O advento da General Data Protection Regulation (GDPR) e da Lei Geral de Proteção de Dados (LGPD) trouxe luz a um problema antigo de desrespeito a pessoa natural e resgatou a percepção popular de que nossa privacidade é um direito fundamental, que a muito tempo estava desgastado, colocado de lado, em favor de “esmolas” tecnológicas, entretenimento, produtos e serviços.
Quanto mais distante ficamos das atrocidades vividas pelas grandes guerras e a falta de reflexão sobre toda história da humanidade, relaxamos e baixamos os muros de nossas vidas privadas, em busca de popularidade, crédito, amor, diversão.
Aguardando em nossos íntimos, nosso direito de privacidade renasceu, agora em forma de leis que duramente penalizam todo aquele que não tem boa fé e princípios.
Após tanto tempo de instrumentalização de mercado e cultura popular, de que a privacidade não era algo mais tangível, como mudar? Como resgatar valores e adequar produtos e processos em favor desse direito fundamental à privacidade?
Felizmente, a LGPD, no Capítulo VII, Sessão I, traz:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
Ao citar nos artigos 46 e 47, acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito e garantir a segurança da informação, conseguimos facilmente criar um paralelo com Confidencialidade, Integridade e Disponibilidade, a famosa sigla CID, que fala de conceitos (metas) para garantia da Segurança da Informação.
A LGPD cria papéis e determina conceitos quanto a tratamento de dados pessoais e dados sensíveis, que vão além da Segurança da Informação, todavia, em síntese, a própria lei admite que a proteção dos dados pessoais garante a privacidade do titular dos dados, pessoa natural, se faz por meio da Segurança da Informação.
Antes de mais nada, como esclarecimento, Segurança da Informação não é matéria exclusiva de profissionais de tecnologia, mas de todos envolvidos com tratamento de dados. Não obstante, os profissionais de tecnologia estão mais avançados no desenvolvimento de trabalhos com este fim.
A Segurança da Informação trás conceitos poderosos que, uma vez aplicados e alcançados em sua plenitude, garante a segurança da informação, que também pode ser dita como proteção de dados.
Na citação da LGPD, “(…) proteger os dados pessoais de acessos não autorizados (…)”, a Confidencialidade (o C da CID) é o conceito a ser aplicado, uma vez que seu objetivo é de que a informação somente pode ser acessada por pessoas autorizadas. Quando citado “situações acidentais ou ilícitas, de (…), perda, alteração, (…)”, a Integridade (o I da CID) entra em ação, já que seu objetivo se refere às informações e seus métodos de processamento, que precisam ser exatos e completos. Por fim, na referência a “destruição”, a Disponibilidade (o D da CID) marca presença, uma vez que seu objetivo é garantir que a informação estará disponível quando necessário.
De forma resumida, exemplifiquei a utilização da CID na garantia da conformidade com a LGPD, no que compete a proteção de dados, embora esses conceitos trabalhem em conjunto nos itens citados. O importante é entendermos que a implementação e execução da proteção de dados pessoais, o que garante a privacidade do titular, somente pode existir com a aplicação da segurança da informação. Tal matéria é amplamente difundida atualmente, com metodologias maduras e ampla quantidade de profissionais capacitados, não sendo isso, uma desculpa para omitir-se e atrasar ações de mitigações de riscos de segurança da informação/proteção de dados.