Primeiramente, antes de tecer comentários sobre as mudanças e ajustes que as empresas deverão ter, deve-se fazer atenção ao art. 50 da LGPD, presente no Capítulo VII da Lei, que traz em linhas gerais que os agentes de tratamento poderão formular regras de boas práticas e de governança, que busquem prover mais segurança à organização e aos titulares de dados, o que ocorre com investimentos em segurança da informação.

Note que neste art. 50 o legislador se valeu do verbo “poder” e não do verbo “dever”, tratando-se, pois, de uma sugestão. Posto isto, o que de fato é imprescindível está contemplado nos arts. 46 e 47. Entretanto, primeiramente faz- se necessário entender mais a fundo o que realmente constitui a segurança da informação, delineando-se quatro conceitos, quais sejam:

(i) vulnerabilidade, que pode ser entendida como qualquer fraqueza que atinge um determinado sistema, processo, ambiente ou protocolo de negócios;

(ii) ameaças, que são potenciais situações que podem vir a atingir determinada vulnerabilidade do negócio;

(iii) incidente, quando a ameaça se concretiza sobre determinada vulnerabilidade;

(iv) controles, que são medidas utilizadas para impedir ou mitigar a ocorrência de incidentes, bem como para reduzir as suas consequências negativas.

Desta forma, muito do que é disposto no Capítulo VII da Lei, sobre segurança e boas práticas, encontra paralelos com o disposto nas normas da família ISO/IEC 27000, que dispõem sobre a implementação de sistemas de gestão da segurança da informação no âmbito de qualquer organização, incluindo o estabelecimento de medidas físicas, técnicas e organizacionais.

A referida norma faz menção a estas medidas, relacionando-as principalmente à necessidade de não se “quebrar” um dos 4 pilares da segurança da informação, quais sejam: a confidencialidade, a integridade, a disponibilidade e a autenticidade.

Nesta toada, na contramão do que vem sendo alardeado, a LGPD não regulamenta apenas as situações relacionadas a vazamentos de dados pessoais, muito embora este seja o incidente de segurança mais comum.

Importante destacar que o vazamento está inserido no escopo da proteção de dados pessoais, contudo, afeta apenas um dos pilares da segurança da informação. Embora já abordados em outros pontos, faz-se necessário destacá-los uma vez mais. São eles:

i) Confidencialidade, que garante que os dados não serão conhecidos por terceiros não autorizados;

ii) Integridade, que garante que os dados estarão sempre íntegros e que não sofreram e tampouco sofrerão quaisquer espécies de alterações, se não as autorizadas;

iii) Disponibilidade, que garante que as informações do titular estarão sempre disponíveis e acessíveis;

iv) Autenticidade, que garante que as informações poderão ser entregues a uma outra pessoa ou sistema, tão somente se autorizados.

É importante realçar que há uma congruência entre o disposto nas normas da família ISO/IEC 27000 e a LGPD, ainda maior, se observado o caput do artigo 46, que obriga os agentes de tratamento a disporem de medidas técnicas e administrativas capazes de proteger os dados pessoais de ameaças humanas e acidentais.

Portanto, a conformidade com a LGPD não está relacionada apenas com algumas operações isoladas e pontuais de implementação de recursos tecnológicos ou utilização de templates de documentos retirados da internet. Pelo contrário, este enquadramento pressupõe o estabelecimento de um modelo de governança, sobretudo do ponto de vista de segurança da informação, considerando todos os riscos operacionais e, consequentemente, implementando os controles adequados para gerenciá-los ou eliminá-los, sob o risco de o agente de tratamento incorrer em pesadas sanções ou em condenações na esfera civil.

Como bem se observa, nos artigos 46 e 47 o legislador foi bem claro na utilização dos verbos “dever” e “obrigar”, devendo os agentes de tratamento implementar as medidas de segurança aptas a proteger os dados pessoais,

evitando acessos não autorizados, sejam em situações ilícitas ou até mesmo acidentais.

A título de complementariedade, é importante ressaltar que a segurança da informação se refere não somente aos documentos salvos em meio digital, mas também às informações contidas em documentos físicos.

Neste sentido, o art. 1o da LGPD dispõe claramente sobre o “tratamento de dados pessoais, inclusive em meios digitais”, ou seja, o legislador tratou de fazer forte referência às informações em documentos físicos, contidas em arquivos, pastas, armários, etc. Desta forma, como exemplos de medidas técnicas, é possível citar a instalação de softwares de antivírus e de firewall, além do bloqueio automático de telas. Já com relação às medidas administrativas, pode-se citar a criação de uma política de mesa limpa, a utilização de senhas em impressoras de uso compartilhado, a instalação de um sistema adequado de refrigeração na sala de servidores, dentre outras.