Segurança e boas práticas com dados sensíveis
| Pages | 205-238 |
4
SEGURANÇA E BOAS PRÁTICAS
COM DADOS SENSÍVEIS
No quarto capítulo, busca-se nalizar o estudo dos dados sensíveis por meio
da análise de questões relativas à segurança, cuidados especícos e boas práticas
no tratamento de tais informações. Será oferecida especial ênfase à lógica do pri-
vacy by design em todo o ciclo de tratamento de dados e ao relatório de impacto
à proteção de dados pessoais, documento relevante, e por vezes fundamental,
em determinados tratamentos realizados por sujeitos públicos e privados que
envolverem dados sensíveis.
No tema da gestão de riscos serão abordadas algumas questões de ordem
técnica, diante da compreensão de que a temática necessita de uma aplicação de
recursos multidisciplinares. Em seguida, serão desenvolvidas algumas orien-
tações para a mitigação de incidentes de segurança, especialmente envolvendo
dados sensíveis. Ao nal, o estudo será dirigido aos artigos da LGPD referentes
ao término do tratamento de dados e à conservação de informações pessoais
sensíveis.
4.1 CUIDADOS ESPECÍFICOS E BOAS PRÁTICAS NO TRATAMENTO DE
INFORMAÇÕES PESSOAIS SENSÍVEIS
O tratamento de dados sensíveis impõe um padrão mais elevado de proteção
e segurança para as informações, assim como um maior rigor nas técnicas empre-
gadas para a sua circulação. Além de seguir estritamente normas e resoluções, as
instituições devem obedecer a todo o arcabouço regulatório pertinente à atividade
desenvolvida e criar normas internas – como Códigos de Ética e Conduta –, visan-
do a direcionar o comportamento de seus diretores, executivos e funcionários em
torno de determinados valores e princípios, coibindo comportamentos negativos,
desvios de conduta e inconformidades com as normas. Cabe também promover
interações entre players que desenvolvam atividades semelhantes e agentes de
diferentes setores da sociedade, numa perspectiva multissetorial, para a troca e
elaboração de boas práticas.
DADOS PESSOAIS SENSÍVEIS • ChiaraSpadaCCinide Teffé
206
Nesse sentido, nas atividades de compliance1 pertinentes à questão deve-se
buscar uma aplicação ampla do privacy by design, a elaboração de relatórios de
impacto, uma gestão eciente de riscos, o desenvolvimento de planos de resposta
a incidentes de segurança, a ampliação das áreas de segurança da informação
e proteção de dados e o registro documental dos uxos de dados2, que detalhe
todo o tratamento empregado, inclusive compartilhamentos, prazos de guarda
e conservação, término da atividade e eliminação das informações.
A proteção de dados – especialmente os qualicados como sensíveis – e as
normas jurídicas, técnicas e institucionais referentes à matéria podem ser perce-
bidas como formas de: (I) conter os efeitos nefastos do capitalismo de vigilância
e as manipulações3 oriundas de grandes plataformas; (II) afastar os riscos que
determinadas aplicações com algoritmos podem oferecer às liberdades funda-
mentais; (III) trazer garantias às pessoas diante da opacidade e da ausência de
accountability de muitas estruturas políticas e econômicas; e (IV) impedir dis-
criminações ilícitas ou abusivas em face de pessoas singulares e grupos.
Além de se preocupar com o cumprimento integral das normas relati-
vas à proteção de dados, na forma do Art. 50 da LGPD, os controladores e
operadores, no âmbito de suas competências, individualmente ou por meio
de associações, poderão formular regras de boas práticas e de governança
1. Doutrina destaca a importância do compliance, sendo ele responsável pela: “(...) estruturação de
políticas e procedimentos corporativos que se traduzam em ações sistemáticas com o objetivo de
atender ao cumprimento aos preceitos normativos, a permitir a prevenção do ato ilícito ou, caso tal
não seja possível, minorar seus efeitos e sancionar eventuais responsáveis. Os programas de compliance
relacionam-se à xação de controles internos que, em reforço à regulação estatal, auxiliem os agentes
econômicos a se manterem em conformidade com a lei (e, de forma mais ampla, também com suas
políticas corporativas). Sua relevância aprofundou-se nas últimas décadas diante da ampliação do
papel sancionador do Estado: paradoxalmente, ao mesmo tempo em que se os agentes econômicos
passaram a se preocupar com as (cada vez mais elevadas) sanções aplicadas pelo Estado, passou-se a
denotar que apenas essa perspectiva era incapaz de apresentar as soluções necessárias.” (FRAZÃO, Ana;
OLIVA, Milena Donato; ABILIO, Vivianne da Silveira. Compliance de dados pessoais. In: FRAZÃO,
Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (Coords.). A lei geral de proteção de dados pessoais
e suas repercussões no direito brasileiro. São Paulo: omson Reuters Revista dos Tribunais, 2019. p.
