pessoais. 

O que pouca gente sabe, apesar do cenário agitado e receoso diante da LGPD e suas exigências, é que investir em proteção de dados pessoais é assunto (e obrigação) de longa data. Vale relembrar alguns marcos importantes que já abordavam, em partes, essa temática:

Constituição de 1988 

O princípio da inviolabilidade à privacidade está previsto em nossa Constituição Federal, em seu Art. 5º, inciso X, dispondo que:

“(…) são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.” 

Código Civil 

Os artigos 12º e 21º da Lei nº 10.406, de 10 de janeiro de 2002, diz que é possível:

“(…) pedir indenização pelos danos materiais e compensação pelos danos morais sofridos.”  

Dia Internacional da Proteção de Dados

Celebrado no dia 28 de janeiro, criado pelo Conselho Europeu em 2006, o Dia Internacional da Proteção de Dados tem o objetivo de alertar e conscientizar as pessoas sobre a importância da privacidade de dados na internet. 

Lei 12.737:2013 

Popularmente conhecida como Lei Carolina Dieckmann, a Lei 12737 entrou em vigor em 2013. Esta lei promoveu mudanças no Código Penal Brasileiro (Decreto – Lei 2.848 de 7 de Dezembro de 1940), regulamentando os crimes chamados “delitos informáticos” como a invasão de dispositivos alheios e falsificação de documentos particulares. 

Lei 12.965/2014

Conhecida como o Marco Civil da Internet garante a liberdade de acesso à rede e também protege a liberdade de expressão, sem deixar de prestar atenção na privacidade dos usuários.  

Esses marcos evidenciam que o tema proteção de dados pessoais e “privacidade” já é velho por aqui, e só ganha mais força impulsionado pelas tecnologias emergentes, como Big Data, robôs, Machine Learning, I.A. (Inteligência artificial) e Cloud Computing, que atua diretamente com uma massa de dados, muitas vezes sem garantir a segurança e privacidade devidas. 

Para compreender melhor os riscos à pessoa comum e até onde pode chegar as consequências do uso indevido dos seus dados e informações pessoais, recomendo assistir o documentário da Netflix, Privacidade Hackeada, que expõe o perigoso mundo da exploração de dados, e apresenta ao mundo o escândalo da Cambridge Analytica e Facebook.  

Nesse contexto, a privacidade e proteção de dados ganharam mais holofotes após o advento da GDPR (General Data Protection Regulation), que entrou em vigor na Europa no dia 28 de Maio de 2018, que veio justamente para regulamentar o que já era previsto na legislação de diversos países. 

Especialistas de Segurança da Informação, Direito e de Privacidade, Claudio Dodt, Luis Felipe e Emerson Predolim abordam a regulamentação nacional em um Webinar sobre o desafio das empresas diante da LGPD e as Normas. Confira as experiências deles. 

Já em dezembro de 2019, foi lançada no Brasil pela ABNT (Associação Brasileira de Normas Técnicas), a norma NBR ISO/IEC 27701:2019 – Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27.001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes. Uma das primeiras traduções da ISO de mesmo número e teor.  

Segundo Ariosto Farias Jr., coordenador da Comissão de Estudo CE-021.000.027:

 “É uma norma que representa os anseios da sociedade, em decorrência do Regulamento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia, como também da nossa Lei Geral de Proteção de Dados Pessoais (LGPD), que entrará em vigor em agosto de 2020.” 

Não existe bala de prata — e o mais recomendado é seguir as normas e melhores práticas existentes para a gestão de segurança da informação, gestão de serviços de tecnologias e investir na capacitação e educação em todos os níveis organizacionais. 

Desde 1995, temos à disposição no mercado mundial as normas ISO, que são referências para empresas que precisam aumentar a maturidade quanto à proteção do negócio, resiliência empresarial e segurança da informação, resultando na devida proteção de dados pessoais e diminuição dos riscos para investidores, acionistas e titular dos dados.  

Para facilitar o seu entendimento sobre a relação cronológica entre os marcos e as leis, veja a linha do tempo:

timeline proteção e privacidade de dadosFonte: DARYUS / 2020

Um dos maiores custodiantes dos dados e informações em todo e qualquer negócio, seja governo ou setor privado, é a área de TI.  Nos velhos e bons bancos de dados de várias aplicações, navegam diariamente milhões e milhões de dados, informações pessoais e privadas — além de infinitas conexões com outras aplicações. E como está a segurança disso? 

Adequar-se à LGPD é uma responsabilidade social e, ao mesmo tempo, um diferencial competitivo. 

Bom, alguns dos problemas e riscos de Tecnologia da Informação (TI) de 20 anos atrás ainda existem, e em muitas aplicações novas e legadas coexistindo para cumprir suas obrigações, os riscos de acessos indevidos e vazamentos só aumentaram. 

Para empresas que olham esse mundo novo baseado em dados e informações, onde a análise comportamental para vendas, controle ou proteção terá uma grande VANTAGEM COMPETITIVA, implementar um Sistema de Gestão de Segurança da Informação (SGSI), baseado na norma ISO/IEC 27001 (focada na gestão de Sistema da Informação) é considerado o primeiro grande passo. 

Simplificando, a implementação das normas ISO 27001 e do complemento ISO 27701 permite que a empresa atenda aos principais requisitos de segurança da informação e privacidade.  

Para facilitar o entendimento das normas ISO 27.001 e 27.701, confira a tabela comparativa adaptada da ISO:27.701, Anexo F:  

comparativo ISO 27001 x ISO 27701
Fonte: ABNT NBR ISO/IEC 27.201:2019  – Anexo F


Adequar-se a LGPD é um fato e uma necessidade legal, e possibilita ao Brasil acelerar negócios com a Europa e demais países que entendem que proteger adequadamente a privacidade é ético, respeitoso e necessário em um mundo onde a tecnologia tornou-se um exponencial. 

Sei que diante de muitos termos, regulamentos e padrões, nós podemos ficar perdidos ou não entender completamente tudo o que foi escrito.  

Por conta disso, produzimos uma Planilha | Matriz Cruzada da LGPD versus normas de Segurança ISO 27701, ISO 27001 e ISO 27002. É uma maneira muito mais fácil de visualizar e entender os fundamentos que terão início a lei.

Você pode baixar este material a seguir. Boa leitura!

RECEBA O MATERIAL AQUI

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

White Paper GDPR X MELHORES PRÁTICAS

GDPR X MELHORES PRÁTICAS COMO A ISO 27001 PODE AJUDAR VOCÊ A IMPLEMENTAR A GDPR. Este …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *