A relação entre o Perito Digital e a LGPD
A adoção de medidas para mitigar riscos é uma boa prática para as organizações que processam dados pessoais, por isso o Perito Digital que domina a LGPD, é o profissional que se destaca no âmbito da Computação Forense em qualquer contexto profissional, pois se trata de uma vasta área de atuação.
Para aprender sobre os principais conceitos e normas estabelecidas pela LGPD, bem como descobrir a importância da LGPD para um profissional da Computação Forense, continue a leitura deste artigo.
Introdução a LGPD
A Lei 13.7093 de 14 de agosto de 2018, de nominada Lei Geral de Proteção de Dados Pessoais – LGPD, entrou em vigor no dia 18 de setembro de 2020, no entanto, a aplicação das sanções administrativas nela previstas, começaram somente a partir de 01 de agosto de 2021.
A LGPD promoveu uma gama de direitos específicos para a proteção dos indivíduos titulares de dados pessoais e, paralelo a isso, emergiram também as obrigações para os agentes que tratam esses dados pessoais, os controladores e operadores dos dados, que serão melhor estudados a seguir.
Pela Lei Brasileira, um tratamento de dados não será só considerado irregular quando tratado sem uma premissa legal ou consentimento, mas principalmente, quando “não fornecer segurança que o titular dele possa esperar”, sendo que controladores e operadores poderão responder por danos diante do afrouxamento de controles de segurança, previstos no artigo 46, que estabelece que:[1]
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Grifos nosso)
Além do mais, a LGPD esclarece em seu artigo 48 que: “o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”.
Ainda, o artigo 48 dispõe sobre a obrigação legal para que o controlador “conte com planos de resposta a incidentes e remediação”.
Por isso, é válido dizer que as normas de proteção de dados (GDPR e LGPD) enaltecem a segurança da informação a todo o instante, não só estabelecendo a necessidade de agentes de tratamentos, controladores e operadores, em implementarem medidas técnicas e organizativas para proteção de dados, trazendo também exemplos de boas práticas técnicas como pseudonimização e criptografia, mas principalmente, ambas as normas trazem a segurança (exatidão) como princípio relativo à proteção de dados. [1]
Diante das considerações acima, eis que emerge a necessidade de contratar um profissional em Computação Forense que domine as normas da LGPD, o qual atuará na promoção do cumprimento das diretrizes da lei em comento, bem como para estruturar um efetivo plano de resposta a incidentes, mitigando riscos e prejuízos, entre outros benefícios.
O que são dados pessoais para a LGPD?
Primeiramente, o art. 5º, I, da LGPD proporciona um conceito de dado pessoal amplo, sendo definido como “informação relacionada à pessoa natural identificada ou identificável”.
Em outras palavras, podemos dizer que um dado é considerado pessoal quando permite a identificação, direta ou indireta, de uma pessoa natural.
Melhor dizendo, se trata de informação que, isolada ou associada, seja capaz de permitir a identificação de uma pessoa natural. Logo nome, prenome, estado civil, número do Cadastro da Pessoa Física, número da cédula de identidade, estado civil, profissão, informações relativas à origem social ou étnica, à saúde, às convicções políticas ou religiosas, são alguns exemplos de dados pessoais, o que permite distinguir de dados gerais que não possuem vínculo objetivo com a pessoa.[2]
Há também os dados pessoais sensíveis, que são uma categoria de dados pessoais, os quais são cautelosamente amparados pela LGPD, tendo em vista que esses dados são diretamente conectados aos direitos fundamentais da pessoa humana, considerando que podem sujeitar o titular dos dados a práticas discriminatórias.
Vejamos a definição de dados pessoais sensíveis trazida pelo art. 5º, II, da LGPD:
Art. 5º da LGPD: […] II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
O tratamento desses dados deverá observar bases legais mais restritivas em comparação com os dados pessoais, o cuidado do legislador diz respeito aos riscos e às vulnerabilidades potencialmente mais gravosas aos direitos fundamentais (VAINZOF, 2019, p. 92).
A LGPD determinou que os dados sensíveis sejam tratados com maior cautela, observadas regras mais restritivas do que aquelas que se aplicam a outros dados pessoais.[3]
Ademais, conforme garante o art. 17 da LGPD, ‘’toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta lei.’’
Quem são os agentes de tratamento de dados pessoais para a LGPD?
Nos termos do que garante a LGPD, os agentes de tratamento de dados pessoais são o operador e o controlador, os quais são assim definidos pela legislação:
Art. 5º VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento de dados pessoais.
Dito isso, com relação ao controlador de dados, o autor Rony Vainzof esclarece que o “conceito de controlador inclui absolutamente todas as decisões sobre atividades que refletem o ciclo de vida dos dados pessoais”. Do projeto à coleta ou aceitação, todas as formas de processamento até o descarte.[4]
Além do mais, à luz da LGPD, o controlador de dados é a pessoa que desempenha o controle geral sobre as finalidades para as quais os dados receberão tratamento e as maneiras pelas quais os dados pessoais serão tratados, seja por si só, em conjunto ou em comum com outros agentes de tratamento de dados pessoais. [5]
Por tanto, compete ao controlador tomar todas as decisões relacionadas ao tratamento dos dados pessoais, sendo ele o agente responsável por todo o ciclo de vida dos dados sob seu tratamento, desde a coleta dos dados, até a efetiva eliminação dos dados.
Já em relação ao operador de dados definido pela LGPD, o Art. 5º VII, define que o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Desta feita, podemos dizer que se de um lado o controlador de dados é quem toma a decisões sobre o tratamento de dados, de outro lado, o operador é a pessoa responsável por acatar e cumprir as decisões do controlador de dados.
A importância do perito digital em proteção de dados sob a ótica da LGPD
Considerando o disposto nos tópicos anteriores, é indiscutível que o perito ou auditor em proteção de dados é indispensável não apenas para promover segurança no processamento dos dados coletados por um agente de tratamento, mas também é basilar para a etapa de coleta e análise de evidências digitais de um incidente de segurança da informação que tenha alcançado os dados pessoais.
Além da área de atuação do Perito Forense Digital ser focada na identificação, coleta, preservação e análise de provas digitais, com o objetivo de demonstrar fatos específicos, situações, invasões, espionagens e afins, essa profissão atualmente está especialmente voltada para o vazamento de dados e outros incidentes, para empresas, instituições, pessoas físicas ou em processos judiciais, diante do advento da LGPD, a qual nos dias atuais é uma barreira efetiva e necessária para prevenir ataques cibernéticos.
Aliado a isso, o perito digital que domina a proteção de dados com base na LGPD, é considerado um profissional técnico, com conhecimento atualizado das melhores práticas em computação forense, proteção e preservação de provas informáticas e apto a assessorar pessoas físicas e organizações públicas e privadas, de todos os portes e segmentos, buscando evitar ou corrigir incidentes ligados a vazamento ou tratamento irregular de dados pessoais.
Em outras palavras, é fundamental estar amparado por um perito digital com conhecimentos em proteção de dados, seja para evidenciar um vazamento de dados decorrentes de um ataque cibernético, ou para identificar quem possibilitou ou promoveu determinado incidente de segurança, qual o “modus operandi” do atacante e muito mais.
Um perito digital que domina a proteção de dados é capaz de monitorar ambientes da rede para identificar a extensão do dano decorrente dos dados vazados, realizando uma análise técnica dos sistemas informáticos, logs e eventos, buscando interpretar o ocorrido.
Conclusão
Vimos que a criação da Lei Geral de Proteção de Dados – LGPD promoveu uma enorme gama de direitos aos titulares de dados pessoais, e, na mesma proporção, proporcionou uma grande responsabilidade àqueles que detêm tais dados, especialmente aos controladores dos dados.
A vigência da LGPD teve como objetivo primordial promover uma segurança efetiva no mundo virtual em relação aos dados pessoais que trafegam pela rede, estabelecendo, inclusive, severas multas para aqueles que descumprirem as obrigações nela previstas.
A entrada em vigor da LGPD significou uma grande mudança no tratamento virtual de dados de forma geral, tanto para aqueles que passaram a ter as obrigações, quanto para os cidadãos que passaram a ter seus direitos reconhecidos no mundo virtual e proporcionando um ambiente um pouco mais seguro.
Por todo exposto, além do profissional especializado em Computação Forense possuir notório e comprovando conhecimento em tecnologia, ele também deve ter conhecimento em Direito Digital e dominar a legislação ora em análise, tendo em vista que ela contempla um universo de direitos e deveres relevantes para o processamento de dados digitais, cujo conhecimento torna o perito digital um profissional diferenciado no mercado.
Matricule-se no Treinamento de Direito Digital da Academia de Forense Digital e aprenda com o Professor Pedro Mourão tudo o que um Perito Digital precisa saber sobre a LGPD e sobre o Direito Digital aplicado a Computação Forense.
Referências:
- BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, 2018. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em 08 de maio de 2023.
- [1] [1] MILAGRE, José. A relação da segurança da informação e pericia em informática com a Lei Geral de Proteção de Dados (LGPD). JusBrasil. 2019. Disponível em: <https://www.jusbrasil.com.br/artigos/a-relacao-da-seguranca-da-informacao-e-pericia-em-informatica-com-lei-geral-de-protecao-de-dados-lgpd/770656658>. Acesso em 09 de maio de 2023.
- [2] SILVA, Geovanna Pereira de Castro da. DIREITO DIGITAL: A ilusão de proteção de dados na internet. 2022. Disponível em: <http://repositorio.aee.edu.br/bitstream/aee/20017/1/Geovanna%20Pereira%20de%20Castro.pdf>. Acesso em 08 de maio de 2023.
- [3] Tribunal Superior Eleitoral. Guia orientativo aplicação da lei geral de proteção de dados pessoais (LGPD). 2021. Disponível em: <https://www.tse.jus.br/hotsites/catalogo-publicacoes/pdf/guia-orientativo-aplicacao-da-lgpd.pdf>. Acesso em 08 de maio de 2023.
- [4] VAINZOF, Rony. Disposições preliminares. In: BLUM, Renato Opice; MALDONADO, Viviane Nóbrega (Coord.). LGPD – Lei Geral de Proteção de Dados Comentada. São Paulo: Thomson Reuters Brasil, 2022. Disponível em: <http://repositorio.aee.edu.br/bitstream/aee/20017/1/Geovanna%20Pereira%20de%20Castro.pdf>. Acesso em 08 de maio de 2023.
- [5] TERRACAP. Agência de Desenvolvimento do Distrito Federal. Cartilha de adequação da Terracap à LGPD – Lei Geral de Proteção de Dados Pessoais. 2021. Disponível em: < https://egov.df.gov.br/wp-content/uploads/2022/11/Cartilha-LGPD-Terracap-sem-logo.pdf>. Acesso em 09 de maio de 2023.