A Segurança da Informação (SI) e a LGPD

Eduardo Poggi —

O propósito deste artigo é provocar uma reflexão ao comparar a Lei Geral de Proteção de Dados – LGPD com a Segurança da Informação – SI. Sou do tempo em que SI estava relacionada com garantir os objetivos da SI, quais sejam: Confidencialidade, Integridade e Disponibilidade. Ao participar da construção e implantação da certificação Modulo Certified Security Officer® (MCSO), lá no início dos anos 2000, como autor e instrutor de diversas cadeiras, como Gestão de Riscos, Classificação da Informação, Política de SI e Segurança Física, percebi já naquele tempo que o processo de gestão de riscos era o caminho crítico para implantação do Sistema de Gestão de Segurança da Informação (SGSI).

Ao compararmos o conhecimento que tínhamos de Gestão de Riscos na SI naquela época com o que temos hoje, observamos que o processo de Gestão de Riscos, tal como definido na ISO 31000, consegue abraçar os domínios de Segurança da Informação e Cibernética (detalhada pela ISO 27005) e outros domínios com a mesma eficácia.

A gestão de riscos está sendo considerada pela ISO 9000 como a ferramenta de apoio à tomada de decisão dos gestores – afinal, gestores possuem objetivos e as suas garantias são o seu foco principal, sinônimo de performance. Em resumo, eles precisam fazer a gestão do “efeito da incerteza nos seus objetivos”. Esta maneira de pensar chama-se “Risk-Based Thinking”, ou “mentalidade de riscos” – tanto para riscos positivos, quanto para negativos. Funciona para qualquer domínio de gestão: Segurança da Informação e Cibernética, Riscos Operacionais, Riscos Financeiros, Riscos Regulatórios (não Compliance), dentre outros.

Se funciona para todos os domínios, não é diferente quando pensamos sobre os requisitos de privacidade constantes na LGPD. O ponto de partida em qualquer um dos domínios é entender quais são os objetivos a serem garantidos e construir um cenário de eventos incertos que possam ocorrer e gerar efeitos nos mesmos. O entendimento das possíveis ocorrências que afetam o objetivo de garantir privacidade na sua empresa é fundamental para atender a LGPD.

Na LGPD existem direitos dos titulares de informação e deveres das empresas que manipulam estas informações. Existem controles padrões de segurança da informação que já devem estar implantados para proteger os ativos de SI nas empresas, o que me faz pensar que para a LGPD outros devem ser implantados para garantir tanto a privacidade quanto a conformidade com a Lei.

Entende-se que ao aplicar um processo de Gestão de Riscos da mesma forma que foi adotada para segurança da informação, focado na garantia de privacidade e conformidade com a LGPD, serão construídos os cenários de riscos e os seus tratamentos com controles aplicáveis aos principais ativos que manipulam informações: Pessoas, Processos e Tecnologias – expandindo o que foi definido na ISO 27001.

Uma prova disso é que a ISO (International Standard Organization) está desenvolvendo a norma ISO/IEC 27552 que é uma expansão da ISO/IEC 27001 para o aspecto de privacidade. Segundo o destaque no seu site (www.iso.org/standard/71670.html), o objetivo é estender o Information Security Management System (ISMS) – com requisitos adicionais para estabelecer, implementar, manter e melhorar continuamente um Privacy Information Management System (PIMS).

A aplicação pretendida é expandir o ISMS existente com controles específicos de privacidade e, assim, criar o PIMS para permitir o gerenciamento efetivo da privacidade dentro de uma organização. Uma implementação robusta do PIMS pode trazer muitos benefícios potenciais para os Controladores e Processadores de PII (informação pessoal identificável), para atendimento de requisitos do Regulamento Geral de Proteção de Dados (GDPR) e, no meu entendimento, aplicável também à LGPD.

Análogo ao processo de gestão de riscos para segurança da informação, a gestão de riscos continua a ter o papel fundamental no processo decisório e, especificamente, no processo garantir a privacidade dos dados de titulares, dever das empresas que se aplicam a LGPD.

Comentários, opiniões e sugestões são bem vindas.