LGPD – LEI GERAL DE PROTEÇÃO DE DADOS

A Segurança e a Proteção de Dados na Digitalização e Indústria 4.0

Entendendo que seremos uma sociedade digital, onde informações baseada em dados computacionais, estarão na base de toda a vida da população, sendo na escola, governo, segurança pública, saúde, indústria entre outros, nos remete a uma grande preocupação, que é a segurança sobre estas informações e de que forma ela estará disponível e como será tratada, além de suas responsabilidades.

O mundo já se movimenta na direção de regulamentar, utilizar normas, leis, onde o trato desta informação passa por responsabilidades, nosso texto tem a intenção de iniciar uma discussão acerca da LGPD – Lei Geral de Proteção de Dados, que no Brasil, será a base destas premissas de responsabilidade sobre o dado.

Em nosso caso, vamos lançar um olhar focal sobre a indústria, mais focado em sistemas de automação industrial, que manipula dados e permite a criação de camada de informações digitais, atendendo a realidade da Indústria 4.0.

Não temos a intenção de explicar a LGPD, até porque é um assunto jurídico, nosso principal objetivo é abrir um olhar sobre a importância de construir sistemas que levem em conta as responsabilidades sobre dados trafegados dentro das indústrias.

Vamos limitar nosso assunto neste texto em:

  • Evolução da quantidade de dados e da digitalização das informações como nova forma de comunicação e documentação;
  • Leis e Normas aplicadas a proteção de dados, especificamente a LGPD Lei Geral de Proteção de Dados;
  • Entender a proteção de dados na indústria, aplicando Normas e Leis, nas dimensões IoT (Internet das Coisas), Internet e Computação em Nuvem.

Como dissemos na apresentação do texto, a sociedade caminha para ter suas bases nos dados digitais, lembrando que isto é uma evolução, onde iniciamos com sociedade organizada a transferência de conhecimento e responsabilidades no início através da oratório, evoluímos com a escrita em documentos, após o invento a prensa e agora, com a internet e todo um conceito de dado computacional, teremos em todas as áreas a digitalização de informações.

Relembrando o conceito de Indústria 4.0, onde a interconexão de Toda Cadeia de Valor (Informações + Pessoas + Equipamentos) conectados na Internet, utilizando Inteligência Artificial para tomada de decisões na Indústria, nos leva a observar que cada elemento de conexão é um ponto sensível de informação digital, que deve ser tratada a partir da segurança do dado e da responsabilidade por este.

Quais os desafios frente a segurança da informação e responsabilidades, vejam os principais:

  • Proteger o dono dos dados e da informação;
  • Estabelecer regras na Internet;
  • Proteger Cibersistemas Industriais.

O que é a LGPD:

  • Lei que regulamenta, no Brasil, a forma pela qual as organizações deverão tratar dados e informações de pessoas;
  • A LGPD está alinhada com a regulamentação Europeia de Proteção de Dados (GDPR), colocando o Brasil em patamares globais;
  • A Lei estabelece regras detalhadas para coleta, uso, tratamento e armazenamento de dados pessoais de toda Cadeia de Valor.

Quais são os principais objetivos da LGPD:

  • PRIVACIDADE – proteção de dados da pessoa;
  • TRANSPARÊNCIA – regras claras para tratamento de dados;
  • DESENVOLVIMENTO – desenvolvimento econômico e tecnológico;
  • PADRONIZAÇÃO – regras únicas independente do setor;
  • PROTEÇÃO DO MERCADO – segurança jurídica no tratamento de dados;
  • CONCORRÊNCIA – promover concorrência através da portabilidade.

A LGPD estabelece algumas definições:

  • Dado Pessoal – Informação que identifica a pessoa;
  • Dado Pessoal Sensível – São as características que definem a pessoa;
  • Tratamento – A operação que é realizada com o dado;
  • Controlador – Pessoa que toma a decisão com o dado;
  • Operador – Pessoa que realiza o tratamento do dado em nome do Controlador;
  • Agentes de Tratamento – Controlador e Operador.

Quanto a abrangência da LGPD:

IMPORTANTE

  • Regula dados de pessoas física
  • Aplica-se independente do meio
  • Aplica-se dentro do Brasil e operações fora

NÃO APLICAÇÃO

  • Para fins particulares e não econômicos
  • Para fins jornalísticos, artísticos, acadêmicos
  • Segurança pública
  • Investigação
  • Dados em trânsito de outros países

Quanto aos princípios da LGPD:

USO DO DADO

  • Finalidade
  • Adequação
  • Livre acesso
  • Necessidade
  • Transparência
  • Qualidade dos dados
  • Segurança
  • Prevenção
  • Não discriminação
  • Responsabilização
  • Prestação de contas

COMO DEVE SER

  • Uso de dados com propósitos legítimos
  • O tratamento deve ser compatível com as finalidades
  • O tratamento do dado deve ser limitado ao mínimo para o objetivo
  • O titular tem livre acesso à consulta de seus dados
  • Os titulares devem ter seus dados claros, exatos e relevantes
  • O titular deve ter suas informações precisas e facilmente acessíveis
  • Deve-se aplicar técnicas e segurança para proteger acessos não autorizado de dados
  • Deve haver procedimento de prevenção de danos a dados
  • Não pode haver tratamento de dados discriminatórios
  • Deve haver demonstração de medidas que comprovem o cumprimento das normas de proteção

Quanto a base legal:

HIPÓTESES QUE JUSTIFICAM O TRATAMENTO DE DADOS PESSOAIS

  • Consentimento do titular
  • Cumprimento de obrigação legal ou regulatória
  • Por administração pública para fins de leis e regulamentos
  • Para realização de estudos de órgãos de pesquisa
  • Para execução de contratos ou procedimentos preliminares
  • Para proteção da vida
  • Para exercício regular do direito em processo
  • Para interesses legítimos do controlador
  • Para uso em Saúde ou entidades sanitárias
  • Para proteção do crédito
  • Pessoas sensíveis, crianças e adolescentes tem tratamento específico

TÉRMINO DO TRATAMENTO

  • Finalidade alcançada
  • Fim do período
  • Manifestação do titular
  • Determinação legal

Quanto aos direitos do titular:

LIBERDADE E PRIVACIDADE DE INDIVÍDUOS

  • Informações claras sobre o tratamento de dados
  • Confirmação da existência de tratamento
  • Correção de dados incompletos ou inexatos
  • Bloqueio, anonimato e eliminação de excesso de dados
  • Portabilidade de dados para outro fornecedor
  • Eliminação de dados pessoais do tratamento
  • Informação do uso de dados compartilhados
  • Possibilidade de não fornecer consentimento ou saber das consequências
  • Possibilidade de revogação fácil e gratuita

OBSERVAÇÃO

O Controlador deverá cumprir de imediato qualquer solicitação do titular, caso não possa de imediato, deverá comunicar e justificar com as devidas razões que o impeçam e caso não seja o agente, apontar qual o agente de fato, caso o conheça.

Quanto as obrigações do controlador:

RESPONSABILIDADES

  • Provar o consentimento do dado de acordo com a Lei
  • Confirmar existência ou providencia acesso a dados
  • Manter registro de todas as operações de dados (autoridade nacional)

AUTORIDADE NACIONAL

  • Deverá o controlador, relatar:
  • Descrição dos tipos de dados
  • Metodologia de coleta
  • Metodologia de segurança
  • Análise do controlador quanto a proteção e mitigação de riscos

RESPONSÁVEL PELO DADO

  • Indicar um responsável de forma pública
  • Aceitar reclamações e prestar esclarecimentos e providências
  • Receber comunicação da autoridade nacional
  • Orientar funcionários e contratados
  • Ser responsável por todas atribuições

Quanto a troca de dados internacional:

SEGUIR OS PADRÕES DA LGPD

  • Entre países que tenham grau de proteção de dados previsto em Lei
  • O controlador oferecer e comprovar garantias dos direitos do titular do dado
  • Quando for transferência de cooperação jurídica internacional (acordo)
  • Autorizada pela autoridade nacional de proteção de dados
  • Para execução de políticas públicas
  • Quando o titular fornecer consentimento específico
  • Quando necessário para cumprimento de obrigação legal
  • Para execução de contrato
  • Para exercício de direitos em processos

OBSERVAR

Leis e regulamentações específicas de cada país ou organismo internacional

Quanto a segurança dos dados:

O QUE DEVE SER FEITO

  • O agente deve proteger dados contra acesso não autorizado, destruição, perda, alteração ou comunicação
  • Os projetos de segurança devem ser baseados em Privacy by Design ou Security by Default
  • Casos de incidente de segurança devem ser comunicados a autoridade nacional e ao titular do dado
  • Descrever as providencias a serem tomadas

A COMUNICAÇÃO DO INCIDENTE

  • Descrição da natureza dos dados afetados
  • Envolvidos
  • Técnicas utilizadas para a segurança
  • Riscos do incidente
  • Justificar a comunicação
  • Medidas de correção ou diminuição de impacto

IMPORTANTE

  • O Agente de dados poderá individualmente formular regras de governança de segurança de dados, que possa:
  • Aplicar no tratamento de dados
  • Uso de padrões e normas
  • Obrigações da organização
  • Ações educativas
  • Mecanismos internos de mitigação

Entendendo o PRIVACY BY DESIGN ou SECURITY BY DEFAULT:

PRIVACY BY DESIGN

A empresa que trata o dado é responsável pela proteção e privacidade durante todo o ciclo de vida, o usuário deve ter o controle e a opção sobre seus dados, sempre que possível usar dados não identificáveis, ser proativa na proteção.

SECURITY BY DEFAULT

Quando um produto ou serviço é lançado, todas as configurações de segurança do dado do usuário, já são aplicadas como padrão, sendo habilitadas de forma voluntária por quem usa, quantidade e tempo limitado.

Quanto as sanções:

DESCUMPRIMENTO DA LEI (AGENTES)

  • Indenizar o titular do dado
  • Receber advertência para adoção de medidas corretivas
  • Multa de 2% faturamento, limitada a 50 milhões por infração
  • Infração publicada após confirmação
  • Bloqueio de dados pessoais até regularização
  • Eliminação dos dados pessoais após infração

O PROCEDIMENTO ADMINISTRATIVO PREVE

  • Gravidade e natureza da infração
  • Boa fé
  • Vantagem pelo infrator
  • Condição econômica do infrator
  • Reincidência
  • Grau do dano
  • Cooperação do infrator
  • Adoção de políticas de boas práticas
  • Adoção de medidas corretivas
  • Proporção entre gravidade e intensidade da sanção

OBSERVAR

  • Autoridade nacional poderá considerar faturamento total do grupo empresarial
  • Para aplicação de multa diária poderá ser levado em consideração gravidade da falta ou dano causado

O que fazer para estar de acordo com a LGPD, proposta de um check list geral:

  • Contratar assessoria jurídica;
  • Entender os impactos da LGPD em seus processos;
  • Revisão políticas de tratamento de dados pessoais;
  • Manter registro de dados que demonstrem adequação de tratamento;
  • Avaliar sua base legal por tratamento de dados;
  • Manter documentação de consentimento e transparência nas operações dos dados;
  • Adequar estrutura operacional para viabilizar cumprir a lei perante o titular do dado;
  • Desenvolver mecanismos onde o titular exerça o direito de transparência e edição dos dados (conteúdo);
  • Adotar medidas técnicas de tratamento seguro dos dados;
  • Desenvolver processos internos que realizem manutenção de registros e seus tratamentos;
  • Gravar dados visando atender a finalidade de sua coleta, cumprindo a lei;
  • Nomear encarregado de dados pessoais;
  • Adotar procedimento rígido de transação de dados com exterior;
  • Desenvolver sistemas de identificação e combate a incidentes de segurança;
  • Fazer seguros para cobertura em caso de incidentes de segurança;
  • Criar políticas de segurança para respostas a incidentes;
  • Executar análise de conformidade no tratamento dos dados, analisando riscos e sanções;
  • Ter um plano de contingência caso ocorra um incidente (minimizando o dano).

O que a empresas deverá fazer:

  • Ter entendimento da sua estrutura de dados;
  • Fazer auditoria sobre o tratamento de dados;
  • Fazer gestão do consentimento e anonimização;
  • Fazer a gestão dos pedidos do titular;
  • Ter relatórios de impacto;
  • Implantar medidas de segurança de dados;
  • Criar um plano de governança no tratamento;
  • Estabelecer um plano de comunicação de incidentes de segurança;
  • Validar os términos dos tratamentos;
  • Obter certificação de auditorias;
  • Identificar o encarregado pela LGPD;
  • Mitigar e prevenir conflitos.

Diretrizes de um roteiro básico de implantação:

  • Treine e qualifique as pessoas
  • Mude os processos de acordo com a lei
  • Implante tecnologias

A Internet como sendo o elemento ou mídia de comunicação global, capaz de dar o formato da sociedade digital, vem evoluindo em termos de tecnologia e segurança, mas os desafios aumentam e são impostos de acordo com novas demandas e paradigmas.

Algumas questões de alta relevância que nos remetem a refletir:

  • A Internet como conhecemos hoje, atenderá o Novo Mundo Digital?
  • A segurança na Internet, como conhecemos hoje, permitirá uma Sociedade Digital?
  • A Internet sempre será uma terra de ninguém? Ou poderá mudar de patamar, uma vez que é a nova via na Nova Sociedade.

