Sign up to save your podcasts
Or
Share Episódio #371 – 1º Encontro de Encarregados da ANPD
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Episódio #371 – 1º Encontro de Encarregados da ANPD
Neste episódio comentamos as novidades do Encontro ANPD de Encarregados, no qual você irá descobrir as novas diretrizes da autoridade, o papel estratégico do DPO e como funciona a gestão de incidentes de segurança com dados pessoais.
Guilherme Goulart traz uma análise aprofundada do primeiro Encontro de Encarregados promovido pela ANPD, um marco para a proteção de dados no Brasil. A discussão explora a importância da autonomia do encarregado e os desafios para evitar o conflito de interesses, conforme o novo regulamento do encarregado. Abordamos a gestão de incidentes e a segurança da informação, indo além do vazamento de dados para incluir integridade e disponibilidade. O debate cobre a conformidade com a LGPD, o papel preventivo do DPO em cibersegurança, sua atuação em violação de dados e a necessidade de garantir a privacidade desde a concepção. Assine nosso podcast, siga-nos e avalie este episódio para apoiar nosso trabalho.
Ajude as vítimas de enchentes no RS (Sugestões de doações via PIX, Sugestões de outras instituições recebendo donativos)
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria
ShowNotes
Imagem do Episódio – Bell Vilanova
📝 Transcrição do Episódio
(05:17) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme. Olá aos nossos ouvintes. Tudo bem. Hoje estamos ao vivo. Sim, claro que você que nos ouve pode nos ouvir daqui a 100 anos, mas estamos fazendo aqui uma experiência, dá para se dizer, de transmitir a nossa gravação enquanto ela é feita.
(05:57) Então, eventualmente, você pode também estar nos assistindo ao vivo, mas é sempre bom lembrar que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Para isso, estamos à disposição dos ouvintes pelo Twitter (ou X) @segurancalegal, pelo e-mail [email protected], YouTube.com/segurancalegal
(06:24) e o Mastodon no @[email protected]. Também temos a nossa campanha de financiamento coletivo no Apoia.se: apoia.se/segurancalegal. A gente sempre conclama os ouvintes e as ouvintes que considerem apoiar. Isso é bem importante para a gente, apoiar esse projeto de produção de conhecimento independente que trata sobre esses temas tão queridos pela comunidade que nos acompanha. Certo, Vinícius? E lembrando que você nos apoia também divulgando o nosso trabalho. Então, se puder compartilhar, no caso aqui do YouTube, dar like, ativar o sininho,
(07:03) se inscrever, aquela coisa toda, para nós é muito bom. Inclusive, Guilherme, aproveitando a oportunidade, a gente está fazendo uma série de vídeos que chamei de “Conversa sobre Segurança”, por enquanto, que eu tenho feito ao vivo. Tem sido todas as terças-feiras, às 8 da noite, aqui no canal do Segurança Legal, falando sobre segurança da informação, fundamentos de segurança e alguns outros assuntos que estou preparando para as futuras. A gente não divulgou ainda a da próxima semana,
(07:35) provavelmente a gente vai fazer na segunda-feira, mas estamos produzindo mais conteúdo no YouTube para a gente movimentar um pouco mais o nosso público no Segurança Legal.
(07:49) Ótimo, ótimo. Vamos falar sobre o encarregado de proteção de dados, Vinícius? Na verdade, eu vou falar agora inicialmente, porque senão o Guilherme vai segurar muita coisa. O Guilherme, para o pessoal que nos acompanha, aqueles que já nos acompanham há alguns anos no Segurança
(08:07) Legal sabem disso, e aqueles que de repente estão chegando agora não sabem, mas o Guilherme está envolvido nesse cenário de proteção de dados pessoais há muito tempo. Há quantos anos, mais ou menos, Guilherme, desde que começou a estudar esse tema? Mais de 10 anos mesmo. Quando era ainda um anteprojeto, a gente já estava dialogando. Mas a minha própria dissertação de mestrado envolveu segurança da informação e um pouco de proteção de dados também.
(08:41) E depois o doutorado seguiu. Pelo menos desde 2009, mas antes, inclusive, eu estou estudando proteção de dados. Guilherme, está com um pouquinho de estática teu microfone. Eu vou fazer o seguinte: vou passar para a cena em que estou só eu, que o teu áudio fica fora, e aí tu dá uma mexidinha no microfone. Eu vou falar um pouquinho e vou voltar, tu não tem muito tempo. Tá bom, vai lá. Beleza. Então, como ele me disse, está desde o mestrado dele estudando isso, fez o doutorado dele,
(09:11) foi nessa direção. O Guilherme participou de algumas reuniões lá em Brasília na época em que era o anteprojeto de lei, justamente para discutir o que viria a ser depois o projeto e depois a LGPD, a Lei Geral de Proteção de Dados Pessoais. Então, o Guilherme circulou bastante e circula bastante nesse cenário há algum tempo. Ele não começou a atuar, digamos assim, quando a LGPD entrou em vigor. Já faz algum tempo. Foi muito interessante. Ele já vinha mantendo contato com o pessoal da ANPD, tem algumas pessoas que a gente conhece lá, algumas
(09:48) pessoas de outras instituições que a gente já tinha contato antes. Um contato muito forte que o Guilherme tinha era com o Danilo Doneda, nosso amigo Danilo Doneda, que infelizmente já não está mais conosco. Inclusive, tem um episódio não numerado lá na lista de episódios do podcast dedicado ao Danilo. E o Guilherme, agora, justamente por esse envolvimento dele… Inclusive, uma pessoa, eu fiquei até com um pouquinho de inveja, Guilherme, um pouquinho de ciúme.
(10:23) Eu esqueci o nome dele que estava conduzindo a mesa de vocês. Ele chamou vocês de “celebridades da proteção de dados no Brasil”. Embora eu tenha a tua assinatura no contrato social da empresa, eu gostaria de um autógrafo teu em algum outro momento, se possível. Acho que tu assinou também, claro, como padrinho, a certidão de casamento no cartório. Mas eu gostaria de um autógrafo teu, agora que o senhor é uma celebridade em proteção de dados pessoais.
(11:03) O Guilherme foi convidado, então, há algum tempo. A gente não pôde divulgar antes porque tínhamos que aguardar a ANPD organizar as coisas, o próprio evento, para a gente não se antecipar à própria organização do evento, por óbvio. O Guilherme já foi convidado há algum tempo a falar nesse evento que aconteceu no dia primeiro de agosto. Então, foi na semana passada. Parece que faz mais tempo. E para falar sobre a
(11:31) questão de proteção de dados pessoais no que diz respeito à incidência e segurança. Acabou que foram várias mesas, foram quatro mesas, né, Guilherme? Duas de manhã e duas à tarde. Foi bem interessante. Eu não fui. Eu ia, mas a logística ficou meio zoada. O Guilherme já teve que fazer uma volta para ir de Porto Alegre para Passo Fundo, pegar avião em Passo Fundo, descer em Brasília, voltar de Brasília, aí pelo menos para Canoas, deu para descer mais pertinho. E acabou que o evento foi muito interessante. O Guilherme vai
(12:07) trazer as impressões dele, a gente vai comentar um pouquinho sobre o que ele viu lá. Eu assisti ao evento no YouTube. Quem quiser assistir, vai estar no link aqui da descrição do vídeo e lá no episódio também do Segurança Legal, no nosso feed. Está lá o evento na íntegra, então você pode assistir tudo, inclusive os intervalos para o almoço e para o cafezinho. Eu assisti tudo para acompanhar. E aí, Guilherme, nós gostaríamos, não sei se em primeira mão, de um relato do que tu viu no evento, o que
(12:41) tu achou, como é que foi a importância. Agora a gente vai entrando no assunto. Vamos embora. Eu queria também, em primeiro lugar, agradecer ao pessoal da ANPD, sobretudo na pessoa do David Teófilo, que é um amigo nosso que trabalha lá e que fez essa intermediação para a minha presença, mas também a diretora Miriam Wimmer, com quem conversamos um pouco, falamos sobre inteligência artificial. Ela foi uma
(13:16) moderadora, inclusive, da mesa de Inteligência Artificial. Esse evento ocorreu de fato no dia primeiro, foi o primeiro encontro dos encarregados. E eu pude notar algumas coisas, posso contar esses aspectos de quem estava próximo. O próprio pessoal da ANPD destacou que foi uma audiência muito grande. As vagas presenciais se esgotaram em pouquíssimo tempo. Então, eles utilizaram um belo auditório, que é o auditório da ENAP em Brasília, a Escola Nacional
(13:55) de Administração Pública, se não me engano a sigla. E a gente conseguiu ver a presença de muitos encarregados, muitas pessoas de outros lugares do país, o pessoal com as suas malinhas. O evento lotou. Não tinha mais espaço, então eles colocaram um telão em outro local para as pessoas que estavam lá e não conseguiam ficar no espaço, porque foi muita gente. Então, você conseguia assistir lá por um telão também. E acho que foi um
(14:30) primeiro evento de monta trazido pela ANPD, que permitiu que nós, os encarregados principalmente, tivéssemos um contato mais direto com a autoridade. A gente sabe que a ANPD vem desempenhando suas atividades, principalmente nessa atividade mais reguladora, criando uma série de normas. Na semana anterior ao evento, foi lançado o regulamento do encarregado. Inclusive, uma das mesas
(15:06) falou sobre isso, que foi a mesa um, o lançamento do regulamento dos encarregados. Muito interessante, foi uma mesa exclusivamente com os servidores da ANPD. Então é interessante para a gente ver quem são as pessoas por trás da ANPD, como elas pensam. Nesse aspecto, foi bastante interessante. E foi também uma forma, me parece, Vinícius, de o pessoal da ANPD dar um certo “abraço” nos encarregados, porque os encarregados desempenham essa função
(15:44) que é a ponta de todo o sistema de proteção de dados. Acho que muitas empresas, muitos agentes de tratamento, não se deram conta disso ainda: que o encarregado é um cargo previsto por lei, ou seja, não é mais uma opção. Claro, você tem os agentes de pequeno porte que podem não indicar o encarregado, mas ainda assim a indicação é uma boa prática. Mas para aqueles que têm a obrigação de fazer essa contratação, nós temos a presença do encarregado como uma determinação
(16:27) legal, e isso não é pouca coisa na nossa ordem. Nós não temos isso na segurança da informação, por exemplo, né, Vinícius? Poderíamos ter leis internas de segurança da informação que poderiam estabelecer um determinado cargo, um “delegado” dentro da instituição para cuidar da parte de segurança. Com a proteção de dados, nós temos isso. Então, me parece que foi um passo muito importante, porque a ANPD precisa do encarregado. O encarregado, se a gente
(16:58) for comparar com a questão dos certificados, é quem entra em contato diretamente ou quem vai ser contatado diretamente, seja pelo titular dos dados pessoais, e que também vai ser o elo entre o agente de tratamento e a própria ANPD. Então, ver a ANPD falando sobre os encarregados, descrevendo algumas de suas tarefas, respondendo perguntas, divulgando esse regulamento do encarregado, foi uma experiência bastante interessante.
