A LGPD Altera o Foco das Medidas de Segurança da Informação e Acarreta Responsabilização dos Colaboradores
A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), em vigor no Brasil desde 18 de setembro de 2020, impõe regras para a coleta e o tratamento de informações de natureza pessoal.
A Lei promove uma mudança de paradigma e exige o esforço para o estabelecimento de uma nova cultura. O regime jurídico que ela institui se diferencia por ser essencialmente principiológico, de normas abertas – ela não determina as ações específicas a serem adotadas pelos agentes de tratamento de dados, mas dá os parâmetros a serem seguidos e estabelece os resultados a serem alcançados.
Incumbe ao agente de tratamento de dados avaliar a sua atividade, o risco que ela apresenta para os titulares das informações pessoais que ele utiliza e então eleger e implementar as medidas que entender necessárias e suficientes para proteger a privacidade e os direitos destas pessoas.
Trata-se de um mecanismo no qual se assenta a LGPD, denominado Abordagem Baseada no Risco, que torna o regime modulável e confere liberdade ao agente de tratamento para instituir as medidas que melhor se ajustem ao seu modelo de negócio, considerados o contexto do tratamento, o volume e as categorias de dados pessoais envolvidos, visando sempre à sua proteção.
Tradicionalmente, medidas de segurança da informação são utilizadas para a proteção das informações da organização, com direcionamento daquelas mais robustas para as informações sigilosas ou estratégicas.
Se antes, o foco na proteção da informação empresarial, induzia a critérios baseados na conveniência do negócio, a LGPD acaba por impor um novo foco e, consequentemente, uma alteração ou adição de critérios na implementação das medidas de segurança, uma vez que elas devem estar voltadas à proteção de terceiros – os titulares dos dados pessoais.
Esta nova realidade introduz maior rigor no tratamento das informações internas, quando se tratar de dados pessoais. Não é preciso que haja a violação dos pilares tradicionais da Segurança da Informação – quebra da confidencialidade, da integridade ou da disponibilidade da informação – para que se configure um incidente de segurança com dados pessoais. Basta que o seu tratamento pela organização se realize em desconformidade com a LGPD.
Um exemplo é o do acesso à informação de natureza pessoal. Ele deve ser segmentado, com autenticação de quem acessa, mediante o uso de senha individual e intransferível, e com registro do que foi feito, para que seja auditável. Somente deve ter acesso a dada informação pessoal quem, dentro da organização, tenha necessidade de o fazer, para cumprimento das suas atribuições, sob pena de se configurar o incidente de acesso não autorizado aos dados.
É dever do agente de tratamento de dados protegê-los de acesso não autorizado e de situações acidentais ou ilícitas, de uso indevido (art. 46 da LGPD).
O compartilhamento de senhas e o envio de informações da empresa para e-mail pessoal são exemplos de situações que já foram chanceladas pela Justiça do Trabalho como aptas a ensejar a dispensa por justa causa, por improbidade e quebra da confiança. Se tais circunstâncias eram pertinentes às grandes organizações, com a LGPD a sua gestão passa a constituir uma exigência para toda e qualquer pessoa jurídica, bem como pessoa natural no exercício de atividade econômica, no que tange a tratamento de dados pessoais.
A organização precisa instituir as regras internas para segurança dos dados, informar e treinar os colaboradores, além de proceder a alterações nos respectivos contratos, bem como proceder à responsabilização daqueles que as descumprirem, como forma de implementar os princípios da proteção de dados pessoais.
Situações que antes não suscitariam preocupações de sigilo por parte da organização passaram a estar no foco das medidas de segurança da informação quando há dados pessoais envolvidos. A proteção dos direitos e liberdades dos titulares dos dados deve-se fazer em primeiro plano, já que o princípio do privacy by design impõe a consideração da proteção de dados desde a concepção do produto ou serviço.