Segue abaixo, um descritivo de tendência da Internet, de modo a dar uma resposta a evolução e as necessidades da digitalização:

  • Desafio: A Internet para suportar a Sociedade Digital deverá ter alta capacidade de endereçamento, processamento, baixa latência e suportar novos padrões e protocolos.
  • Solução: Tecnologias como, IPV6 de endereçamento, computação em nuvem, 5G e MQTT, são evoluções para atender estas novas realidades.
  • Desafio: A segurança na Internet deverá evoluir para não colapsar com o aumento exponencial de pontos de acesso, como o IoT permite.
  • Solução: Utilização de robôs de antivírus (vacinas digitais) na rede, uso de perfis dentro da Deep Web (Dark Web) para interconexão de infraestrutura crítica, criptografia nativa, são algumas evoluções de alto impacto na segurança na internet.
  • Desafio: A Internet é território livre, mas deve evoluir para um ambiente mais regulado, não rígido, mas monitorado e com possibilidade de intervenções.
  • Solução: As Leis e Marco Regulatórios devem dar um formato que preserve usuários, empresas, entidades e governos no uso da rede, com responsabilidades e penalidades.

Vamos aplicar alguns destes conceitos de segurança na indústria, observamos de imediato que estes desafios são relativamente novos, quando pensamos em chão de fábrica e ambiente de automação industrial.

Observe algumas vulnerabilidades, que hoje existem em uma linha de produção automatizada, bem como em processos industriais:

  • Convergência de dados, computação em nuvem e interconexão com internet;
  • Infraestrutura de redes de comunicação de toda fábrica e camada de IoT internet das coisas
  • Banco de dados de clientes, planejamento, fornecedores, logística

Cenários como este, dentro do conceito de Indústria 4.0, apontam soluções, vão desde aplicações de Cibersegurança, boas práticas e a própria LGPD, por isso o entendimento de como o dado trafega na cadeia de valor é de grande importância para questões de responsabilidades.

Então, frente a estes desafios apontados, podemos descrever algumas soluções:

  • Desafio: convergência de dados, computação em nuvem e interconexão com internet.
  • Solução: Aplicar a Técnica de Defesa em Profundidade, criar roteamento em toda a Internet para Fábrica – ISO/IEC 27001 e 27002 (ISA99).
  • Desafio: infraestrutura de redes de comunicação de toda fábrica e camada de IoT internet das coisas.
  • Solução: Aplicar a técnica de Defesa em Profundidade, usar criptografia nos dados de fábrica, monitorar a rede industrial contra acesso não autorizado – ISO/IEC 27001 e 27002 (ISA99).
  • Desafio: banco de dados de clientes, planejamento, fornecedores, logística.
  • Solução: Aplicar a LGPD e todas as premissas da Lei, associar boas práticas e criar um manual de Governança de Proteção na Indústria.

Quanto a aplicação direta da LGPD no ambiente de dados industriais, podemos apontar os principais elementos que devem ser mitigados com a lei:

CADEIA DE VALOR INTERCONECTADA

Os dados de clientes, fornecedores, pedidos, marketing, logística, entre outros, são dados de pessoas, que podem inclusive serem sensíveis, a adaptação de acordo com a LGPD é essencial, uma vez que a Cadeia de Valor está toda conectada na Fábrica Digital.

DIVERSOS BANCO DE DADOS INTERCONECTADOS

Banco de dados de cliente, banco de dados de pedidos nominais, banco de dados de transporte e logística, banco de dados de histórico de clientes com perfis de consumo, entre outros, estão sujeitos a todas as condições da LGPD.

APLICAR TODA A LGPD COM UM OLHAR ATENTO EM:

  • Criar política de uso dos dados dentro da rede interconectada na Cadeia de Valor
  • Entender a aplicar dentro da necessidade o formato de compartilhamento de dados na indústria
  • Criar cultura de proteção do dado e sua importância na organização
  • Estabelecer novos procedimentos de coleta e tratamento de dados na indústria (produção)
  • Colocar em prática medidas de transparência no tratamento de dados

Concluímos que a LGPD organiza e orienta de forma clara, a importância que as empresas devem dar aos dados das pessoas, na indústria, dentro da Cadeia de Valor, associado à digitalização, se faz necessário aplicar todas os conceitos da Lei e incorporar boas práticas e tecnologia, de modo a não ter dados extraviados, dentro das vulnerabilidades dos sistemas, caso não existam e não se apliquem Políticas de Segurança de Dados.