(17:31) E dedicando esse primeiro evento, o primeiro evento desse nível, desse porte, justamente à figura do encarregado. Não foi sobre aspectos gerais, foi especificamente sobre o encarregado.
(17:47) É verdade, é verdade. E acho que valorizou e valoriza, porque a gente sabe que no Brasil ainda há uma certa, por incrível que pareça, resistência em relação à LGPD por parte de uma série de empresas. A minha presença lá na mesa sobre incidentes de segurança com dados pessoais, que foi a mesa da tarde… Eu até vou ler
(18:17) rapidinho, Vinícius, as mesas, o nome das mesas. Tivemos, depois do café, uma mesa de abertura com uma representante da ENAP e o presidente, diretor-presidente Waldemar Gonçalves, e a Lilian Cintra, do Ministério da Justiça. Depois, uma mesa com o lançamento do regulamento do encarregado, só com o pessoal da ANPD. Depois, uma mesa sobre o papel e responsabilidades do encarregado, e aí tinha a ANPD, Sebrae, Ministério da Fazenda e uma representante do Nubank. As duas empresas que acabaram
(18:53) representando o setor privado no evento foram o Nubank e a BrownPipe. Eu fui representando tanto a BrownPipe quanto o Segurança Legal, o podcast que vocês estão ouvindo agora. A mesa 3, então, foi a com incidentes de segurança, moderada pelo Fabrício Lopes da ANPD, com a Cristine Hoepers do CERT.br/NIC.br, que eu conhecia de nome, mas não conhecia pessoalmente, então foi bastante legal conversar com ela. É uma gênia da segurança da informação. Inclusive, ela foi colocada no Hall da Fama da
(19:30) resposta a incidentes do mundo, ela realmente é uma pessoa muito qualificada. Eu, o Leonardo Ferreira, do Ministério e da Secretaria de Governo Digital, e a Maria Lúcia Valadares, da Anatel. Muito interessante a fala da Maria, claro, de todos eles, mas a Maria colocou uma coisa: ela já está há bastante tempo, muitos anos, trabalhando com segurança e com proteção de dados, e ela conversava comigo também sobre o papel da Anatel acerca da proteção de dados, que é muito grande. A Anatel,
(20:08) por exemplo, foi uma precursora na própria questão da portabilidade. Hoje, a gente tem na LGPD o direito à portabilidade, e a Anatel foi precursora nesse sentido, por permitir no Brasil essa questão da portabilidade numérica. E aí, eu participei, claro, dessa mesa 3 dos incidentes também. E depois, à tarde, depois do café, tivemos uma mesa falando sobre inteligência artificial e proteção de dados pessoais. Essa mesa foi moderada
(20:43) pela Miriam Wimmer, e foi uma coisa muito interessante e legal, porque foi uma mesa composta só por mulheres. Tinha a Ana Paula Bialer da Brasscom, a Fernanda Rodrigues do nosso querido Iris, a Laura Schertel do IDP e da UnB, a Samara Castro da Secom e a Tainá Junquilho, também do IDP. Inclusive a Laura Schertel Mendes, que é, sem dúvida, ela e o Danilo eram os “pais” da proteção de dados no Brasil. Ela é, sem dúvida, uma das pessoas, junto com o Zanata, com o Bruno Bioni,
(21:24) mais relevantes na produção científica no Brasil de proteção de dados pessoais. E foi muito legal, se destacou muito isso, a presença das mulheres no evento. A ANPD foi muito feliz em promover essa questão da paridade, sabe? Aquela questão de você ter o cuidado de sim, trazer mulheres, e sim, fazer uma mesa só de mulheres. Isso me chamou atenção de uma forma muito positiva. Inclusive, na mesa de encerramento, o diretor-presidente Waldemar comentou que a ANPD hoje tem
(21:57) mais servidoras do que servidores, e isso é bastante relevante, bastante interessante. Então, foi um evento também, nesse aspecto, bastante diverso. Basicamente, foi um pouco do que aconteceu. Não sei se tem mais alguma dúvida, algum outro aspecto mais específico que tu queiras perguntar, senão a gente pode falar já sobre o tema da gestão de incidentes.
(22:21) Me chamou a atenção, como eu assisti tudo com calma, voltando em alguns aspectos, eu destaquei umas coisas que me chamaram a atenção, da mesa 1 principalmente, que foi a mesa
(22:38) composta só pela equipe da ANPD. A mesa que abriu os trabalhos, a do regulamento. E eles chamaram a atenção, o próprio presidente da ANPD chamou a atenção para o seguinte: não há uma certificação para o encarregado. A gente comentou isso várias vezes, por diversas situações que parecia que estava se criando no mercado uma necessidade de certificação, uma coisa que não existe. A própria ANPD colocou que não existe, a gente já sabia
(23:14) disso, a gente já falou sobre isso, já comentou no podcast mais de uma vez. E ele chamou a atenção para a importância de se estudar o tema. Então, muitas vezes a gente acha que um selo dado por alguém diz: “não, esse cara tem competência nesse assunto”. Mas, na verdade, estudar um assunto, ter domínio sobre uma determinada área, exige anos de estudo. Não é um curso que vai te dar alguns tópicos, depois te dar uma prova e tu vai fazer a prova e dizer “passou, tem um selinho”. Esse é um ponto que
(23:54) me chamou atenção, o próprio presidente da ANPD colocando isso. Outra coisa, Guilherme, que talvez tu queiras falar, mas com cuidado para não tomar muito tempo, é a questão de conflito de interesses. Eles chamaram a atenção para isso. E a questão de independência, a questão de autonomia do encarregado
(24:25) para exercer sua função. Me chamou a atenção que isso também foi frisado nessa primeira mesa. A necessidade do encarregado ser, obviamente, formalmente indicado e, além disso, ele estar livre de conflitos de interesse. Inclusive, foi feita uma pergunta para a mesa se o fato de o encarregado ser também o responsável pelo RH seria um conflito de interesses. E a resposta do representante da ANPD lá foi: “na verdade, vai depender, a gente vai ter que analisar o caso concreto”.
(25:03) Vai ter que analisar o caso concreto, mas que sim, pode gerar um conflito de interesses, à medida que, de repente, o RH pode decidir fazer um determinado tratamento que não deveria ser feito, mas porque o RH acha que deve. E como é a mesma pessoa… Perfeito. Então, isso me chamou a atenção. Dando um intervalinho aqui, dando boa tarde para o Rubens Padovesi. Lembra desse nome? Claro, sempre ativo no nosso grupo. O Rubens Padovesi está nos acompanhando. Grande abraço, seja bem-vindo, Rubens. Isso me chamou a atenção. Outra coisa que eles frisaram,
(25:45) que eles chamaram a atenção, foi para o sistema de petições para titulares de dados lá no site da ANPD. É um sistema que eles implementaram para que os titulares possam fazer demandas a encarregados de qualquer empresa, se você tiver tentado a demanda anteriormente e não tiver conseguido êxito, resposta. Então, você pode entrar lá na ANPD e fazer um peticionamento contra uma determinada empresa,
(26:25) solicitando o atendimento aos seus direitos como titular. Porém, você tem que informar, no momento em que você vai fazer a petição, você tem que demonstrar que você já tentou entrar em contato com a empresa e a empresa não respondeu via encarregado. O que é bem interessante, porque de repente, se você não tem um encarregado ou não tem uma forma que esteja funcionando para receber essas demandas dos titulares na sua empresa, alguém que tente uma vez já pode abrir uma petição na ANPD. E aí, quem vai pedir vai ser a ANPD. Quem pede aí é a ANPD.
(27:08) É bem interessante. Eles comentaram com relação a esse sistema que eles colocaram lá. Isso foi da primeira mesa, não vou citar mesa por mesa aqui. Mas, na mesa em que estava o pessoal da Anatel e do Nubank, o que comentaram? Teste de phishing, ou seja, treinar os funcionários das empresas para que eles não caiam em phishing e aí se tornem vetores
(27:51) para a geração de incidentes. Uma vez que cai em um phishing, um atacante pode fazer várias coisas dentro da rede da empresa ou nos sistemas acessados pela empresa. Foi comentado isso nessa mesa. E teve também um comentário, nessa mesa também, de não focar tanto em ferramenta. Foi a DPO da Anatel que falou. Ela vê o pessoal focando em ferramenta, fazendo, inclusive, licitações para
(28:35) ferramentas caríssimas e não fazem o básico, o fundamental, que é ter uma boa política, ter o encarregado, ter trabalho de conscientização dos funcionários e várias outras coisas que são, talvez, muito mais baratas do que algumas ferramentas que têm no mercado por aí. Então, ela chamou a atenção para isso. E, na visão dela, ela também deu um toque no sentido de que ela vê que falta ainda no mercado, embora tenha várias pessoas que tu mesmo conheces, Guilherme, que têm essa característica, falta gente do Direito que entenda
(29:15) de TI. E há, obviamente, um gap no sentido contrário também. O pessoal de TI, desenvolvimento de software, etc., que considere ou que tenha um entendimento mínimo da LGPD para já integrar isso nos requisitos dos seus softwares, além das questões de segurança propriamente ditas, que são mais amplas. Lembrando o que tu mesmo falou, eu vi isso na tua fala e pensei: “esse é o Guilherme, esse é o meu colega”. Quando falou: “olha, pessoal, todo mundo falando em vazamento de
(29:51) dados, vazamento de dados, vazamento de dados, mas a LGPD não demanda apenas a confidencialidade dos dados”. Então, não é só vazamento de dados que é incidente de segurança. Tem toda a questão da disponibilidade, da integridade desses dados. São todos os atributos de segurança que são necessariamente envolvidos ali. Nós temos um vídeo aqui no canal sobre os atributos de segurança da informação. Depois, pode só catar lá na abinha “Ao vivo” que você vai encontrar. E podcast também, temos um episódio gravado, devia ter sido
(30:24) gravado há uns 10 anos. Eu vou procurar agora, enquanto tu falas, que eu vou passar para você falar sobre os incidentes de segurança.
(30:33) Não, eu queria também dar uma comentada nesses aspectos que você colocou. Embora a nossa mesa fosse para falar sobre a questão da segurança e o papel do encarregado, não tem como deixar de falar sobre o papel geral do encarregado e sobre como esse cargo se coloca na nossa ordem brasileira. É muito importante destacar que, quando a gente compara com o modelo europeu, pelo GDPR, o
(31:02) encarregado sequer pode ser despedido pela realização de suas atividades. Ou seja, o encarregado, pela legislação europeia, seria quase como um “cipeiro” aqui no Brasil, o cara da CIPA. Aqui nós não fomos tão longe, mas estabelecemos alguns critérios e requisitos. Essa questão da certificação precisa ser dita, que foi colocada no próprio regulamento. Se a gente for lá no Artigo 14: “O exercício da atividade do encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou
(31:46) formação profissional específica”. Ou seja, a autoridade deu uma certa abertura e autonomia para os agentes de tratamento escolherem e selecionarem seus encarregados. E essa questão do estudo que você destacou, Vinícius, é muito verdadeira, e também foi destacado lá que exige um estudo contínuo. Nós mesmos, eu que estudo esse tema já há bastante tempo, toda vez que sai uma norma nova, você precisa aprender e estudar aquela norma nova. Então, até as pessoas que estão estudando há bastante
(32:20) tempo o tema não podem parar. É um tema em franca ebulição, assim como ocorre em mercados regulados, sei lá, Banco Central é a mesma coisa. Você precisa manter uma atenção para essas novidades regulatórias que vão acontecendo. Tem esse aspecto que foi na lei e a própria questão da certificação, que a gente viu pessoas no mercado colocando falsas necessidades ou certas certificações que eram, maliciosamente às vezes, colocadas para se demonstrar como uma certificação obrigatória. Então, é uma resposta a isso, claro, quem está dizendo sou eu, não a autoridade, mas ao
(33:03) ler a norma e conhecer o contexto passado, você vê que é uma resposta àquilo. E a própria questão da formação profissional, porque são muitos os contextos e muitas as situações de empresas que vão ter o encarregado. Você pode ter desde uma empresa muito pequena, não que seja uma de pequeno porte, mas um agente de tratamento de pequeno porte, mas uma empresa que precise ter o encarregado porque realiza uma atividade, sei lá, com crianças, mas ainda assim é uma
(33:36) pequena empresa e precisa ter esse encarregado que vai realizar uma série de tarefas ou que tem uma atividade, sem dúvida nenhuma, interdisciplinar. E o que é essa interdisciplinaridade? Bom, ele vai precisar conhecer a LGPD, os regulamentos existentes colocados pela própria ANPD, ele vai precisar conhecer um pouco de tecnologia da informação. “Ah, mas Guilherme, tratamento de dados pessoais não é só com TI, eu tenho tratamento de dados pessoais em papel”.
(34:17) Sim, é verdade. Mas, ao mesmo tempo, é verdade que a grande maioria das atividades envolvendo dados acaba sendo digital. E o papel vai indo para o “beleléu” aos poucos. As próprias instituições de ensino, por exemplo, o MEC já exige que tudo seja nato digital. Já está valendo. Não pode mais ficar emitindo documento acadêmico em papel para o ensino superior. Então, já tem um movimento que vem de vários anos de cada vez mais ir para o eletrônico. O próprio governo, o pessoal do
(34:54) gov.br estava lá. Eles estão falando que têm mais de 4.000 serviços hoje vinculados. A coisa é cada vez mais digital. O documento do carro tu não recebes mais em papel, tu recebes eletrônico. Então, a gente está indo cada vez mais para o eletrônico. Para destacar que não é uma condição necessária o tratamento de dados em relação à TI, só para deixar isso marcado. E ainda, esse encarregado vai precisar conhecer também um pouco de segurança da informação nesse contexto, ou de cibersegurança.
(35:33) E aí, claro, você vê que, e isso é uma coisa muitas vezes deixada de lado, o encarregado não somente pode, como deve, e na maior parte dos contextos isso funciona, o encarregado pode precisar de uma equipe. Se ele não tiver todas essas competências, precisará de uma equipe que atuará junto com ele. Não me parece… Eu até conversava com alguns encarregados e pessoas da mesa, algumas pessoas falando: “Ah, porque criamos o e-mail do encarregado
(36:09) em algum órgão público qualquer. E aí, todo dia de manhã, minha primeira atividade de trabalho é ler, sei lá, 200 e-mails que me chegam para o e-mail do encarregado, sendo que, sei lá, 10% são coisas diretamente relacionadas com o papel do encarregado, todo o restante não tem nada a ver”. Veja, o encarregado não precisa fazer esse tipo de tarefa. Ele pode muito bem delegar essas tarefas e utilizar seu tempo para aquilo que é realmente relevante, ou ainda se consultar. Essa é outra coisa importante. E isso está no próprio
(36:46) regulamento do encarregado, lá no Artigo 10: “O agente de tratamento deverá prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos”. E essa foi uma coisa que eu bati bastante, eu quis deixar isso muito claro: os agentes de tratamento precisam dar condições para o encarregado trabalhar. E essa não é só uma necessidade evidente, qualquer cargo na empresa precisa ter condições para a pessoa trabalhar, mas isso é uma
(37:24) imposição regulamentar. A Autoridade Nacional de Proteção de Dados estabeleceu requisitos para o cargo. Ou seja, o agente de tratamento, ao contratar o encarregado, deve, por exemplo, permitir que ele tenha tempo para realizar suas atividades. E isso talvez seja um dos maiores desafios para os encarregados diante das próprias empresas, que muitas vezes não dão tempo para o encarregado trabalhar. Elas deixam o encarregado mergulhado em uma série de atividades, às vezes compartilhando o cargo com outras funções dentro da empresa,
(38:09) e até mesmo criando potenciais conflitos de interesse, e o sujeito não consegue trabalhar. Veja que isso já é uma situação de violação do sistema geral de proteção de dados no Brasil. Na Europa, isso é muito forte, muito marcado. Eu falei sobre um caso de Luxemburgo em que a autoridade lá verificou que a empresa não dava condições para o encarregado trabalhar. Olha que interessante. Porque não é o encarregado que vai responder nessas situações, quem vai responder é o
(38:46) agente de tratamento. Então, quando o agente de tratamento não dá condições para o encarregado trabalhar, ele, na verdade, está dando um tiro no próprio pé, porque no final das contas, o fato do encarregado não conseguir realizar sua atividade com o tempo e com os recursos que ele necessitaria pode culminar em uma sanção que, no final das contas, vai atingir o agente de tratamento. E aí sim, os próprios sócios desse agente de tratamento, diretores, sócios-administradores que eventualmente poderiam até ser responsabilizados
(39:23) diante de situações em que, propositalmente, o sujeito não deixa o encarregado trabalhar. E veja, só tem que ter um cuidado. “Maliciosamente” eu acho que é melhor colocar “propositalmente”, porque maliciosamente seria uma coisa assim: “ah, vou fazer isso para dar porcaria mesmo”. Mas não é. Às vezes, tu colocas outras questões do negócio como prioridade e quer assumir o risco. E o encarregado, e até por isso que ele é meio “CIPA”, ele
(40:00) não pode ser desligado, tem que gozar de uma certa proteção, porque esse cara é obrigado a chegar para o board da empresa e dizer: “Olha, essa operação aqui, esse tratamento que a gente está fazendo, está em desconformidade com a LGPD”. Ele tem que registrar isso, é da atividade dele. E aí, pode ser que não dê em nada. Ele avisou, o pessoal resolveu seguir com aquele tratamento, as coisas seguiram, a vida passou e
(40:32) não deu em nada. Pode ser. Pode ser que o fato de tu andares sem cinto de segurança não dê em nada por um tempo. Pode ser que o fato de tu não fazeres revisão no teu carro por muitos anos não dê em nada. Mas, no dia que der, tu vais ter que demonstrar que estavas tomando os cuidados mínimos necessários para que não desse razão ou oportunidade para que um incidente acontecesse. E a ANPD, eu vi em várias falas do pessoal da própria ANPD, está muito clara: não é que tu vás ficar toda hora
(41:11) dizendo as coisas para a ANPD, mas quando acontecer, nós vamos perguntar. Quando for necessário, nós vamos pedir. E aí você tem que ter. É interessante isso, porque é, de novo, a questão da prevenção e depois da remediação. Segurança da informação é a mesma coisa. A gente coloca: tu fazes pen test, modelagem de ameaças… Eu estava falando disso no último vídeo de terça-feira. É um investimento que tu estás fazendo ali, que talvez não vá ter um efeito na “carinha” do software,
(41:56) nas suas funcionalidades, mas vai impedir que aconteça algum problema. Depois que acontece, não adianta sair correndo e querer implementar as coisas. Vais implementar para evitar problemas futuros, aquele que aconteceu já era. E na LGPD, a coisa é muito semelhante. No que diz respeito às normativas, a essa questão da independência e do tempo do encarregado, isso tem que ser feito antes de acontecer um incidente. Não adianta, quando acontecer um acidente, dizer: “Pronto, agora tu te dedicas full-time para
(42:31) resolver isso”. Se a ANPD entrar na história, ela vai começar a fazer perguntas. E aí, quando começar a fazer perguntas, quais serão as respostas e as evidências? Não adianta só responder, tem que demonstrar com evidências que está tudo OK, tudo tranquilo.
