Ao fim do dia, não existe Privacidade e Proteção de Dados Pessoais sem Segurança da Informação. Uma está atrelada a outra, como sempre estiveram, na medida em que praticamente todos os nossos dados pessoais (nome, CPF, endereço, filiação política, etc) estão armazenados de forma digital em alguma base de dados. Estavam armazenados anteriormente na forma física. A diferença hoje reside na ênfase dada à proteção aos dados pessoais das pessoas físicas, capitaneada pela legislação europeia, a saber, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR da sigla em inglês).

A nossa Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/18, é inspirada na GDPR. Para não dizer quase uma cópia da norma europeia. Outra norma que inspirou a LGPD é o chamado California Consumer Privacy Act of 2018 (CCPA), considerada a primeira lei de um estado norte americano para garantir a privacidade e proteção de dados pessoais. Todos estes dispositivos legais, como veremos, são baseados totalmente em princípios, conceitos e medidas da Segurança da Informação.

Mas devemos compreender os conceitos de Privacidade, Dados Pessoais, Informação e a Segurança da Informação para verificar como se relacionam.

Privacidade

A GDPR, a LGPD e demais leis que regem sobre privacidade e proteção de Dados pessoais se baseiam nos direitos fundamentais de liberdade, privacidade e livre iniciativa. O direito à privacidade é o gênero que abrange todas as inviolabilidades referentes à honra, intimidade, a vida privada, e a imagem das pessoas. A privacidade e a intimidade são esferas do direito à vida privada (SARLET, MARINONI e MITIDIERO, 2017, 6º  edição, pág. 488).

O objeto do direito à privacidade seriam os comportamentos e acontecimentos concernentes aos relacionamentos pessoais de forma geral, bem como as relações comerciais e profissionais que o indivíduo deseja preservar do conhecimento público (MENDES e BRANCO, 2017, 12º edição, pág. 245).

Das definições acima é possível verificar que a concretização de qualquer relação: comercial, profissional ou social (observem as redes sociais); envolve a troca de dados pessoais. Como protegê-los de uso indevido, ilegal ou não autorizado, comprometendo a privacidade?

Dados Pessoais

Segundo a GDPR, dados pessoais são:

“Informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular.”

A LGPD define dados pessoais como:

“Informação relacionada à pessoa natural identificada ou identificável”.

Ainda define uma categoria especial de dado pessoal, qual seja, dado pessoal sensível:

“Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”

A GDPR também classifica de forma diferente alguns dados pessoais. O que a LGPD nomeou de dados pessoais sensíveis, a norma europeia nomeou dados pessoais especiais. E estes dados necessitam de tratamentos diferenciados para garantir o direito à privacidade do titular destes dados. Ou seja, medidas técnicas, físicas e organizacionais que garantam a Segurança da Informação oriunda destes dados pessoais sensíveis ou especiais.

Inclusive, como princípio de boa prática que demonstre conformidade com a garantia da privacidade e proteção de dados pessoais, as instituições devem colocar em prática em seus processos e serviços os conceitos By Design e By Default no desenho do sistema de Segurança da Informação com ênfase na privacidade.

O conceito By Design significa projetar o sistema de Segurança da Informação com foco na privacidade dos titulares de dados desde a concepção inicial do projeto. Desta maneira, visa evitar vulnerabilidades que acarretem uso ilegal, ilegítimo ou perdas de dados pessoais, como também futuros retrabalhos para adaptar o sistema à uma correta proteção de dados.

Já o conceito By Default significa que, por padrão, a instituição sempre colocará foco na privacidade e proteção de dados pessoais em seus processos internos e serviços. Então, desde o desenvolvimento, seleção, e utilização de aplicações, serviços e produtos que se baseiam no tratamento de dados pessoais serão considerados aspectos de Segurança da Informação que garantam a confidencialidade, integridade e disponibilidade destes dados.

A utilização destes conceitos por uma instituição, pública ou privada, ainda implica que seus parceiros comerciais, fornecedores e clientes deverão também implementar medidas de Segurança da Informação atuais e robustas.

Informação

Informação é conhecimento. Um conhecimento útil, preciso e oportuno para quem precisa conhecê-lo. Esse é o conceito básico de informação (não confundir com conhecimento tipo Informação da Doutrina de Inteligência) para a Atividade de Inteligência e o cerne de seu assessoramento qualificado.

E informação é formada por dados brutos processados. Sejam dados pessoais ou não. Então, afirmar que estes dados, que posteriormente se transformarão em informação/conhecimento, devem ser úteis, precisos e oportunos para quem precisa, é o mesmo que dizer que eles devem ser confidenciais, íntegros e disponíveis (CIA). O chamado triângulo da Segurança da Informação.

Triângulo da Segurança da Informação

Para se obter a privacidade e proteção de dados pessoais, qualquer sistema de Segurança da Informação deve estar baseado no triângulo CIA. O nível de segurança para executar cada um destes três elementos varia de instituição para instituição, e que tipos de dados pessoais elas tratam, se sensíveis ou não etc.

