LGPD e o papel do ATI

Segue texto da entrevista para site da Anati:

Waldyr, o que é a LGPD?
“A LGPD (lei geral de proteção de dados pessoais) é uma conquista da sociedade que, muitas vezes, tem seus dados pessoais e dados sensíveis explorados por organizações irresponsáveis. Ela veio para regularizar o tratamento de dados pessoais dos Brasileiros e busca acabar com: a venda dos seus dados a terceiros, falta de zelo com a segurança da informação, ou seja, falta de controles administrativos, lógicos e físicos para o bom tratamento de dados, entre outros problemas. Uma baita conquista para o povo! Valorizem e tomem ciência dos seus direitos!”

Por qual motivo foi criada uma lei para regulamentar o tratamento de dados pessoais e quais os benefícios à sociedade?
"Além do grande anseio de todas as pessoas do mundo em ter seus dados melhor protegidos e tratados, um dos grandes motivos foi o recado dado pela antecessora lei de dados europeia, a GDPR, que deixou a forte tendência que países que não tivessem leis de tratamento de dados estariam “fora do mercado”, ou seja, como iria “doer no bolso” da economia brasileira, nada mais produtivo que aproveitar da GDPR para criar a nossa lei com a devida adequação da nossa realidade, e assim foi feito. Baseado na frase: “Dados são o novo petróleo”, matemático londrino Clive Humbly, nada mais justo que todas as nações tenham suas leis para tratar do ativo mais valioso da terra. Nesses aspectos relatados, um país que detém de lei sobre dados tem como vantagens: aquecimento da economia pela confiança que passará aos países estrangeiros em seus negócios, aumento substancial da segurança da informação automaticamente em todos os setores que tratam dados pessoais, mercado privado mais competitivo e menos invasivo, que trará um diferencial ao cliente que passará a consumir, cada vez mais, de empresas adequadas a LGPD, respeito, direitos e garantias fundamentais aos cidadãos são tendências constitucionais.

Você, mesmo trabalhando com tecnologia sendo um ATI, já teve seus dados explorados ou até mesmo sofre assédio por mensagens, telefonemas, e-mails sem o seu consentimento?
“Acho que a pergunta é: quem nunca recebeu um contato indesejado sem consentimento? Eu já tenho usado a lei para isolar-me dessas empresas irresponsáveis, confesso que não tenho recebido mais ligações e mensagens de pequenas empresas após imposição e pedido de exclusão cadastral, mas confesso que grandes operadoras, principalmente telefônicas, ainda entram em contato insistentemente sem meu consentimento, nisso aguardo posicionamento da autoridade competente, a ANPD, para que o mesmo canal de contato telefônico possa ser o mesmo canal, obrigatoriamente, de exclusão cadastral por parte do cliente. O que acho mais estranho é que alguns desses contatos diversos sabem muito sobre a gente, nome completo, nome dos pais, CPF, entre outros, e fica em nós a dúvida de onde conseguiram esses dados, se foi da Deep ou Dark web, de base de dados de sistemas governamentais invadidos, de um servidor ou funcionário revoltado, pois fora “o susto” que levamos ao receber esse contato, esses dados vazados vem sendo alvo de criminosos para fraudes, extorsão… No sentido amplo a lei busca a minimização de ações ilegais pois traz um conjunto de bases legais que autorizam o tratamento dos nossos dados, sem pelo menos uma base legal, e sem princípios, fica expressamente proibido à organização tratar tal dado ou entrar em contato com o cidadão”.