(42:51) E quando a gente começa a ler também… Eu até comentei lá no evento de um documento do Article 29 Working Party, que depois virou o European Data Protection Board, que tem um documento sobre o papel do encarregado que destaca
(43:01) muito bem essas questões. Você precisa dar condições para ele trabalhar. Você precisa ter mapeado, inclusive, a quantidade de tempo que ele vai dedicar para essas atividades quando você tem, por exemplo, o encarregado desempenhando outras funções dentro da instituição. Por isso que é importante você buscar dar essa independência. E essa independência, inclusive, o próprio Artigo 10 que eu comentei antes, no inciso C, estipula: garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização. Isso que você falou,
(43:38) ele deve ter acesso à diretoria, à presidência da empresa. O encarregado, esta pessoa, quero dizer, de forma a realizar as comunicações devidas. E claro, muitas vezes, e é bastante comum por diversas razões, o agente de tratamento pode não concordar com o encarregado. Nesse caso, é bastante importante, e na União Europeia se recomenda isso, que o agente de tratamento registre as razões do não atendimento da recomendação do encarregado. Porque, se a gente for pegar os princípios de responsabilidade e de prestação de contas
(44:18) da própria LGPD, é aquela história: não basta você cumprir a LGPD, você tem que demonstrar o tempo inteiro como você está cumprindo.
(44:28) O episódio que a gente gravou sobre os objetivos da segurança, o que a gente chamou de atributos de segurança da informação, foi o Episódio 54, gravado em 18 de julho de 2014, quase exatos 10 anos. 10 anos e alguns dias. Faz 10 anos que nós gravamos este episódio.
(44:58) E eu repito para vocês, tem o vídeo aqui no nosso canal que eu gravei há umas duas semanas, sobre os atributos da segurança, mas o episódio continua perfeitamente válido. Quando as coisas são conceituais, a parte mais teórica, ela dura, permanece no tempo. É bom lembrar que esses atributos todos são demandados pela LGPD. Não é só questão de evitar vazamento.
(45:29) Lembrando que a ANPD gosta que o pessoal chame de
(45:34) encarregado, não de DPO. Mas não adianta, vai ser DPO… E Guilherme, a gente prometeu, inclusive na chamada e eu prometi na minha live de terça, que tu farias uma expansão do tema que tu levaste para o evento, que no final das contas o tempo acabou ficando bastante exíguo, tinha várias pessoas para falar e a coisa ficou bem apertada. Então, eu gostaria que tu trouxesses o tema que tu falou lá e desse uma expandida para o nosso ouvinte do
(46:14) Segurança Legal. Acho que a primeira coisa é colocar essa nova realidade, muito presente, que é o papel do encarregado dentro das situações de incidentes de segurança. O Vinícius já comentou antes que a gente precisa, antes de qualquer coisa, conhecer os atributos de segurança, e esses atributos ou propriedades da informação também devem ser levados em consideração para muito além da ideia de confidencialidade. Ou seja, incidente de
(46:51) segurança para a LGPD não é somente o vazamento de dados ou o acesso não autorizado, porque eu posso ter acessos não autorizados sem necessariamente consistir em um grande vazamento. Preciso observar e também serão considerados como incidentes de segurança as violações aos dados pessoais que afetem os atributos da integridade e da disponibilidade. E, mais especificamente, quando a gente fala em disponibilidade, a gente também tem que começar a falar sobre a resiliência, que não deixa de ser um desdobramento da disponibilidade, que é justamente essa capacidade dos sistemas de resistirem a
(47:31) situações de ataques, por exemplo. Lembrando, e é claro que a gente tem esse… Eu já comentei várias vezes: fala-se em incidente, fala-se em vazamento; fala-se em violação de dados, fala-se em vazamento. Mas não podemos esquecer, por exemplo, da disponibilidade. O exemplo do hospital: o sujeito que vai realizar alguma atividade, uma operação, e no momento em que ele precisa dos dados de saúde do paciente, ele não consegue ter acesso àqueles dados, e o sujeito poderia ter danos físicos.
(48:00) E até para citar uma coisa que
(48:03) aconteceu há pouco, o caso CrowdStrike. Aquilo ali é um incidente de… Só para lembrar, o CrowdStrike foi aquela situação em que uma empresa chamada CrowdStrike, que é a maior prestadora de serviço na área de segurança do mundo, tinha seus softwares instalados em vários servidores de várias empresas diferentes. As que mais chamaram a atenção foram as companhias aéreas, mas tem várias outras: hospitais, empresas governamentais, um monte de gente tinha essa coisa instalada. E eles, por um
(48:40) erro… Acho que foi no último Café que a gente comentou esse episódio. No final das contas, o que aconteceu foi que nós tivemos a indisponibilidade de diversos sistemas pelo mundo, voos sendo cancelados e tudo mais. Naquelas situações em que essa indisponibilidade afetou titulares de dados pessoais, nós temos, eventualmente, se houve um prejuízo
(49:16) concreto e tudo mais, uma violação da LGPD. Teve um incidente, foi um incidente de segurança. Primeiro que a própria CrowdStrike disse que não foi um incidente de segurança. Claro que foi. Foi sim, e eu explico bem claramente nos vídeos aqui do canal por que foi. A questão é: onde teve envolvimento de dado pessoal, nós tivemos um incidente de dados pessoais atingindo a disponibilidade desses dados. Não vazou nada, mas ficou indisponível.
(49:54) A gente até não sabe se não vazou por conta da indisponibilidade de um sistema. Até poderia ter vazado, mas sim, a disponibilidade foi o atributo mais evidente. E aí o encarregado, e esse é o ponto, a gente também tem esse cacoete de achar que os incidentes de segurança são somente incidentes que envolvem a intenção de agentes, que eu sempre terei criminosos atuando contra os sistemas. Sim, o papel dos criminosos é muito importante, muito prevalente, muito percebido. E aí você tem uma série de técnicas para cuidar disso. Mas você também tem
(50:31) incidentes causados por erros humanos, você também tem incidentes causados por situações muito banais de empresas assoberbadas que não conseguem sequer ter tempo ou a limpeza mental de tomar certos cuidados. O sujeito entra no automático. Deixar as pessoas com muito trabalho também é uma vulnerabilidade que pode ser explorada em algumas situações, ou que naturalmente pode culminar em um incidente de segurança. São muitas as
(51:11) fontes, são muitas as ameaças, mas não se dá somente em situações maliciosas. Eu tenho situações também acidentais de incidentes, e isso também é considerado incidente. E, claro, o ambiente vai ficando cada vez mais complexo: o uso de nuvem, os ataques aumentando, a migração do crime físico para o digital, você tem agentes internos também que eventualmente podem querer se vingar, podem cometer equívocos, podem descumprir regras de segurança, e isso também pode culminar em incidentes. É claro que a gente fala sobre dados pessoais.
(51:47) É aí que entra o papel do encarregado, e essa é a força que a LGPD traz para a segurança da informação. Porque o encarregado, em primeiro lugar, é um ente legalmente definido para realizar esta atividade. Então, legalmente, o encarregado de proteção de dados precisará estar envolvido em incidentes de dados pessoais. Esse é o primeiro ponto. Ele vai atuar de mãos dadas com a área de segurança da informação, quando houver. E aqui eu estou tentando abordar o tema numa perspectiva de uma empresa um pouco
(52:31) mais organizada, que possua um setor de TI, um setor ou cargos de segurança da informação, um encarregado, e que essas atividades sejam realizadas por pessoas distintas, justamente para evitar o conflito de interesses e também para dar uma autonomia maior para o encarregado. Porque quando o encarregado é o próprio gestor de segurança, por exemplo, nós temos um flagrante conflito de interesses. Porque um dos papéis… aí eu acho que sim, é incompatível, me parece incompatível, de forma que o encarregado,
(53:13) ele terá também essa atividade de compliance em proteção de dados. Porque aí sim, e essa é uma coisa importante, não são todas as empresas que possuem um Compliance Officer, uma pessoa, um cargo responsável pela conformidade geral da instituição. Então, quando você tem, bom, essa pessoa vai agregar todos esses cargos e vai verificar, por exemplo, se o gestor de TI, o encarregado, o gestor de segurança e outros cargos relacionados estão realizando suas atividades respectivas. E aqui, claro, numa
(53:52) perspectiva mais preventiva, porque quando eu falo em gestão de incidentes, eu também tenho um aspecto preventivo. Eu preciso ter situações, por exemplo, de análise de riscos, de modelagem de ameaças, Vinícius, para saber exatamente a que eu estou exposto. Então, quando eu sei a que estou exposto, consigo me preparar melhor no caso de ocorrências de incidentes e também consigo me preparar melhor para situações de planejamento de continuidade. Por que continuidade é importante? Porque eu tenho aqui, eventualmente, a possibilidade de ter a minha
(54:34) disponibilidade afetada. Então, continuidade de negócios também entra nessas responsabilidades. Eu dizia, eles andam de mãos dadas, são quase como irmãos, o encarregado и o gestor de segurança. E assim como irmãos, os irmãos brigam. E, além de brigar entre si, são odiados. Todo mundo odeia. Em vez de “Todo Mundo Odeia o Chris”, a série aquela, é “Todo mundo odeia o encarregado e todo mundo odeia o gestor de segurança”.
(55:12) Posso fazer uma parte? Na verdade, vocês que odeiam os encarregados e o pessoal da segurança deveriam direcionar o seu ódio àqueles que provocam a necessidade da existência de um encarregado e da segurança: a galera que fica aplicando golpe por aí, invadindo sistema, etc. É a esses que você tem que direcionar o ódio, e não a quem tenta evitar que alguma coisa aconteça.
(55:55) É aquela história. Você tem outras áreas, sei lá, na indústria de alimentos, você vai ter pessoas responsáveis por cuidar da qualidade dos alimentos. Talvez nem todo mundo goste dessas pessoas. Eu gosto deles, é um cargo importante. As próprias pessoas… um dos aspectos da questão do encarregado e da própria segurança é que os gestores das empresas também são titulares de dados, e eles não percebem. E é
(56:33) bastante comum que os dados deles estejam nos próprios serviços mantidos pela instituição em que ele trabalha. Logo, quando ele negligencia a proteção de dados, ele também se expõe no final das contas. Então, acho que um dos papéis importantes que o encarregado vai ter, e se falou muito em conscientização, é conscientizar tanto os gestores, o board, quanto os próprios empregados de que eles são titulares de dados pessoais e que há o interesse da proteção dos dados dessas pessoas também. A mesma questão com a segurança.
(57:04) Isso é sempre o Vinícius que fala: o funcionário, quando é bem treinado com técnicas de segurança fora da empresa, vai trazer essas boas práticas para dentro da empresa.
(57:22) Quando tu convences, quando demonstras para ele como ele faz para se proteger, ele, pessoa física, não se proteger como colaborador da empresa. Ele tomar cuidados com ele. No momento em que ele entende isso, ele naturalmente começa a trazer isso para a empresa. Sem contar que interessa muito à empresa que o seu
(57:48) colaborador cuide muito bem das suas coisas pessoais também, porque senão podem virar vetores. Com o home office ou com o BYOD, o cara usa o mesmo dispositivo pessoal dele na empresa para comunicação, para trocar alguma informação, para acessar algum sistema, gerar algum token. Daqui a pouco ele está fazendo isso com o telefone dele. E se ele não tem o mínimo de cuidado, se ele não tem o mínimo de cultura de cuidado com seus próprios dispositivos, o que já pode afetar diretamente a empresa, que
(58:26) tipo de cuidado ele vai ter com as situações dentro da própria empresa? Facilita bastante trabalhar a conscientização dos colaboradores, principalmente para as coisas deles, e isso naturalmente vai fazer parte da cultura que ele vai trazer para a empresa. Não é alguma coisa externa ao dia a dia dele, que ele não percebe a importância e que é mais uma burocracia para ele cumprir no meio do trabalho.
(58:55) Perfeito, é isso. Esse aspecto une as duas atividades, de segurança e do encarregado. E no final das contas, o último ponto de união entre esses dois cargos é que eles precisam atuar, muitas vezes, contra os interesses de outros cargos, contra interesses de muitas pessoas dentro da empresa, e às vezes contra os próprios interesses econômicos. Atuar em mercados regulados certamente faz com que você, enquanto gestor de segurança ou encarregado, precise dizer aos gestores que eventuais projetos e tentativas de monetização,
(59:39) ou atividades quaisquer que envolvam dados pessoais ou que envolvam dados, podem esbarrar, sim, em limites regulatórios. Então, sim, você vai ter um embate, uma tensão entre a atividade de segurança e a atividade do encarregado contra outros atores internos. E aí é a questão da autonomia do encarregado que emerge, tanto na Europa quanto no nosso regulamento do encarregado. Mas não é só conflito de interesses, não é só dar para ele os recursos necessários lá do
(1:00:15) Artigo 10. É garantir, no inciso III, a autonomia. E o que é autonomia? A empresa precisa ouvir. Os europeus dizem que a empresa não deve dizer para o encarregado como ou o que ele deve fazer, ou as coisas a que ele deve prestar atenção. Por exemplo: “ah, esse projeto aqui, não vamos te envolver” ou “deixa para depois”, ou “presta mais atenção naquilo”. Quando houver esse problema aqui, você… Não. Ele tem a autonomia técnica, ou seja, ele cumpre a lei. Por isso que o papel do encarregado é tão
(1:00:53) importante. Não é só uma questão de proteger os dados dos titulares, é uma situação de conformidade. Ele diz para a empresa, e afinal de contas, ele é o especialista. Então, ele dirá para a empresa, ele tem que ter autonomia para fazer tudo isso. De uma forma um pouco mais prática, como ele se envolve no papel de gestão de incidentes? Primeiro, ele vai ajudar na preparação. A partir de agora, fica muito claro que todas as políticas que envolvem tanto
(1:01:32) as políticas de segurança quanto as que envolvem a gestão de incidentes devem passar por uma avaliação e contribuição do encarregado. E uma das coisas que a gente vê muito frequentemente, quem é da área de segurança já viu, são aquelas empresas que ou não possuem um canal adequado para recepção de alertas de segurança ou de vulnerabilidades, como é bastante comum. A gente já gravou sobre isso, comunicação de vulnerabilidade.
(1:02:04) Vou pegar o episódio aqui. O que acontece? Um dos pontos cruciais em uma gestão de incidentes é que, claro, você vai, preferencialmente, ter mecanismos tecnológicos que ativamente vão detectar, por exemplo, vulnerabilidades antes de elas serem exploradas, ou até mesmo detectar tentativas de incidentes. Você vai ter IDS, logs, IPS, DLP, uma série de mecanismos de segurança funcionando justamente para tentar prever
(1:02:46) situações de incidentes. Mas você vai ter situações em que os incidentes serão comunicados, tanto por titulares de dados quanto pela comunidade geral, as pessoas que eventualmente vão te avisar: “Olha, aquele teu sistema lá tem um problema assim, assim, assado”. E é muito comum que as empresas не levem a sério esses alertas.
(1:03:10) Citando aqui, o Episódio 50 do Segurança Legal, “Reagindo a Comunicações de Vulnerabilidade”, gravado em 9 de maio de 2014.
(1:03:20) Perfeito. Então, você vai ter essa contribuição do encarregado na montagem desse ponto de contato, quem serão os pontos focais, os alertas que devem ser observados. Porque quem tem o conhecimento da criticidade… e esse é um ponto interessante: via de regra, a TI e a segurança da informação não têm o mesmo conhecimento da seriedade ou da sensibilidade, não
(1:04:02) de dados sensíveis ou não, mas da própria sensibilidade geral da atividade de tratamento de dados. É muito comum as equipes de tecnologia quererem fazer coisas que, quando o encarregado fica sabendo, ele fica louco. “Não, mas isso é óbvio, é evidente que não pode ser feito, ou que está errado, ou que esse tipo de tratamento aqui pode culminar num incidente”, que eventualmente as outras equipes não veem. É por isso que a atividade de preparação é útil para envolver esse encarregado. E aí ele
(1:04:33) vai trabalhar, além dessa atividade de políticas e organização, o próprio treinamento. Existe treinamento para gestão de incidentes, você monta uma equipe, um time de resposta a incidentes, e o planejamento de como esse time vai agir vai envolver, em algum momento, também o encarregado, atuando aí na próxima fase, não mais na preparação, mas nas fases de detecção, classificação e registro. Por quê? Porque uma vez que incidentes sejam detectados, seja de forma automática ou comunicados por partes externas, ou ainda notados pelos próprios funcionários — essa é uma coisa muito comum também de acontecer,
(1:05:18) né, Vinícius? Os funcionários, às vezes, estão lá nas suas atividades e diariamente se deparando com incidentes de tratamento de dados e não reconhecem, não foram treinados para reconhecer. Exato. E se eles comunicassem o encarregado disso, aí nós teríamos uma atuação antecipada, ou até mesmo antes, situações às vezes até suspeitas. Então, esse treinamento de detecção, de classificação… agora, claro, o ideal é que as empresas não sejam surpreendidas. O encarregado, então, vai se avaliar
(1:05:59) nessas etapas. Primeiro, ele precisa registrar os incidentes. Tem um dever de registro de incidentes de segurança da informação, incidentes que envolveram dados pessoais. Esses registros devem ser mantidos por, no mínimo, 5 anos pelo encarregado. E vejam, inclusive daqueles incidentes que não foram comunicados para a ANPD. Ele não precisa registrar somente aquilo que comunicou para a ANPD. Ele precisa deixar registrado aquilo que comunicou e aquilo que não comunicou. E eu vou mais além: eles precisam deixar
(1:06:37) registrado o porquê de não terem comunicado para a ANPD aquele incidente. Essa vai ser uma atividade também do encarregado, no final das contas.
(1:06:51) Tu vês que tens que documentar muito bem as suas decisões. A decisão de não seguir uma recomendação do encarregado, a decisão de não comunicar um incidente, as decisões de tratamento de dados que foram tomadas. Tudo isso tem que ser muito bem documentado. Depois, quando dá uma “caca”, quando dá um incidente, e tu fores demandado, tens formas de responder, de mostrar o cuidado que tiveste previamente.