A confidencialidade é a propriedade em que os dados não sejam disponibilizados ou divulgados para pessoas, entidades ou processos não autorizados. A integridade é propriedade que assegura que modificações não autorizadas nos dados não sejam feitas, por pessoal autorizado ou não autorizado, de forma acidental ou não. Por sua vez, a disponibilidade de dados/informação significa que eles estarão acessíveis e utilizáveis sob demanda por uma entidade autorizada (HINTZBERGEN, SMULDERS, BAARS, Fundamentos da Segurança da Informação, 2018).

Segurança da Informação

A Segurança da Informação é a preservação da confidencialidade, integridade e disponibilidade da informação. Se a informação é formada após o processamento de dados brutos, é a aplicação do triângulo CIA que preserva os dados. Assim, por consequência, só é possível obter privacidade e proteção de dados pessoais através de um sistema de Segurança da Informação.

Porém, do triângulo CIA, outros conceitos relevantes para a Segurança da Informação derivam. Donn B. Parker propôs mais três elementos ao clássico triângulo CIA, configurando o chamado Hexagrama Parkeriano:

1. Confidencialidade
2. Posse ou Controle
3. Integridade
4. Autenticidade
5. Disponibilidade
6. Utilidade

Hexagrama de Parker

No Hexagrama de Parker, os seis elementos não se sobrepõem, ou seja, cada elemento se refere a um aspecto único da informação/dado. Qualquer violação de dados pessoais então poderia ser descrita como aquilo que afeta um ou mais destes seis atributos de Parker.

Quando se projeta um sistema de Segurança da Informação, é realizada uma análise de riscos sobre os dados que a instituição processa e listadas ameaças que poderiam comprometer o triângulo CIA ou o Hexagrama Parkeriano. Após essa análise, são relacionadas contramedidas para mitigar os riscos encontrados de acordo com as ameaças.

As contramedidas podem ser destinadas à:

• Reduzir as chances de um evento ocorrer
• Minimizar as consequências
• Combinação das duas

Além disso, as contramedidas são categorizadas em:

• Contramedidas preventivas, que visam evitar incidentes
• Contramedidas de redução, que visam mitigar o risco de ocorrência de uma ameaça
• Contramedidas de detecção, que visam identificar incidentes
• Contramedidas repressivas, que visam conter ou limitar um incidente
• Contramedidas corretivas, que visam recuperar os danos causados por um incidente

Uma vez ocorrido um evento, ou seja, quando uma ameaça concretizou uma ação que afetou algum atributo do triangulo CIA ou os demais elementos do Hexagrama Parkeriano, configurando um incidente contra a privacidade e a proteção de dados, as contramedidas devem ser aplicadas. Claro, isso se as contramedidas do tipo preventivas não tiverem sido eficazes na prevenção. O esquema do Ciclo de Incidentes da Segurança da Informação facilita a visualização deste cenário:

As medidas da Segurança da Informação (contramedidas) visam a um certo momento do ciclo de incidente que atente contra a privacidade e proteção de dados pessoais.

Correlacionando Conceitos da Segurança da Informação

Após todo o estudo podemos concluir que não há como se falar em privacidade e proteção de dados pessoais sem falar em Segurança da Informação. Como citado, dados pessoais são dados, e a atividade de protegê-los é antiga. A novidade hoje são os novos dispositivos legais, como a LGPD e a GDPR, que tem como objetivo tentar regular como instituições, públicas e privadas, tratam nossos dados pessoais.

A defesa dos direitos e liberdades das pessoas relativamente ao tratamento dos seus dados pessoais é o espírito norteador da LGPD, GDPR e outras normas similares que regulam a privacidade e proteção de dados pessoais. Para garantir tal defesa, exige-se a adoção de medidas organizacionais, físicas e técnicas de Segurança da Informação.

Uma medida organizacional, por exemplo, é o estabelecimento de uma Política de Privacidade, ou de uma Política de Segurança da Informação, dentro de uma instituição. Uma medida física seria a colocação de catracas para controles de acesso a à sala de servidores. Já uma medida técnica seria a utilização de criptografia no banco de dados da empresa, impossibilitando seu uso em caso de acesso indevido.

Fica claro então que a privacidade e proteção de dados pessoais é dependente de um sistema de Segurança da Informação. E há muito que se aprofundar nesta disciplina. Para uma proteção de dados efetiva, há que se implantar um Sistema de Gestão de Proteção de Dados. E a Segurança da Informação está presente em cada uma das suas cinco fases clássicas. Mas este será assunto para outro artigo.

Há muito material sobre Segurança da Informação. Mas há as normas internacionalmente aceitas, que padronizam as boas práticas e cobrem o escopo necessário para um efetivo Sistema de Gerenciamento da Segurança da Informação. São as normas publicadas pela Organização Internacional para a Padronização (International Organization for Standartzation), as famosas normas ISO. Para a Segurança da Informação, as nomas base são a ISO 27001 e ISO 27002.

Já uma bibliografia obrigatória para a elaboração de um Sistema de Gestão da Proteção de Dados é o autor John Kyriazoglou, com o livro Data Protection and Privacy Management System, de 2016. Além do EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide, de 2019.

Além das obras citadas, para se conceber um projeto completo de Segurança da Informação By Design com foco em privacidade e proteção de dados pessoais, pode-se utilizar as normas brasileiras: