Com a vigência da LGPD, passou a ser de grande importância a definição das responsabilidades dos agentes das operações de tratamento de dados pessoais
Nesta quarta-feira, 23 de março, foi realizado o webinar intitulado “O papel do Auditor Independente no Âmbito da Lei Geral de Proteção de Dados”. O evento teve as participações de Renata Peppe e Rachel Gonzaga, que integram o Grupo de Trabalho LGPD do Ibracon – Instituto de Auditoria Independente do Brasil, e de Adriana Caetano, gerente Técnica do Instituto.
Na ocasião, Rachel, que é advogada, ressaltou que o conceito de segurança da informação vai além de privacidade: “A gente ouve falar em privacidade de dados, mas nem sempre sabe que o objetivo da LGPD é preservar a privacidade e outros direitos e liberdades fundamentais”, observou. “Temos, assim, dois aspectos: um deles é o da finalidade legítima (eu vou usar esses dados para esse fim e isso não vai gerar impactos na vida da pessoa); o outro é o do cuidado em não permitir que terceiros tenham acesso a esses dados (sempre que temos vazamento de informações, estas são usadas para a concretização das fraudes perpetradas pelos cibercriminosos)”, esclareceu.
Um ponto destacado durante o evento foi o de que o cuidado no tratamento de dados é hoje uma questão global: mais de 100 países têm legislação específica. Quanto à lei brasileira, foi destacado que ela é fruto de um debate realizado por mais de oito anos. Passou por duas consultas públicas, 15 audiências e foi aprovada por unanimidade na Câmara e no Senado. Agora, a Autoridade Nacional de Proteção de Dados (ANPD) está realizando a regulamentação, incluindo a dosimetria das penalidades que serão aplicadas em casos de infração.
Ransomware e malware
Por solicitação da gerente Técnica do Ibracon, um dos pontos esclarecidos durante o webinar foi a diferença entre ransomware e malware.
Malware é um software que causa danos propositais ao equipamento (computador, servidor, rede de computadores etc.). Já o ransomware é um tipo específico de malware, idealizado para “sequestrar dados”. Geralmente, cibercriminosos utilizam esse tipo de software para restringir o acesso ao sistema infectado com uma espécie de bloqueio, que eles só retiram mediante o pagamento de um “resgate”.
Dados pessoais x dados pessoais sensíveis
Um dos esclarecimentos trazidos pelo webinar diz respeito à diferença entre dados pessoais e dados pessoais sensíveis. O conceito de dado pessoal aplica-se aos dados específicos de pessoa física (nome, CPF, RG etc.: tudo isso é dado pessoal). Também se enquadram nessa categoria dados como IP de computador, dado de geolocalização, conta bancária etc. Por quê? “Porque, com esses dados, eu chego em uma pessoa física”, explicou Rachel.
Já os dados pessoais sensíveis são aqueles que trazem consigo algum potencial discriminatório. Por exemplo: orientação sexual, estado civil, etnia, religião, afinidade político-ideológica.
A LGPD se aplica ao tratamento de dados pessoais, ou seja, a quaisquer ações de coletar, analisar, armazenar – enfim, manejar de diferentes formas – os dados pessoais, tanto sensíveis quanto não-sensíveis.
Para tratar um dado pessoal, é preciso ter uma base legal e garantir a observância dos princípios da Lei. É necessário ter uma base legítima, garantir segurança da informação, se responsabilizar e prestar contas. “Não basta estar em compliance: é preciso provar que está em compliance”, destacou Rachel.
Agentes de tratamento
Outro conceito fundamental trazido pela LGPD foi a diferenciação entre os agentes de tratamento, que se dividem em controlador e operador.
Controlador: pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
A responsabilidade civil em relação a não compliance ou uso indevido é uma responsabilidade solidária entre ambos.
Não são considerados controladores (autônomos ou conjuntos) ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento.
Renata Peppe: Task Force LGPD
Ao falar sobre o Grupo de Trabalho LGPD do Ibracon, Renata Peppe ressaltou que, com a vigência da LGPD, passou a ser de grande importância a definição das responsabilidades dos agentes das operações de tratamento de dados pessoais.
“O auditor vai olhar se o cliente está cumprindo o compliance; neste sentido, o auditor torna-se um agente de tratamento de dados ao executar o trabalho dele”, disse Renata. “Esse GT nasceu para entender qual seria o nosso papel – controladores ou operadores?”, esclareceu.
“Após um ano, chegamos a um entendimento, ainda não formal. Eu diria que a diferença entre controlador e operador reside no poder de decisão em relação ao tratamento desses dados. O controlador tem esse poder de decisão sobre elementos essenciais”, acrescentou. “A existência do operador depende de uma decisão do controlador, que pode optar por realizar as operações de tratamento de dados pessoais por si mesmo ou delegar, integralmente ou em parte, a terceiros; esse terceiro é o operador”, resumiu.’
Neste sentido, o Auditor Independente alinha-se mais ao papel de operador do que de controlador.
Em suas considerações finais, as três participantes do webinar destacaram que cabe às firmas de auditoria não acumular dados e documentos dos quais não necessitem. Elas também devem determinar, de forma precisa e assertiva, de quais dados necessitam para realizar seu trabalho; delimitar um período para que esses dados sejam mantidos/armazenados; definir quais meios técnicos devem ser usados nestes dados; definir como esses dados deverão ser tratados, de acordo com as disposições legais que regulam suas atividades e sua profissão.
Fonte: Ibracon, em 25.03.2022