Poucas vezes lemos textos tão sóbrios como este, publicado originalmente pelo Fernando Marinho, acerca da relação e diferenças entre confidencialidade e privacidade. Embora pareçam siameses, são dois níveis de maturidade de compliance e resultados efetivos diferentes.
E a Segurança da Informação, onde interage na prática com a privacidade ou confidencialidade? O texto, que reproduzimos na íntegra abaixo, discute de forma bastante didática esta e outras questões.
Uma grande bagunça que encontro na cabeça das pessoas é a confusão entre confidencialidade e privacidade. Obviamente a Segurança de Informação (ou simplesmente “SI”) sempre tratou da confidencialidade, nunca a privacidade…
A título de ilustração, tem um monte de gente pesquisando o Google e copiando trechos de documentos de privacidade, para atualizar suas Políticas de Segurança, como se bastasse.
Aliás, tem muita gente (mas muita, mesmo) achando que estar em conformidade com a Lei é o mesmo que Proteger Dados. E aqui é que enveredamos por uma estrada que mistura muitos caminhos.
Como eu sempre costumo falar em minhas palestras, o grande problema da LGPD, é que ela traduziu a GDPR, trocando o termo “Regulamento” por “Lei”.
A GDPR é essencialmente um conjunto de normas técnicas, formatado em regulamento. A LGPD transformou isso em uma Lei (especialistas me explicaram que as normas jurídicas brasileiras não reconhecem um Regulamento com a mesma força) e muitos advogados a incluiram em seu portfólio, porque a “Lei” é objeto de seu trabalho.
Mas estar em conformidade com a LGPD não garante a privacidade de dados e informações, sem o trabalho de base técnico (SI) e ajustes nos processos de negócios, estes sim responsáveis pela coleta e utilização de dados e informações.
Não adianta os melhores dispositivos de segurança do mundo, se os procedimentos forem praticados de forma indevida… da mesma forma que os melhores contratos vão por água abaixo, se os processos não forem compatíveis com o que os documentos descrevem.
Faz algum tempo escrevi um artigo que dizia que “conformidade não garante segurança de informação”. E hoje, mais que nunca, reitero que “conformidade (com a LGPD) não garante privacidade de dados (sem gestão de SI e Processos de Negócios)”.
Ao longo da GDPR, encontramos indicação de 8 (oito) itens da Norma ISO 27000 (Segurança de Informação):
- Política de Segurança;
- Classificação de Informação;
- Controle de Acesso;
- Pentest (Teste de invasão)
- Gestão formal (documentada) de backup;
- Criptografia;
- Plano de Continuidade de Negócios (PCN/BCP): e,
- Plano de Resposta a Incidentes.
Há menção, também, da Política de Privacidade, que hoje não faz parte da ISO 27000, mas faz parte da IS 29100, anterior à própria GDPR e LGPD.
Em aproximadamente 100 empresas que visitei desde janeiro, 90% delas não possuem uma Política de Segurança formal, estruturada e assimilada pela estrutura corporativa. Para ser franco, cerca de 50% não tem nenhum documento formal sobre o assunto.
Se até “pelada de rua” (o jogo de futebol) precisa de regra, o que dizer sobre segurança corporativa ?
Então, vamos lá: privacidade não existe por si. É um estado consequente de um conjunto de ações multidisciplinares envolvendo Tecnologia de Informação (30%), revisão das relações contratuais (com rh, compras, comercial e outros) pelo Jurídico (mais 30%), e fundamentalmente uma revisão nos procedimentos dos processos de negócios (40%), que devem contemplar os requisitos definidos pelos outros 60%, sem os quais, a conformidade não vai garantir nem privacidade, nem segurança.
Proteção de Dados = Privacidade. E não se obtém proteção de dados seguindo a Lei. É necessário um forte trabalho de divulgação, conscientização e implementação de SI, para que seus objetivos consolidem a privacidade de dados e informações.
De resto, é como já escrevi aqui: “Querer garantir privacidade estudando a LGPD é o mesmo que querer aprender a dirigir, decorando o CNT”.