LGPD: proteja os dados desde o desenho da aplicação

CB_190806Matteo518-scaled.jpg
Matteo Nava
18/12/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A vigência da Lei Geral de Proteção de Dados (LGPD), desde 18 de setembro, marca uma mudança cultural importante, num cenário político-econômico-social em que é corrente a monetização de dados pessoais — que, nos últimos anos, se tornaram um importante ativo de negócios, para as mais diversas finalidades, que vão desde a venda de mercadorias à maneira pela qual se faz política.

A engrenagem da sociedade da informação e da própria indústria 4.0 exige a conexão global, o processamento em alta escala, a rapidez do processamento de dados de qualquer espécie e a elaboração de algoritmos em aprendizagem de máquina. Essa situação é evidenciada tanto em aspecto macro como no micro, como, por exemplo, durante a compra a crédito e até mesmo com a matrícula em determinado curso. 

A LGPD veio para regular o tratamento dos dados pessoais, após ampla repercussão de empresas de marketing político utilizarem dados pessoais a fim de influenciar eleitores na União Europeia, bem como requisito essencial para que o Brasil passasse a compor a Organização para Cooperação e Desenvolvimento Econômico (OCDE).

A LGPD possui amplo alcance, aplicando-se a todo tipo de empresa e a instituições públicas ou privadas dentro do território brasileiro para todo o caso de tratamento de dados pessoais. Ela atribui novas responsabilidades às empresas e instituições, que agora estão sujeitas a severas sanções administrativas quando houver tratamento que não siga os padrões mais atualizados de segurança da informação, utilização indevida ou qualquer incidente de segurança da informação relacionado ao dado pessoal, bem como o armazenamento dessas informações além do tempo necessário.

Atender aos princípios éticos e legais suscitados pela LGPD exige, além de consciência e organização, aspectos técnicos que assegurem a proteção dos dados pessoais tratados pelas instituições, sejam de clientes, usuários, fornecedores, parceiros ou colaboradores.

Estamos preparados para isso no Brasil? De acordo com a Capterra, empresa pertencente ao Gartner, 61% dos consumidores desconhecem a LGPD e, segundo pesquisa realizada pelo Reclame Aqui, 41,6% dos empreendedores igualmente não sabem do que se trata. Pode-se concluir, portanto, que a maioria das empresas ainda não está pronta, tanto pela inércia dos clientes ao não requisitarem seus direitos, como pela assunção errônea das empresas de que estão em consonância com a lei.

Mas o que significa estar em conformidade para com a LGPD? Em geral, vemos preocupações com a gestão de compliance, controle de logs e revisões contratuais. Esses são fatores essenciais, porém não esgotam nem garantem a proteção de dados. Tratando-se de processos, é preciso atenção ao fato de que, desde a concepção do processo/aplicação, devem ser seguidos procedimentos condizentes com o que os desenvolvedores conhecem como privacy/security by design and default.

O conceito de privacy by design & default conversa com o conceito de security by design & default, mas não são iguais. O primeiro estabelece a adoção das medidas técnicas, organizacionais e salvaguardas necessárias a atender à real finalidade informada ao titular, desde a concepção do processo/produto/tratamento até sua disponibilização ou execução. Consiste em elencar e identificar os riscos e as mitigações relativos a dados pessoais, minimizar sua coleta, observar o período legal de retenção e permitir a acessibilidade pelo titular. Essencial a esse conceito também é a análise de impacto do processo/produto/tratamento a que se aplicam frente aos direitos dos titulares. 

É por meio do princípio de “estado da arte” que privacy by design and default se relaciona ao security by design and default, que, da mesma maneira, prevê a segurança desde a concepção/design de uma determinada aplicação/ambiente tecnológico até sua execução. Aqui, é fundamental observar os manuais de segurança da informação (existentes para cada linguagem de programação) ao codificar a aplicação, e, também, os padrões de desenvolvimento seguro, como o Secure Software Development Life Cycle (S-SDLC), independentemente da metodologia de desenvolvimento aplicada ao caso.

A própria LGPD já indica a possibilidade de que o tratamento realizado sobre dados pessoais poderá ser passível de sanções caso não forneça a segurança que o titular pode esperar, considerando-se a maneira como foram tratados os dados, o resultado do tratamento e os riscos a ele atrelados e, por fim, as técnicas de tratamento utilizadas.

O descumprimento desses princípios pode levar a casos de incidentes de segurança. Esses, por sua vez, acarretam sanções administrativas da LGPD e afetam a credibilidade da empresa. Muitas vezes, os incidentes são consequência do descrédito com relação à governança de segurança da informação. Um exemplo é o desenvolvimento de aplicações, geralmente, em JavaScript, por ser um modo fácil, rápido e econômico de desenvolvê-las, mas que apresenta o sério inconveniente de expor o código-fonte no lado do cliente.

Como observa o pesquisador em segurança Pedro Fortuna, é real o perigo de que um atacante possa usar um debugger do browser para reverter o código e modificar sua lógica para planejar/automatizar ataques de roubo de dados pessoais, comprometendo sua privacidade. Nesse tipo de cenário, o ataque não ocorre nos servidores da empresa, mas diretamente no client-side, podendo acontecer tanto pela engenharia reversa do código como pela injeção de código malicioso — o que permite a realização do ataque. 

A necessidade de proteção ao código-fonte está expressamente declarada nos procedimentos preconizados pela Open Web Application Security Project (OWASP), e pela própria ISO/IEC 27.001, que define: “o código-fonte do programa pode ser vulnerável a ataques se não for protegido de forma adequada e pode fornecer a um invasor um bom meio de comprometer os sistemas de uma maneira frequentemente encoberta”.

Na Europa, onde, desde 2018, está em vigor a General Data Protection Regulation (GDPR), a principal razão de multas (em volume financeiro) é, segundo o website GDPR Enforcement Tracker, medidas insuficientes de segurança. E, entre elas, é claro, inclui-se a inadequada proteção ao código-fonte. Que, somada à falta de segurança no client-side, tem levado a graves ataques de roubo de dados.

Algumas empresas, entretanto, não entendem ser de sua responsabilidade tal proteção, por considerarem que seus ambientes (servidores, bancos de dados, etc.) não foram comprometidos. 

A empresa pode, sim, ser responsabilizada. É o caso da British Airways, que foi duramente multada por descumprimento das regras de proteção a dados pessoais na Europa. A multa, que inicialmente se calculava em 183 milhões de libras (a maior então já anunciada nesse âmbito pelo Information Commissioner’s Office (ICO), a autoridade supervisora da GDPR no Reino Unido) e ficou em £20 milhões, deveu-se à constatação de que entre 240 e 500 mil clientes da British Airways tiveram seus dados “desviados” e, portanto, roubados por hackers. Entre os dados expostos, constavam nomes, endereços, números de cartões de crédito e respectivos códigos de segurança.

Como bem resumiu Elizabeth Denham, à frente do ICO, em entrevista para a BBC britânica: “Os dados pessoais são exatamente isso – pessoais. Quando uma organização falha ao protegê-los contra perdas, danos ou roubo, não se trata de um mero inconveniente”.

Matteo Nava, fundador e CEO da Berghem-Smart Information Security.

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest