Paulo Perrotti*
Como já é do conhecimento, uma das novidades trazidas pela Lei Geral de Proteção de Dados (LGPD) foi identificar e imputar direitos e obrigações aos chamados Agentes de Tratamento dos Dados: o Controlador e o Operador de dados. Esses Agentes de Tratamento têm responsabilidades, deveres jurídicos e penalizações específicas.
O Art. 5º, inciso VI, da LGPD, determina que o Controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Em suma, é o Controlador que determina as finalidades, condições e meios do processamento de dados pessoais. Ou seja, ele é o responsável final pela proteção dos dados pessoais que se coleta, trata e armazena.
O Controlador de dados tem a responsabilidade primária de garantir que as atividades de processamento estejam em conformidade com a regulação, bem como atender às melhores práticas de segurança e prevenção de vazamentos de dados.
Além disso, toda operação de tratamento realizada pelo Controlador deve ser registrada e monitorada, pois a LGPD exige a elaboração do relatório de impacto à privacidade que contenha a descrição dos processos de tratamento de dados que possam vir a gerar riscos aos direitos dos titulares, bem como as medidas que serão adotadas nas hipóteses de mitigação desses riscos.
Neste ponto, as empresas enfrentam um dilema:
- Impor e aplicar políticas restritivas para mitigar o risco, que diminui a produtividade e incentiva os funcionários a tentar contornar a segurança, ou
- Permitir a aplicação mínima de políticas para aumentar a produtividade, habilitar a segurança de dados de monitoramento passivo e atuar como uma ferramenta forense e investigativa se e quando ocorre uma violação.
É neste contexto que foi desenvolvido o conceito do Behavior-Based Cybersecurity.
O que é o Behavior-Based Cybersecurity?
Em resumo, é a aplicação de técnicas de segurança cibernética baseadas em comportamento, que efetua a análise de comportamento do usuário com prevenção de perda de dados, para fornecer políticas dinâmicas quase em tempo real de aplicação. Compreendendo o comportamento do usuário, é possível decidir quando confiar em um acesso do usuário ou quando bloqueá-lo.
Assim, quando a pontuação de risco comportamental atinge um limite crítico e a possibilidade de uma violação de dados é iminente, o sistema de proteção baseado em Behavior-Based Cybersecurity aplica políticas de bloqueios que são proporcionais ao risco e à sensibilidade dos dados. Ou seja, o sistema de proteção cibernética, que utiliza algoritmos de machine learning, detecta quando usuários apresentam comportamento conflitante e sua pontuação de risco muda dependendo de como eles navegam na rede corporativa, permitindo que a segurança seja reforçada, bem como sejam aplicadas ações de bloqueio, se necessário.
A base legal para a utilização desta tecnologia, uma vez que é utilizada para proteção corporativa, que só consegue ser efetiva se coletar, tratar e armazenar dados pessoais comportamentais dos usuários, encontra respaldo no interesse legítimo do Controlador, bem como na gestão da segurança e controle de fraudes corporativas.
Ressalta-se que, quando o tratamento do dado é baseado em legítimo interesse, o Controlador deverá garantir a transparência, registrando e fundamentando a operação adotada, bem como justificando a situação, a razão da coleta e o tratamento específico para aquele dado. A Autoridade Nacional de Proteção de Dados (ANPD) poderá solicitar um relatório de avaliação de impacto de dados pessoais quando o tratamento tiver como fundamento o legítimo interesse.
Behavior-Based Cybersecurity e Privacy by Design
Ademais, os princípios gerais da LGPD e os padrões de segurança devem ser observados pelo Controlador desde a concepção, a execução e oferecimento do produto e serviço. Esse processo de desenvolvimento de produto e serviço, focado na segurança desde a concepção, dá-se o nome de Privacy by Design, hipótese em que o Behavior-Based Cybersecurity também está adequada a esta metodologia, já que monitora o comportamento do usuário, apontando eventuais discrepâncias no que se refere à proteção dos dados.
Responsabilização do Controlador de dados
É importante frisar que o Art. 52 da LGPD elenca os tipos de sanções aplicáveis pela ANPD em caso de infração, quais sejam: advertência, multa de até 2% do faturamento (limitada a R$ 50.000.000,00) por infração, multa diária, publicização da infração, bloqueio dos dados pessoais e eliminação dos dados pessoais do banco de dados do infrator.
Sendo assim, o Controlador poderá ser responsabilizado por incidentes de segurança da informação e/ou o uso indevido e não autorizado dos dados, ou pela não conformidade com a regulação, uma vez que é o responsável pelo tratamento do dado pessoal.
É preciso ter consciência de que o descumprimento não está apenas relacionado ao pagamento da multa de até 2% do faturamento das empresas, mas também ao impacto para a reputação da marca e o que ela significa aos clientes, visto que a LGPD exige a publicização da infração e do infrator, além do bloqueio e até a eliminação de dados. Isto pode ser muito mais danoso para a reputação da empresa em virtude da quebra de confiança e segurança com os seus colaboradores, consumidores e usuários, já que garantir a transparência e a confiança entre os envolvidos deve ser contínuo.
Leia outro artigo do autor: A Privacidade de Dados e o Impacto na Arquitetura
Paulo Salvador Ribeiro Perrotti: Advogado da LGPDSolution, Presidente da Câmara de Comércio Brasil-Canadá, Professor de Cyber Security na Pós Graduação da Faculdade de Engenharia de Sorocaba (FACENS), com especialização em Direito Canadense e de Québec pela Université de Québec à Montreal – UQÀM, possuindo Pós Graduação em Administração de Empresas pela Fundação Getúlio Vargas de São Paulo, especialização em Direito de Informática (LLM) pelo IBMEC/SP, Mercado Financeiro pelo Instituto Finance, Responsabilidade Social pela ESPM/SP, Certified Secure Computer User (CSCU) pela EC-Council e membro da Comissão Especial de Relações Internacionais da OAB/SP.