(1:07:23) Claro, e veja, idealmente as equipes de segurança já deveriam fazer isso. Você precisaria ter os times registrando os incidentes. A gente já falou sobre isso aqui várias vezes. Você sempre traz o exemplo do CENIPA, da forma independente de investigação de incidentes aéreos. A gente tem normas, por exemplo, a norma ISO 27035,
(1:07:45) que fala sobre a próxima etapa, que é avaliação e decisão. Pois bem, identificou-se o incidente, classificou-se o incidente, iniciou-se o registro. Notem que em todas essas etapas está lá o encarregado atuando. Como a gente tem prazos exíguos para notificação compulsória de incidentes de dados pessoais, o encarregado deve ser envolvido, deve estar treinado e deve ter participado de treinamentos de outras equipes para, imediatamente
(1:08:28) nessas identificações, já começar a planejar e tomar decisões. Porque primeiro ele precisa saber qual foi o problema, depois precisa saber quem foi afetado. Isso é muito importante, quantas pessoas foram afetadas e qual a extensão do incidente, o que foi feito tanto para evitar, e também o que foi feito depois que se descobriu o incidente. Isso é prática geral para a gestão de incidentes, mas agora, com os novos regulamentos tanto de comunicação de incidentes quanto do encarregado, isso tudo precisa ser registrado. O que a
(1:09:05) empresa fez depois que descobriu o incidente? Por que ela demorou tanto tempo para comunicar o incidente? Essas coisas todas precisam ser registradas e mantidas pelo próprio encarregado também. Lembrando que não há a hipótese de você não envolver o encarregado nesses incidentes. Inclusive, você pode ter que envolver o encarregado, nem que seja para ele dizer que não precisava ser envolvido. Tudo bem, a equipe de segurança envolveu o encarregado, ele viu: “não, isso aqui não é dado pessoal, foi uma falha no sensor de um trator”.
(1:09:40) Então, não é dado pessoal, me retiro. Mas o que não pode é não envolver o encarregado quando se deveria. Então, pecar pelo excesso não deve ser uma preocupação. Até porque, quem vai decidir se esse incidente de segurança pode acarretar risco ou dano relevante para o titular, e que, portanto, deveria levar à comunicação tanto à ANPD quanto aos titulares, é o próprio encarregado. Note que aqui, decisões estão sendo tomadas, categorizações estão sendo tomadas, priorizações podem ser feitas.
(1:10:20) Vamos imaginar uma empresa… Pega um gov.br, quantos incidentes esses caras devem lidar por dia? Ou outros sistemas governamentais, ou bancos. Os caras lidam com incidentes diariamente. Eu tenho que ter critérios para fazer triagem. A ISO 27035 fala em triagem, igual àquela que você faz no hospital. Você vai tratar o incidente mais grave, aquele cara que está tendo um ataque cardíaco. Nesse sentido, incidentes com dados pessoais são o referente ao ataque cardíaco, você vai ter que dar uma prioridade muito grande. E notem,
(1:11:00) eu repito, percebem como você tem uma atividade interdisciplinar aqui do encarregado e a necessidade de se afastar conflitos de interesse? Porque ele vai cobrar. Ele vai chegar em algum momento, sobretudo depois, nas lições aprendidas. Bom, está chegando ao fim, se descobriu tudo, está tudo registradinho. Pois bem, agora vamos sentar e vamos ver. E o encarregado terá, me parece, o recomendado seria que ele consiga mover a instituição para um patamar em que aquilo não mais se repita. Claro, tem coisas que são
(1:11:44) inevitáveis, sei lá, enchente. De certa forma, para o encarregado e para a equipe, você consegue tomar medidas de continuidade para diminuir tempos de indisponibilidade. Mas o encarregado irá cobrar a instituição. O encarregado poderá, inclusive, solicitar informações mais técnicas, relatórios mais técnicos do porquê, tecnicamente, aquele incidente se deu. Se eu tenho o gestor de segurança ou o gestor de TI dividindo funções com o encarregado, como é que ele vai se cobrar a si mesmo acerca daquelas
(1:12:24) responsabilidades? Notem que o encarregado está atuando em todos os momentos. E vou mais além, isso acho que é bem importante: uma das atribuições do encarregado é manter os inventários e os registros de todas as atividades de tratamento. Que é toda aquela coisa do dia a dia: sai um novo processo de negócio, você registra aquilo, diz quais os dados que foram tratados, os titulares envolvidos, os sistemas que armazenam aqueles dados, eventuais tempos de armazenamento, de indisponibilidade possível. Ou seja, tem
(1:13:04) uma série de requisitos, e a própria ANPD já deu os exemplos de inventários, e cada empresa acaba adaptando às suas necessidades. Veja, o encarregado tem algo que, muitas vezes, as equipes de TI não conseguem ter por uma questão prática de falta de tempo. O encarregado consegue, com base nessa documentação obrigatória, ter uma visão dos processos de negócio e uma visão técnica muito horizontalizada. Ele consegue ir desde titulares envolvidos até tempo de armazenamento, até sistemas que armazenam,
(1:13:36) até terceiros que têm acesso. Nesse sentido, esse conhecimento dos inventários e dos registros das atividades de tratamento podem e devem ser usados pelo encarregado, e o encarregado deve ser chamado para trazer esse conhecimento também para a área de gestão de incidentes, que certamente é um conhecimento que, às vezes, as outras equipes não têm. Deveriam ter, mas não têm. Então, o encarregado consegue, com essa visão mais horizontal que ele tem das atividades de tratamento de dados, realizar categorizações e apoiar em respostas de
(1:14:17) uma forma muito mais efetiva, porque ele não deve atuar só comunicando. O que a empresa quer, na verdade, não é que o encarregado só fique comunicando incidentes para a ANPD. Ela quer que ele evite. Claro. O encarregado, e aí essa é a coisa, a gente já trabalhou muito com auditorias. Eu falo para uma encarregada cliente nossa: a gente tem que ter um pouco esse viés. O encarregado tem que ser um pouco auditor, ele tem que ser o “perguntador”, ele tem que questionar. Ele vai ter que perguntar: “mas por que isso aqui aconteceu?”, ou “quem é o responsável
(1:14:53) por isso?”. Ou seja, ele vai realizar, quando não houver o Compliance Officer, essa atividade de verificação interna da conformidade. Por isso que a autonomia é tão importante, por isso que o conflito de interesses não deve existir, e por isso que ele tem que ter essa questão técnica de não ser refém. Ele tem uma autonomia. E, claro, eu preciso reconhecer, talvez a grande maioria das empresas ainda não está pronta para reconhecer essa autonomia, e esse talvez seja o próximo salto que a gente precisa dar. Me parece que a ANPD
(1:15:27) foi nessa linha de reconhecer a importância desse cargo para o sistema geral de proteção de dados no Brasil, de conseguir suportar essa autonomia. Não só a decisão de querer, mas de conseguir suportar essa autonomia. Porque não tem jeito, é um requisito a mais que tu tens que considerar, que nem segurança da informação, que acaba gerando, não vou dizer um desconforto, mas um trabalho adicional. Eu brincava no último
(1:16:03) vídeo que gravei, na última live de terça-feira, que é um pouco o trabalho de ser meio “Poxa, pensar tudo que pode dar errado”. Na modelagem de ameaças, em segurança. E na proteção de dados, não é só sobre tudo que pode dar errado, mas também “que usos eu posso fazer da informação?”. Analisar o uso. Num cenário em que a gente simplesmente usava a informação e pronto, de repente tu precisas começar
(1:16:36) a documentar e pensar sobre que informações tu estás coletando, para quê, como tu justificas essa coleta, esse tratamento. Todas essas perguntas que a LGPD nos força não é só uma questão de pensar o que pode dar errado, mas de cumprir um requisito legal que a gente não tinha. E isso tudo gera uma carga extra de trabalho. Lembra daquele auditor da Caixa Econômica que foi no evento? O pessoal estava comentando lá.
(1:17:12) Tem vários aspectos para pegar da fala dele, mas o aspecto que nós resolvemos pegar para comentar no nosso Café, e eu trago aqui de novo, é que ele teve um dado momento que falou assim: “ah, compliance… que o pessoal tem que ficar preocupado com compliance”. É justamente esse pensamento de “dane-se o compliance, vou fazer a coisa de qualquer jeito” que muitas vezes está na raiz do problema ainda. “Azar, como é que é? Eu sou obrigado a usar cinto?
(1:17:44) Eu não posso beber minha cerveja quando estiver dirigindo meu carro? Azar, eu quero dirigir meu carro sem cinto e tomar cerveja”. Nas cidades do interior, aqui, a gente vê com uma certa frequência isso, às vezes até na frente da polícia. É bem delicado. A gente tem que entender. E a coisa é meio maquiavélica no seguinte sentido: até começar a se perceber claramente o prejuízo que tu podes ter em não seguir a LGPD, em não respeitar
(1:18:25) legalmente a LGPD, até não se perceber a necessidade, o quanto isso pode “botar o rei em perigo”, como Maquiavel ali, dando sugestões para o rei conseguir manter o seu reinado. Até se perceber isso, tiver essa noção de impacto financeiro advindo da concretização de uma ameaça relacionada à quebra de segurança de dados pessoais, enquanto essa barra for baixa, vai se perceber que o investimento que eu tenho que fazer ainda é muito alto.
(1:19:09) Entende? O investimento que vou ter que fazer para tornar meu sistema, meu negócio, não só o sistema, mas meu processo de negócio, minha atuação, meu tratamento de dados pessoais, adequado à LGPD, talvez eu vou olhar e dizer: “cara, é muito caro fazer isso aqui. E eu não estou vendo… é muito caro, porque se der algum problema, talvez nem aconteça nada. É muito dinheiro para botar, não vou colocar esse dinheiro aqui agora”.
(1:19:37) A partir do momento em que há uma percepção de que “opa, pode ser muito caro eu não tomar ação nenhuma ou fazer isso aqui errado, não tratar adequadamente, não documentar, não conseguir mostrar que eu estava adequado antes de um incidente”, se começar a ver essa preocupação, bom, aí tu vais colocar na balança: “eu posso perder 1 milhão ou posso investir X, que é muito menos do que 1 milhão”.
(1:19:59) É o mercado. Tem vários elementos aí, acho que a gente já pode ir se encaminhando, Vinícius, já deu 1 hora e 15.
