Blog

Proteção de dados pessoais, segurança informacional e cifragem de dados

Escrito por

27 de agosto de 2018

Para a comunidade acadêmica e de profissionais que lidam com a proteção da privacidade, bem como para a sociedade em geral, 2018 já é um ano para celebrar uma série de conquistas para a institucionalização da proteção de dados pessoais: (i) a modernização do primeiro instrumento internacional vinculante em matéria de tratamento de informações pessoais, a Convenção 108 do Conselho da Europa, se deu em 18 de maio pela aprovação do Protocolo de Alteração; (ii) o Regulamento Geral de Proteção de Dados Pessoais (GDPR) da União Europeia entrou em vigor em 25 de maio; (iii) em 22 de junho a Suprema Corte dos Estados Unidos da América proferiu decisão no caso Carpenter v. United States, que formou um precedente cujas razões e abrangência o tornam tão importante para a constitutional privacy e para a doutrina da Quarta Emenda na era digital, como foram as decisões de Olmstead e Katz na era analógica; (iv) em 28 de junho, poucos dias depois, foi aprovado o California Consumer Privacy Act of 2018, com técnica legislativa e conteúdo que a aproxima do Regulamento Europeu; e (v) a aprovação da 128ª lei nacional de proteção de dados, que, após a sanção do Presidente do Brasil, se tornou para os brasileiros a Lei n. 13.709, de 14 de agosto de 2018 – a entrar em vigor no dia 16 de fevereiro de 2020.

No entanto, deve se ter em mente que muitos desses avanços têm um elemento reativo como força propulsora. O ano 2018, até então, tem sido marcado também por massivos vazamentos de dados. O maior deles ocorreu em janeiro, quando a Tribune News Service denunciou a existência da falha no sistema indiano de identidade única Adahaar, gerido pela Unique Identification Authority of India (UIDAI). Pagando a vendedores anônimos no WhatsApp 500 rúpias – equivalente a 7,14 dólares norte-americanos -, repórteres do jornal conseguiram ter acesso a dados dos mais de 1 bilhão de cidadãos indianos cadastrados no sistema de informações biométricas e demográficas: acessava-se irrestritamente dados como nome, endereço residencial, foto, número de telefone e e-mail.

Outro caso recente de vazamento de dados ocorreu em Singapura. Em 20 de julho, autoridades do governo singapurense anunciaram o maior vazamento de informações pessoais da história do país: um ataque cibernético direcionado aos sistemas informacionais do grupo SingHealth resultou na exposição dos dados (nome, endereço, gênero, raça, data de nascimento e número de Registro Nacional de Identidade) de aproximadamente 1,5 milhão de pacientes que consultaram nas clínicas e policlínicas do grupo, entre 01 de maio de 2015 e 04 de julho de 2018. Além disso, os autores do ataque extraíram informações de prescrição médica de 160.000 pessoas, inclusive do primeiro ministro de Singapura, Lee Hsien Loong.

Lei de proteção de dados pessoais e segurança informacional

Sem o emprego de técnicas de segurança informacional, o direito à proteção dos dados pessoais previsto no estatuto legal fica reduzido ao frio texto da lei, sem real efetividade. A segurança da informação é elemento essencial para se conferir aos titulares dos dados pessoais objeto de tratamento o controle e gestão sobre suas próprias informações – o que se denonima autodeterminação sobre a informação (ou autodeterminação informativa) desde a decisão do Tribunal Constitucional Federal alemão sobre a Lei de Recenseamento de 1983 (BVerfGE, 65/1).

Não é por outra razão que o texto da lei de proteção de dados pessoais brasileira prevê entre os seus princípios o da segurança. De acordo com o artigo 6º, VII, da lei, os agentes de tratamento de dados pessoais devem observar tal princípio, que preceitua a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

O fato de constituírem pressuposto e elemento essencial à proteção de dados faz as técnicas de segurança informacional colocarem em destaque: (i) as dimensões individual e coletiva da proteção dos dados pessoais, visto que sem implementação de ações de segurança de dados o titular das informações tem sua autodeterminação informacional diluída, e os casos de vazamentos afetam coletividades inteiras, o que demanda a atuação de entes fiscalizadores no papel de ombudsman; (ii) que, em havendo falha nas medidas de segurança, pode-se criar uma demanda de coleta e tratamento ainda mais intensa de dados pessoais para serviços que repousam sobre dados que foram expostos – como já se fala no caso SingHealth em relação a serviços bancários, e possivelmente pode ocorrer no caso do Banco Inter, no Brasil. Haveria aí, a bem da verdade, uma colisão com o princípio da necessidade ou da minimização de dados (Lei n. 13.709/2018, artigo 6º, III).

Cifragem de dados, pseudonimização e privacy by design

No Brasil, os agentes de tratamento de dados pessoais terão, a partir de 16 de fevereiro de 2020, o dever de adotar práticas e medidas de segurança aptas, de acordo com o estado da técnica, a resguardar as informações de natureza pessoal contra acessos não autorizados, destruição, ou outros riscos e tratamentos ilícitos. É o que decorre do artigo 46 da Lei n. 13.709/2018.

De semelhante modo, prescreve o Regulamento n. 679/2016 da União Europeia em seu artigo 32, o dever de responsáveis e operadores do tratamento de dados implementarem adequadas medidas técnicas e organizacionais de segurança informacional. O GDPR, contudo, possui detalhamento maior do que o texto da lei brasileira. A normativa europeia adotou um risk-based approach, considerando a gradação ou nível de risco causado pela atividade de tratamento de informações pessoais a direitos e liberdades fundamentais dos titulares dos dados na modulação do regime aplicável e ações de compliance.

Sendo assim, os agentes de tratamento de dados pessoais devem ter em consideração, além das técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas naturais, ao aplicar as medidas adequadas para assegurar um nível de segurança correspondente ao risco.

Ênfase pode se dar a duas medidas: cifragem (ou encriptação) e pseudonimização de dados.

As técnicas criptográficas, tão fundamentais que são à segurança computacional, receberam expressa menção do legislador europeu (e.g., artigos 25, 1, 32, 1). A implantação de protocolos criptográficos como a criptografia ponta a ponta, e o uso funções hash criptográficas, são estimuladas pelo GDPR, notadamente na promoção do tradicional objetivo da criptografia: a confidencialidade. A cifragem de dados como medida de segurança informacional a ser adotada, deve ser precedida de avaliação de riscos gerados pela atividade de tratamento em questão. Nos termos do Considerando n. 83 do Regulamento:

[…] Essas medidas deverão assegurar um nível de segurança adequado, nomeadamente a confidencialidade, tendo em conta as técnicas mais avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a segurança dos dados, deverão ser tidos em conta os riscos apresentados pelo tratamento dos dados pessoais, tais como a destruição, perda e alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos físicos, materiais ou imateriais.

Uma das formas de utilização das técnicas criptográficas como medida de segurança para proteção de dados pessoais é pela pseudonimização. Segundo o Grupo de Trabalho de Proteção de Dados do Artigo 29, “pseudonimização consiste em substituir um atributo (tipicamente um atributo único) em um registro por outro” (Parecer 05/2014); seria um processo de mascaramento ou disfarce (disguising) de identidade (Parecer 04/2007). Isso se dá de forma que as informações deixam de poder ser conectadas a um titular de dados específico sem recorrer a informações suplementares, desde que estas sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa natural identificada ou identificável (GDPR, artigo 4º, 5).

No famoso caso da base de dados da AOL divulgada publicamente na internet em 2006, com 20 milhões de termos de pesquisa de usuários do seu motor de busca, houve uma pseudonimização na verdade, e não anonimização dos dados. Um exemplo, entretanto, de aplicação da criptografia na pseudonimização de dados pode ser encontrado no campo da pesquisa científica médica. A fim de se respeitar a privacidade de sujeitos da pesquisa e tratar dados com segurança e de modo útil à investigação científica, a cifragem de certos atributos originais para a de-identificação de informações sobre pacientes, é opção aventada para estudo de radiologia clínica. Apenas os pesquisadores responsáveis terão as correspondentes chaves criptográficas para acessar os dados originais (plaintext).

Muito embora a lei brasileira (n. 13.709/2018) não disponha expressamente sobre técnicas criptográficas, e mencione a pseudonimização somente no contexto do tratamento de dados sensíveis para o fim de pesquisa na área da saúde (artigo 19, § 4º), ambas devem ser interpretadas e aplicadas como concretização do princípio da segurança, e adotadas em função dos riscos envolvidos pela atividade de tratamento de dados desenvolvida. A isso se deve somar, ainda, que as duas medidas são adequadas à realização do imperativo da privacidade desde a concepção (privacy by design), consagrado tanto no marco normativo europeu (artigo 25, 1) como na legislação brasileira (artigo 46, § 2º)

Considerações finais

Sem adequado nível de segurança informacional conformado por medidas pertinentes e eficazes, a proteção de dados pessoais na prática se torna inefetiva. E num contexto de crescente difusão das tecnologias digitais e avanço da Internet das Coisas, a necessidade de segurança e implementação de medidas adequadas aos riscos envolvidos no tratamento de informações pessoais é cada vez mais crítica – o caso SingHealth é sintomático.

Para a realização do direito à proteção de dados pessoais em todas suas dimensões,  e das liberdades fundamentais que nele confluem na sociedade da informação, a interpretação e aplicação da lei de proteção de dados pessoais – Lei n. 13.709/2018, para nós brasileiros – deve ser orientada à promoção da adoção de medidas de segurança, notadamente a cifragem de dados, e ao cuidado pelo cumprimento das obrigações dos agentes responsáveis pelo tratamento de informações. Importante salientar que para isso a presença e atuação de uma autoridade de proteção de dados com competências fiscalizatória e sancionadora é imprescindível. A necessidade desse tipo de autoridade no Brasil é já uma urgência.

As opiniões e perspectivas retratadas neste artigo pertencem a seus autores e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.

Escrito por

Ex-membro

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *