Carla do Couto H. Battilana*
Isabella de Freitas Moraes Sampaio Pereira**
Miguel Lima Carneiro***
Com a contínua digitalização de produtos e serviços na sociedade, o ambiente digital tem propiciado cada vez mais oportunidades para o desenvolvimento de negócios. Nesse contexto, cresce o valor dado às atividades de geração e análise dos dados em fluxo nas diversas plataformas. Como resultado, enquanto novas portas se abrem para as plataformas presentes neste ambiente, novos riscos também passam a acompanhar esses atores.
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) informou que identificou 665.079 incidentes de segurança da informação reportados voluntariamente por usuários da Internet em 2020. Neste montante, foram considerados casos de tentativas de fraude, atividades de phishing, propagação de códigos maliciosos, ataques a servidores Web, dentre outras estratégias voltadas para comprometer a integridade e a segurança dos dados disponibilizados online. No campo da proteção dos dados pessoais, a Autoridade Nacional de Proteção de Dados (“ANPD”) informou ainda que já havia recebido 116 notificações de incidentes de segurança, envolvendo dados pessoais entre janeiro e outubro de 2021.
Dessa forma, a fim de assegurar o desenvolvimento destas atividades e enfrentar os riscos cibernéticos, é importante utilizar parâmetros ideais de segurança para tanto. É justamente com esse olhar que foram estabelecidas normas gerais e normas setoriais para enfrentar o tema de forma abrangente.
Apesar da relevância da Lei Geral de Proteção de Dados (“LGPD”), vale ressaltar que esta discussão não termina apenas no contexto de dados pessoais, tampouco no escopo de uma lei geral. Ao contrário, a busca pela promoção da segurança da informação excede os limites da LGPD, exigindo dos participantes do mercado a observância das normas setoriais aplicáveis em suas respectivas operações.
Normas setoriais no mercado financeiro
No setor financeiro, as transações são reguladas pelo Banco Central do Brasil (“BCB”), inclusive do ponto de vista da segurança da informação. Para tanto, a Resolução No. 4.893/2021 (aplicável às Instituições Financeiras e demais autorizadas a funcionar pelo BCB) dispõe sobre a Política de Segurança Cibernética e os Requisitos para Contratação de Serviços de Processamento de Dados, Armazenamento de Dados e Computação em Nuvem. Em seus dispositivos, a Resolução 4.893 determina que caberá às instituições em questão criar e implementar uma política de cibersegurança que garanta a confidencialidade, integridade e disponibilidade dos dados que trata, devendo ser compatível com o tamanho e características da instituição, com a natureza e complexidade das operações, bem como com a sensibilidade dos dados envolvidos nas operações (sejam eles pessoais ou não).
Normas setoriais em seguros
Diretamente alinhada com esta Resolução, o setor de seguros e resseguros conta com a Circular No. 638/2021, da Superintendência de Seguros Privados (“SUSEP”), trazendo obrigações e garantias semelhantes, a fim de garantir não só a proteção dos dados dos segurados, mas também levando em conta a necessidade de eficiência e continuidade na prestação destes serviços.
Setor elétrico
No setor elétrico, a Agência Nacional de Energia Elétrica (“ANEEL”) emitiu a Resolução Normativa No. 964/2021, a qual regulamenta diretrizes de segurança cibernética e fixa melhoras práticas no setor. Dentre suas disposições, a Resolução trata da obrigação de se definir e aplicar uma metodologia de avaliação de maturidade regulatória; adoção da segmentação de redes de operação de TI e Internet; adoção de procedimentos de resposta rápida para contenção de incidentes; e adoção de processos de gestão, avaliação e tratamento dos riscos de segurança cibernética.
Telecomunicações
No campo das telecomunicações, há a Resolução No. 740/2020 da Agência Nacional de Telecomunicações (“ANATEL”), mais conhecida como Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações. Aplicável a todos os prestadores de serviços nesse campo, a Resolução tem como objetivo estabelecer condutas e procedimentos para a promoção da segurança nas redes e serviços de telecomunicações. Ainda, em sintonia com as demais normas mencionadas dispositivos, o Decreto No. 8.771/2016 (que regula o Marco Civil da Internet) traz à tona diretrizes sobre padrões de segurança e sigilo dos registros e comunicações privadas (como a necessidade de estabelecimento de controle estrito sobre o acesso aos dados e a previsão de mecanismos de autenticação de acesso aos registros), estas que serão aplicáveis a qualquer provedor de acesso ou conexão atuando na Internet.
Reconhecendo o valor dos dados tanto pessoais como não pessoais enquanto ativos estratégicos, estas normas setoriais, além de trazerem obrigações adicionais a agentes de setores específicos, trazem caminhos para a consolidação de diretrizes concretas alinhadas às melhores práticas de mercado no tema. A inovação digital, sem dúvidas, pressupõe riscos cibernéticos. Por isso, é importante que a LGPD seja interpretada e implementada junto às demais normas setoriais que se fazem presentes, orientando os agentes destes mercados a desenvolver estratégias de cibersegurança aptas a prevenir (e, eventualmente, enfrentar) a ocorrência de incidentes em suas operações.
Leia outro artigo da equipe:
Processos seletivos inclusivos e a LGPD
*Carla do Couto H. Battilana é Sócia nas áreas de Cybersecurity & Data Privacy, Tecnologia da Informação e Propriedade Intelectual de TozziniFreire Advogados.
**Isabella de F. M. S. Pereira é Advogada nas áreas de Cybersecurity & Data Privacy, Tecnologia da Informação e Propriedade Intelectual de TozziniFreire Advogados.
***Miguel Lima Carneiro é Advogado Junior associado à equipe de Cybersecurity & Data Privacy, no âmbito da área Corporate M&A do TozziniFreire Advogados, atuando com Proteção de Dados Pessoais e Propriedade Intelectual no campo empresarial