Quais são os impactos da LGPD na TI?
" Vale ressaltar que lei tratando sobre dados pessoais já existiam como por exemplo o Marco civil da internet, o próprio código do consumidor, mas a lgpd é bem mais robusta e trouxe atores e conceitos nunca antes vistos em leis brasileiras, como por exemplo a diferença entre dado pessoal e dado sensível, operador e controlador, encarregado de dados e também muito importante: instituição de uma autoridade para regulamentar o tratamento dos dados, a ANPD (autoridade nacional de proteção de dados pessoais). Sendo Assim observou-se na lei explicitamente dois princípios que trazem décadas de conhecimento na área de tecnologia, o princípio da segurança e da prevenção dos dados. Nesse contexto, pessoas, processos e tecnologia são fortemente impactados pela lei, em se tratando de TI, equipamentos de hardwares e, principalmente, softwares, exigindo-se assim controles administrativos, lógicos e físicos, todos esses impactados. Na esfera administrativa, a TI poderá apoiar encarregados de dados em artefatos como: políticas de segurança da informação, de cookies, termos de privacidade, mapeamento de dados, relatório de impacto de dados, etc. Na esfera lógica, uso de criptografia, anonimização, pseudonimização, desenvolvimento seguro de aplicações(esteira devSecOps), segurança nas operações e comunicações, controle de acesso, etc. Na física, a TI poderá apoiar desde procedimentos de segurança patrimonial já na entrada da organização (entrada com dispositivos de armazenamento móveis, por exemplo) até mesmo catracas, acesso por biometria a salas seguras ou salas cofre, que contenham servidores de dados, resumindo, segurança física e do ambiente em relação aos dados".

Você, Waldyr, já teve algum caso em que já colocou a LGPD em prática no governo?
“Sim, vários mas logo na entrada de vigência da lei em 2020, eu não tinha quase nenhum conhecimento da causa e tive o prazer de estar no Ministério da Justiça que preza pela capacitação de servidores, após um curso feito, recebi a demanda, mediante um estudo técnico preliminar de contratação, de elaborar um termo de referência para contratar uma solução para leiloar online os bens apreendidos pelo tráfico de drogas, veja bem! A sociedade poderia se cadastrar em um site com seus dados pessoais para arrematar um bem em nome do MJ, quantos riscos, não? Deixar dados pessoais nas mãos de terceiros descobertos no estudo técnico, chamados operadores pela lei, e ainda, ter que dar transparência da pessoa que arrematou o bem sem expor seus dados pessoais, ou seja, por meio de mascaramento de dados e anonimização, entre outros desafios daquela solução. Uma boa sacada inicial foi listar quais controles os poucos fornecedores ou operadores desse tipo de solução de software como serviço já contemplavam! Através do produto médio da maturidade deles nas respostas, eu poderia cobrar em um anexo em termo de referência sem me preocupar com uma licitação deserta… O produto desse trabalho foi bom e percebi que tinha gerado um conteúdo único para aquele momento, nisso resolvi, como propósito de vida e para fomentar essa necessidade, escrever um livro digital visionário chamado “LGPD, como contratar um operador introduzindo a lei”, nele é separado controles que listei ser importantes para a contratação de um software como serviço fazendo da TI uma base para apoiar a LGPD, como tudo deve ser”.

O que o ATI pode ajudar na adequação a LGPD no setor público?
"O ATI é servidor ou servidora peça chave para a economia brasileira, pois contrata e fiscaliza contratos em tecnologia e comunicação em mais de 8 bilhões de reais, a maior parte desses contratos envolvem a LGPD por tratarem grande massa de dados pessoais em seus objetos. Sendo assim, o ATI precisa de valorização de uma carreira específica urgente, precisa ser treinado e recompensado pelo treinamento, coisas que não existem sem uma carreira, ele ou ela deve buscar contratar empresas terceirizadas oferecendo um conjunto de artefatos em seus anexos que obrigam essas empresas a se adequarem o mais rápido possível com intuito de que esse terceiro possa responder solidariamente a qualquer causa judicial envolvendo dados pessoais sobre sua responsabilidade. Se for em fiscalização de contratos já vigentes, deve se aditivar os contratos buscando a adequação, e por fim, uma maior preocupação com dados pessoais no encerramento contratual e continuidade de negócio para um novo operador.

Veja mais em: LGPD e o papel do ATI

1 Like