683-684.)
2. Mapeamento de todos os dados pessoais e operações de tratamento que envolvam tanto dados de
usuários de produtos e/ ou serviços da organização quanto de não usuários, como funcionários,
representantes de clientes, parceiros, fornecedores ou terceiros.
3. “À medida que, através de sensores biométricos, cada vez mais dados uírem de seu corpo e seu cé-
rebro para máquinas inteligentes, será fácil para corporações e agências do governo conhecer você,
manipular você e tomar decisões por você. Mais importante ainda, eles serão capazes de decifrar os
mecanismos profundos de todos os corpos e cérebros, e com isso adquirir o poder de fazer a engenharia
da vida. Se quisermos evitar que uma pequena elite monopolize esses poderes, que parecem divinos, e
se quisermos impedir que a humanidade se fragmente em castas biológicas, a questão chave é: quem
é dono dos dados? Os dados de meu DNA, meu cérebro e minha vida pertencem a mim, ao governo,
a uma corporação ou ao coletivo humano?” (HARARI, Yuval Noah. 21 lições para o século 21. 1.ed.
Companhia das Letras: 2018, p. 109.)
207
4 • SEGuRANÇA E BOAS PRÁTICAS COm DADOS SENSÍVEIS
que estabeleçam as condições de organização, o regime de funcionamento,
os procedimentos, incluindo reclamações e petições de titulares, as normas
de segurança, os padrões técnicos, as obrigações específicas para os diversos
envolvidos no tratamento, as ações educativas, os mecanismos internos de
supervisão e de mitigação de riscos e outros aspectos relacionados ao tra-
tamento de dados pessoais. Tais regras deverão, inclusive, ser publicadas e
atualizadas periodicamente.
Estar em conformidade signica alterar toda a cultura da instituição no
que tange ao tema, observando de forma especíca os princípios da LGPD
(especialmente a responsabilidade e a prestação de contas, a segurança, a
prevenção, a transparência e a não discriminação), bem como capacitar todos
os sujeitos para que atuem conforme as normas que apresentam relevância
jurídica. A conformidade é caracterizada “pelo compromisso com a criação de
um sistema complexo de políticas, de controles internos e de procedimentos,
que demonstrem que a empresa está buscando “garantir” que se mantenha em
um estado de compliance.” 4
A adoção de um programa de compliance que tenha atenção aos tratamentos
de dados realizados pela instituição mostra-se essencial para auxiliar no efetivo
atendimento aos comandos da lei, de acordo com as particularidades de cada
local, bem como para prevenir a ocorrência de violações aos direitos dos titula-
res, traduzindo de forma concreta para as atividades cotidianas as premissas da
LGPD.5 Por exemplo, as regras de governança podem dispor sobre as hipóteses
especícas em que o tratamento será considerado pela entidade como funda-
mentado em seu legítimo interesse (Art. 7º, X, da LGPD) ou em que hipóteses a
instituição deverá realizar um relatório de impacto.
Um programa que envolva altas lideranças corporativas, tenha suporte -
nanceiro adequado, ofereça autonomia e independência aos envolvidos e detecte
e puna exemplarmente condutas contrárias às diretrizes adotadas contribui tanto
para a boa reputação da empresa quanto para a criação de um ambiente de con-
4. SAAVEDRA, Giovani Agostini. Compliance de dados. In: Bruno Bioni, Laura Schertel Mendes, Danilo
Doneda, Otavio Luiz Rodrigues Jr., Ingo Wolfgang Sarlet (Org.). Tratado de Proteção de dados pessoais.
1ed.Rio de Janeiro: Forense, 2021, v. 1, p. 729.
