Blog

Órgãos e entes públicos devem se valer das boas práticas de gestão de segurança da informação e de privacidade

Um programa de compliance de dados pessoais de órgãos e entes da Administração Pública deve contemplar as medidas de proteção de dados pessoais, ou seja, abranger as medidas de segurança (técnicas e administrativas) que serão adotadas e implementar os controles aptos a mitigar os riscos de violação de dados pessoais. Esta é a nona – e última – dimensão de conformidade analisada pelo Tribunal de Contas da União, no acórdão nº 1.384/2022, no qual o órgão de controle apresentou diversos direcionamentos para que os órgãos públicos adequem sua atuação à proteção dos dados pessoais.

A recomendação é que o tema das medidas de proteção seja tratado considerando minimamente os seguintes aspectos: (i) as medidas gerais de segurança; (ii) o controle de acesso em sistemas; (iii) o registro de eventos (logs); (iv) a utilização da criptografia; e (v) a observância preferencial do privacy by design.

Com relação à implantação de medidas gerais de segurança, os órgãos e entes públicos devem seguir o que determina o art. 46 da LGPD, ou seja, “adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”, lembrando que a ANPD poderá dispor sobre os padrões técnicos mínimos necessários para tanto, o que deverá ser observado pelos órgãos e entes públicos, quando ocorrer. Ressalte-se, ademais, que o art. 47 da LGPD estabelece que os agentes de tratamento se obrigam a garantir a segurança da informação prevista na LGPD em relação aos dados pessoais, mesmo após o término desse tratamento.

Nesse sentido, os agentes de tratamento devem ser capazes de comprovar que adotaram essas medidas de segurança, razão pela qual o emprego de tais expedientes deve ser devidamente documentado, tornando-se, em tudo quanto possível, auditável. Isso porque, nos termos do § 3º do art. 48 da LGPD, na mensuração da gravidade de eventual incidente de segurança envolvendo violação de dados pessoais, a ANPD avaliará a comprovação de que foram adotadas as medidas técnicas adequadas para tornar aqueles dados pessoais ininteligíveis para os terceiros não autorizados a acessá-los. Noutras palavras, a efetiva adoção dessas medidas de segurança tem impacto tanto na possível mitigação do risco de tratamento indevido (inadequado ou irregular) quanto, em momento posterior, na própria aferição da gravidade de eventual incidente envolvendo dados pessoais.

Já sobre o registro de eventos (logs), a orientação é que os órgãos e entes públicos mantenham ferramentas procedimentais e tecnológicas que permitam o registro das atividades de tratamento de dados pessoais por meio do apontamento dos eventos (logs), de forma que seja possível posteriormente: (i) identificar por quem, quando e quais foram os dados acessados; e (ii) caso haja quaisquer mudanças nesses dados, reconhecer quais foram as alterações realizadas e por quem elas foram feitas. Como se pode verificar, esse registro é essencial para que haja a rastreabilidade das eventuais ocorrências relacionadas à violação de dados pessoais.

Quanto à utilização da criptografia, vale notar, à partida, que tal medida se enquadra na regra já citada no art. 48, § 3º, da LGPD, ou seja, trata-se de um expediente técnico utilizado para tornar ininteligíveis os dados pessoais afetados em caso de incidente de segurança, o que impede que terceiros, não autorizados, consigam acessá-los. A medida, assim, é recomendada, principalmente, para a proteção de dados pessoais sensíveis ou de outros bancos de dados que demandem maiores cuidados de salvaguarda.

Por seu turno, com relação à observância do privacy by design, alerta-se que é necessário que todos os procedimentos e processos de trabalho dos órgãos e entes públicos sejam revisitados de forma a estarem em conformidade com o direito fundamental de proteção de dados pessoais e, por consequência, com a LGPD. No entanto, mais que uma adaptação dos procedimentos já existentes visando essa conformação (privacy by default), recomenda-se que, de forma prioritária, os órgãos e entes públicos busquem adotar medidas para assegurar que seus processos e sistemas sejam projetados, desde a sua concepção, em conformidade com a LGPD.

Isto é, preferencialmente os procedimentos e os processos de trabalho devem ser projetados à luz do direito fundamental à proteção de dados pessoais, considerando especialmente a imposição de que a coleta e o tratamento dos dados pessoais estejam limitados ao que é estritamente necessário para atender à situação demandada ou à política pública que se pretende concretizar (privacy by design). Isso porque, via de regra, incorporar tardiamente medidas de proteção dos dados pessoais tende a provocar aumento de custos de implantação e de manutenção, além de riscos de ineficácia das soluções adotadas, sendo, pois, preferível, se projetar os processos de trabalho já com o olhar da proteção de dados pessoais.

Vale ressaltar, por fim, que a ANPD disponibilizou, consoante GUIA publicado sobre segurança da informação para agentes de tratamento de pequeno porte, outro importante conjunto de medidas que deverão ser observadas pelos agentes de tratamento, ainda que direcionadas ao grupo assinalado, embora, em razão do relevo, podem e devem ser aplicadas por todos aqueles que intencionam elevar a segurança do ecossistema de proteção de dados pessoais enfocado.

FONTE: Jota Info, Danielly Cristina Aráujo Gontijo – Procuradora federal e Raphael Rodrigues Vaelnça de Oliveria – Professor e Advogado da União (AGU).