5. “A expressão Sistema de Gestão de Compliance (Compliance Management System) foi cunhada pela
International Organization for Standardization (ISO), por meio da norma ISO 19600. Conforme
referido anteriormente, não há dúvida de que a proteção de dados e a tão difundida necessidade de
“adequação à LGPD” nada mais são do que um elemento desse sistema mais amplo de gestão de com-
pliance. (...) Uma das grandes novidades que as legislações recentes sobre proteção de dados trouxeram
foi a adoção da sistemática de compliance como critério interno de conexão entre os vários institutos
da legislação. O sistema de gestão de compliance de dados aparece nessa legislação como expressão do
princípio da accountability e como meio de proteção dos direitos subjetivos/fundamentais de dados.”
(SAAVEDRA, op. cit. p.730-731)
Para continuar a ler
Comece GrátisDesbloqueie o acesso completo com um teste gratuito de 7 dias
Transforme sua pesquisa jurídica com o vLex
-
Acesso completo à maior coleção de jurisprudência de common law em uma única plataforma
-
Gere resumos de casos com IA que destacam instantaneamente os principais pontos jurídicos
-
Funcionalidades de busca avançada com opções precisas de filtragem e ordenação
-
Conteúdo jurídico abrangente com documentos de mais de 100 jurisdições
-
Confiado por 2 milhões de profissionais, incluindo os principais escritórios de advocacia do mundo
-
Acesse pesquisas com tecnologia de IA usando o Vincent AI: consultas em linguagem natural com citações verificadas
Desbloqueie o acesso completo com um teste gratuito de 7 dias
Transforme sua pesquisa jurídica com o vLex
-
Acesso completo à maior coleção de jurisprudência de common law em uma única plataforma
-
Gere resumos de casos com IA que destacam instantaneamente os principais pontos jurídicos
-
Funcionalidades de busca avançada com opções precisas de filtragem e ordenação
-
Conteúdo jurídico abrangente com documentos de mais de 100 jurisdições
-
Confiado por 2 milhões de profissionais, incluindo os principais escritórios de advocacia do mundo
-
Acesse pesquisas com tecnologia de IA usando o Vincent AI: consultas em linguagem natural com citações verificadas
Desbloqueie o acesso completo com um teste gratuito de 7 dias
Transforme sua pesquisa jurídica com o vLex
-
Acesso completo à maior coleção de jurisprudência de common law em uma única plataforma
-
Gere resumos de casos com IA que destacam instantaneamente os principais pontos jurídicos
-
Funcionalidades de busca avançada com opções precisas de filtragem e ordenação
-
Conteúdo jurídico abrangente com documentos de mais de 100 jurisdições
-
Confiado por 2 milhões de profissionais, incluindo os principais escritórios de advocacia do mundo
-
Acesse pesquisas com tecnologia de IA usando o Vincent AI: consultas em linguagem natural com citações verificadas
Desbloqueie o acesso completo com um teste gratuito de 7 dias
Transforme sua pesquisa jurídica com o vLex
-
Acesso completo à maior coleção de jurisprudência de common law em uma única plataforma
-
Gere resumos de casos com IA que destacam instantaneamente os principais pontos jurídicos
-
Funcionalidades de busca avançada com opções precisas de filtragem e ordenação
-
Conteúdo jurídico abrangente com documentos de mais de 100 jurisdições
-
Confiado por 2 milhões de profissionais, incluindo os principais escritórios de advocacia do mundo
-
Acesse pesquisas com tecnologia de IA usando o Vincent AI: consultas em linguagem natural com citações verificadas
Desbloqueie o acesso completo com um teste gratuito de 7 dias
Transforme sua pesquisa jurídica com o vLex
-
Acesso completo à maior coleção de jurisprudência de common law em uma única plataforma
-
Gere resumos de casos com IA que destacam instantaneamente os principais pontos jurídicos
-
Funcionalidades de busca avançada com opções precisas de filtragem e ordenação
-
Conteúdo jurídico abrangente com documentos de mais de 100 jurisdições
-
Confiado por 2 milhões de profissionais, incluindo os principais escritórios de advocacia do mundo
-
Acesse pesquisas com tecnologia de IA usando o Vincent AI: consultas em linguagem natural com citações verificadas