(1:20:17) É um pouco aquela questão da cultura. A gente se inspira no modelo europeu. Eu uso o exemplo, eventualmente em aula: visitei uma igreja uma vez na Itália, e quando você ia fazer seus pedidos para pessoas doentes, tinha lá o formuláriozinho de pedidos e tinha um disclaimer da LGPD numa igreja. Entendeu? Eu nunca vi nada parecido. Dado pessoal sensível. “Fulano de tal está com a doença tal”, “Gostaria que meu tio, fulano de tal, que está com a doença tal…”.
(1:20:53) Esse é um exemplo bem extremo. Na Europa também você tem coisas muito erradas acontecendo, empresas que ainda não se adequaram, tem tudo isso. Não é também uma coisa perfeita. Mas a gente tem sim esse problema da falta de maturidade empresarial. Esse é o ponto. Você tem todas as questões relacionadas ao próprio capitalismo, que é isso que você colocou, ou seja, certas decisões de custo-benefício muito imorais, que eu acho que está na razão de tudo.
(1:21:26) Tu investes em segurança quando podes perder dinheiro, tu vais investir em adequação à LGPD quando puderes perder dinheiro. Pois é, mas aí é que está. Para além dessa análise de custo-benefício e de eventuais decisões imorais ou antiéticas, você tem, a partir de agora, uma questão que vai envolver um dever regulatório. Ou seja, você tem o dever de cumprir aquela regulação. Nesse sentido, não sei se é possível calcular o custo de descumprir leis. Você tem uma certa pretensão de achar que aquilo será barato, porque você
(1:22:07) tem, e eu comentei isso logo no início da minha fala, o imponderável da insegurança. O que é o imponderável da segurança? É aquilo que está fora do nosso controle. A vida é muito complexa, você tem muitas coisas fora do controle das pessoas. Você ainda tem esse imponderável. E, a depender do imponderável, a falta da tomada de boas práticas de segurança e de proteção de dados pode trazer consequências imprevisíveis. E é essa pretensão que muitos gestores
(1:22:41) têm de dizer: “não, eu vou economizar aqui, vou fazer aquela minha analisezinha de custo-benefício”. Cuidado, porque isso pode ser realmente muito perigoso. E você tem um elemento de demonstração dessa ideia do cara que é negligente. Não há mais espaço para negligência, para imprudência na área de segurança da informação, por tudo que a gente falou. E aí entra nesse “baile” que a gente já está dançando essa música também há bastante tempo, mas agora o encarregado entra nesse
(1:23:16) baile da segurança. O encarregado também vai dançar nesse baile. Até uma das brincadeiras que se fez lá no evento era o pessoal chamando o encarregado de “sobrecarregado”. O encarregado é sempre sobrecarregado. Por uma imposição legal, esse cara, o encarregado e as encarregadas — em grande número lá também, Vinícius, não é só encarregado, são encarregadas — eles também vão entrar nesse baile e também vão ter que se envolver em toda essa prática da segurança. A parte da gestão de incidentes é somente uma.
(1:23:50) E no final das contas, o encarregado tem o poder de ser um vetor de mudança também para a segurança. A própria área de segurança, se for inteligente, pode se beneficiar da participação do encarregado, porque ela pode conseguir promover ações que antes não conseguia, e que agora, pela via legal, porque a lei manda, ela pode se utilizar também do apoio do encarregado. São algumas interações que podem nascer dessa… A gente já viu, nesses anos todos, são 20 anos atuando nessa área,
(1:24:24) a gente já viu muito conflito de interesse na área de segurança da informação, e envolvendo o encarregado, mais ainda. Quando a gente fala não só do dinheiro no final, que eu acho que no fundo é o que faz a música tocar, mas também tem o esquema da pressa, dos cronogramas, do “time to market” de um determinado produto, e essas coisas — segurança, LGPD — normalmente vão ficando pelo caminho. Então, se você que nos ouve se identifica com
(1:24:59) essa situação, não se sinta tão mal. Sinta-se mal para resolver, mas não se sinta tão mal, porque é meio que o comum que a gente encontra. Fora grandes empresas que têm uma preocupação com compliance e tudo mais, tem muita gente que nem encarregado tem ainda, né, Guilherme? Ou tem encarregado, mas não de fato. Ou tem de fato, mas não tem tempo para atuar, ou não tem espaço para atuar. É realmente bem delicado.
(1:25:33) Para encerrar agora, de verdade, é um pouco aquilo… até te mandei o link, Vinícius, é um artigo do Ross Anderson, infelizmente falecido recentemente. Ele tem um artigo que é “Why Information Security is Hard: An Economic Perspective”, e ele vai um pouco nessa tua linha, numa perspectiva de economia, a questão dos incentivos, dificuldade de distinguir o bom do mal e questões psicológicas,
(1:26:10) essa capacidade que tu achas que tens de prever as coisas ou de achar que as coisas não vão acontecer contigo, que é típico do negligente na área de segurança. Fica essa recomendação, a gente não tinha trazido nenhuma recomendação. Fica o artigo do Ross Anderson. Eu coloquei no chat, depois isso vai parar na descrição, inclusive lá no nosso feed. É isso, Guilherme?
(1:26:40) Teve um pouco mais de tempo do que lá no evento para poder destrinchar esse assunto, e ainda assim, eu acho que ficou muita coisa. É um assunto bastante complexo, não se resolve em uma hora de conversa.
(1:26:55) Encerramento, então. Esperamos que todos tenham gostado do nosso episódio e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima!
(1:27:06) Até a próxima!
(1:27:15) Se eu chegar perto do microfone, faço a mesma coisa também. Dá uma mexida nos meters ali. Mas é isso aí, cara, deu certo aqui. Estamos ao vivo ainda, cuidado, não desliguei aqui, calma. O Juarez aqui nos mandou um “grato pelo excelente conteúdo”. Um abraço, Juarez. Um abraço novamente pro Padovesi, que nos acompanha já há bastante tempo. E ajudem a gente a distribuir esse conteúdo. A gente fica bastante feliz de contribuir para a educação na área de segurança e proteção de dados, que é o grande objetivo do Segurança Legal, além, é claro, embora a
(1:27:55) gente faça pouco isso, para o desespero da Camila, que é a nossa comercial na BrownPipe, de divulgar o nosso trabalho na BrownPipe. É isso aí, Guilherme.
(1:28:06) Certo. Então, até a próxima, pessoal.
(1:28:09) Tu já disseste “até a próxima”. Digo de novo agora. Até a próxima, então, pessoal. Falou, valeu, abraço! [Música]
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Neste episódio comentamos as novidades do Encontro ANPD de Encarregados, no qual você irá descobrir as novas diretrizes da autoridade, o papel estratégico do DPO e como funciona a gestão de incidentes de segurança com dados pessoais.
Guilherme Goulart traz uma análise aprofundada do primeiro Encontro de Encarregados promovido pela ANPD, um marco para a proteção de dados no Brasil. A discussão explora a importância da autonomia do encarregado e os desafios para evitar o conflito de interesses, conforme o novo regulamento do encarregado. Abordamos a gestão de incidentes e a segurança da informação, indo além do vazamento de dados para incluir integridade e disponibilidade. O debate cobre a conformidade com a LGPD, o papel preventivo do DPO em cibersegurança, sua atuação em violação de dados e a necessidade de garantir a privacidade desde a concepção. Assine nosso podcast, siga-nos e avalie este episódio para apoiar nosso trabalho.
Ajude as vítimas de enchentes no RS (Sugestões de doações via PIX, Sugestões de outras instituições recebendo donativos)
Visite nossa campanha de financiamento coletivo e nos apoie!
Conheça o Blog da BrownPipe Consultoria
ShowNotes
Imagem do Episódio – Bell Vilanova
📝 Transcrição do Episódio
(05:17) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme. Olá aos nossos ouvintes. Tudo bem. Hoje estamos ao vivo. Sim, claro que você que nos ouve pode nos ouvir daqui a 100 anos, mas estamos fazendo aqui uma experiência, dá para se dizer, de transmitir a nossa gravação enquanto ela é feita.
(05:57) Então, eventualmente, você pode também estar nos assistindo ao vivo, mas é sempre bom lembrar que, para nós, é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Para isso, estamos à disposição dos ouvintes pelo Twitter (ou X) @segurancalegal, pelo e-mail [email protected], YouTube.com/segurancalegal
(06:24) e o Mastodon no @[email protected]. Também temos a nossa campanha de financiamento coletivo no Apoia.se: apoia.se/segurancalegal. A gente sempre conclama os ouvintes e as ouvintes que considerem apoiar. Isso é bem importante para a gente, apoiar esse projeto de produção de conhecimento independente que trata sobre esses temas tão queridos pela comunidade que nos acompanha. Certo, Vinícius? E lembrando que você nos apoia também divulgando o nosso trabalho. Então, se puder compartilhar, no caso aqui do YouTube, dar like, ativar o sininho,
(07:03) se inscrever, aquela coisa toda, para nós é muito bom. Inclusive, Guilherme, aproveitando a oportunidade, a gente está fazendo uma série de vídeos que chamei de “Conversa sobre Segurança”, por enquanto, que eu tenho feito ao vivo. Tem sido todas as terças-feiras, às 8 da noite, aqui no canal do Segurança Legal, falando sobre segurança da informação, fundamentos de segurança e alguns outros assuntos que estou preparando para as futuras. A gente não divulgou ainda a da próxima semana,
(07:35) provavelmente a gente vai fazer na segunda-feira, mas estamos produzindo mais conteúdo no YouTube para a gente movimentar um pouco mais o nosso público no Segurança Legal.
(07:49) Ótimo, ótimo. Vamos falar sobre o encarregado de proteção de dados, Vinícius? Na verdade, eu vou falar agora inicialmente, porque senão o Guilherme vai segurar muita coisa. O Guilherme, para o pessoal que nos acompanha, aqueles que já nos acompanham há alguns anos no Segurança
(08:07) Legal sabem disso, e aqueles que de repente estão chegando agora não sabem, mas o Guilherme está envolvido nesse cenário de proteção de dados pessoais há muito tempo. Há quantos anos, mais ou menos, Guilherme, desde que começou a estudar esse tema? Mais de 10 anos mesmo. Quando era ainda um anteprojeto, a gente já estava dialogando. Mas a minha própria dissertação de mestrado envolveu segurança da informação e um pouco de proteção de dados também.
(08:41) E depois o doutorado seguiu. Pelo menos desde 2009, mas antes, inclusive, eu estou estudando proteção de dados. Guilherme, está com um pouquinho de estática teu microfone. Eu vou fazer o seguinte: vou passar para a cena em que estou só eu, que o teu áudio fica fora, e aí tu dá uma mexidinha no microfone. Eu vou falar um pouquinho e vou voltar, tu não tem muito tempo. Tá bom, vai lá. Beleza. Então, como ele me disse, está desde o mestrado dele estudando isso, fez o doutorado dele,
(09:11) foi nessa direção. O Guilherme participou de algumas reuniões lá em Brasília na época em que era o anteprojeto de lei, justamente para discutir o que viria a ser depois o projeto e depois a LGPD, a Lei Geral de Proteção de Dados Pessoais. Então, o Guilherme circulou bastante e circula bastante nesse cenário há algum tempo. Ele não começou a atuar, digamos assim, quando a LGPD entrou em vigor. Já faz algum tempo. Foi muito interessante. Ele já vinha mantendo contato com o pessoal da ANPD, tem algumas pessoas que a gente conhece lá, algumas
(09:48) pessoas de outras instituições que a gente já tinha contato antes. Um contato muito forte que o Guilherme tinha era com o Danilo Doneda, nosso amigo Danilo Doneda, que infelizmente já não está mais conosco. Inclusive, tem um episódio não numerado lá na lista de episódios do podcast dedicado ao Danilo. E o Guilherme, agora, justamente por esse envolvimento dele… Inclusive, uma pessoa, eu fiquei até com um pouquinho de inveja, Guilherme, um pouquinho de ciúme.
(10:23) Eu esqueci o nome dele que estava conduzindo a mesa de vocês. Ele chamou vocês de “celebridades da proteção de dados no Brasil”. Embora eu tenha a tua assinatura no contrato social da empresa, eu gostaria de um autógrafo teu em algum outro momento, se possível. Acho que tu assinou também, claro, como padrinho, a certidão de casamento no cartório. Mas eu gostaria de um autógrafo teu, agora que o senhor é uma celebridade em proteção de dados pessoais.
(11:03) O Guilherme foi convidado, então, há algum tempo. A gente não pôde divulgar antes porque tínhamos que aguardar a ANPD organizar as coisas, o próprio evento, para a gente não se antecipar à própria organização do evento, por óbvio. O Guilherme já foi convidado há algum tempo a falar nesse evento que aconteceu no dia primeiro de agosto. Então, foi na semana passada. Parece que faz mais tempo. E para falar sobre a
(11:31) questão de proteção de dados pessoais no que diz respeito à incidência e segurança. Acabou que foram várias mesas, foram quatro mesas, né, Guilherme? Duas de manhã e duas à tarde. Foi bem interessante. Eu não fui. Eu ia, mas a logística ficou meio zoada. O Guilherme já teve que fazer uma volta para ir de Porto Alegre para Passo Fundo, pegar avião em Passo Fundo, descer em Brasília, voltar de Brasília, aí pelo menos para Canoas, deu para descer mais pertinho. E acabou que o evento foi muito interessante. O Guilherme vai
(12:07) trazer as impressões dele, a gente vai comentar um pouquinho sobre o que ele viu lá. Eu assisti ao evento no YouTube. Quem quiser assistir, vai estar no link aqui da descrição do vídeo e lá no episódio também do Segurança Legal, no nosso feed. Está lá o evento na íntegra, então você pode assistir tudo, inclusive os intervalos para o almoço e para o cafezinho. Eu assisti tudo para acompanhar. E aí, Guilherme, nós gostaríamos, não sei se em primeira mão, de um relato do que tu viu no evento, o que
(12:41) tu achou, como é que foi a importância. Agora a gente vai entrando no assunto. Vamos embora. Eu queria também, em primeiro lugar, agradecer ao pessoal da ANPD, sobretudo na pessoa do David Teófilo, que é um amigo nosso que trabalha lá e que fez essa intermediação para a minha presença, mas também a diretora Miriam Wimmer, com quem conversamos um pouco, falamos sobre inteligência artificial. Ela foi uma
(13:16) moderadora, inclusive, da mesa de Inteligência Artificial. Esse evento ocorreu de fato no dia primeiro, foi o primeiro encontro dos encarregados. E eu pude notar algumas coisas, posso contar esses aspectos de quem estava próximo. O próprio pessoal da ANPD destacou que foi uma audiência muito grande. As vagas presenciais se esgotaram em pouquíssimo tempo. Então, eles utilizaram um belo auditório, que é o auditório da ENAP em Brasília, a Escola Nacional
(13:55) de Administração Pública, se não me engano a sigla. E a gente conseguiu ver a presença de muitos encarregados, muitas pessoas de outros lugares do país, o pessoal com as suas malinhas. O evento lotou. Não tinha mais espaço, então eles colocaram um telão em outro local para as pessoas que estavam lá e não conseguiam ficar no espaço, porque foi muita gente. Então, você conseguia assistir lá por um telão também. E acho que foi um
(14:30) primeiro evento de monta trazido pela ANPD, que permitiu que nós, os encarregados principalmente, tivéssemos um contato mais direto com a autoridade. A gente sabe que a ANPD vem desempenhando suas atividades, principalmente nessa atividade mais reguladora, criando uma série de normas. Na semana anterior ao evento, foi lançado o regulamento do encarregado. Inclusive, uma das mesas
(15:06) falou sobre isso, que foi a mesa um, o lançamento do regulamento dos encarregados. Muito interessante, foi uma mesa exclusivamente com os servidores da ANPD. Então é interessante para a gente ver quem são as pessoas por trás da ANPD, como elas pensam. Nesse aspecto, foi bastante interessante. E foi também uma forma, me parece, Vinícius, de o pessoal da ANPD dar um certo “abraço” nos encarregados, porque os encarregados desempenham essa função
(15:44) que é a ponta de todo o sistema de proteção de dados. Acho que muitas empresas, muitos agentes de tratamento, não se deram conta disso ainda: que o encarregado é um cargo previsto por lei, ou seja, não é mais uma opção. Claro, você tem os agentes de pequeno porte que podem não indicar o encarregado, mas ainda assim a indicação é uma boa prática. Mas para aqueles que têm a obrigação de fazer essa contratação, nós temos a presença do encarregado como uma determinação
(16:27) legal, e isso não é pouca coisa na nossa ordem. Nós não temos isso na segurança da informação, por exemplo, né, Vinícius? Poderíamos ter leis internas de segurança da informação que poderiam estabelecer um determinado cargo, um “delegado” dentro da instituição para cuidar da parte de segurança. Com a proteção de dados, nós temos isso. Então, me parece que foi um passo muito importante, porque a ANPD precisa do encarregado. O encarregado, se a gente
(16:58) for comparar com a questão dos certificados, é quem entra em contato diretamente ou quem vai ser contatado diretamente, seja pelo titular dos dados pessoais, e que também vai ser o elo entre o agente de tratamento e a própria ANPD. Então, ver a ANPD falando sobre os encarregados, descrevendo algumas de suas tarefas, respondendo perguntas, divulgando esse regulamento do encarregado, foi uma experiência bastante interessante.
(17:31) E dedicando esse primeiro evento, o primeiro evento desse nível, desse porte, justamente à figura do encarregado. Não foi sobre aspectos gerais, foi especificamente sobre o encarregado.
(17:47) É verdade, é verdade. E acho que valorizou e valoriza, porque a gente sabe que no Brasil ainda há uma certa, por incrível que pareça, resistência em relação à LGPD por parte de uma série de empresas. A minha presença lá na mesa sobre incidentes de segurança com dados pessoais, que foi a mesa da tarde… Eu até vou ler
(18:17) rapidinho, Vinícius, as mesas, o nome das mesas. Tivemos, depois do café, uma mesa de abertura com uma representante da ENAP e o presidente, diretor-presidente Waldemar Gonçalves, e a Lilian Cintra, do Ministério da Justiça. Depois, uma mesa com o lançamento do regulamento do encarregado, só com o pessoal da ANPD. Depois, uma mesa sobre o papel e responsabilidades do encarregado, e aí tinha a ANPD, Sebrae, Ministério da Fazenda e uma representante do Nubank. As duas empresas que acabaram
(18:53) representando o setor privado no evento foram o Nubank e a BrownPipe. Eu fui representando tanto a BrownPipe quanto o Segurança Legal, o podcast que vocês estão ouvindo agora. A mesa 3, então, foi a com incidentes de segurança, moderada pelo Fabrício Lopes da ANPD, com a Cristine Hoepers do CERT.br/NIC.br, que eu conhecia de nome, mas não conhecia pessoalmente, então foi bastante legal conversar com ela. É uma gênia da segurança da informação. Inclusive, ela foi colocada no Hall da Fama da
(19:30) resposta a incidentes do mundo, ela realmente é uma pessoa muito qualificada. Eu, o Leonardo Ferreira, do Ministério e da Secretaria de Governo Digital, e a Maria Lúcia Valadares, da Anatel. Muito interessante a fala da Maria, claro, de todos eles, mas a Maria colocou uma coisa: ela já está há bastante tempo, muitos anos, trabalhando com segurança e com proteção de dados, e ela conversava comigo também sobre o papel da Anatel acerca da proteção de dados, que é muito grande. A Anatel,
(20:08) por exemplo, foi uma precursora na própria questão da portabilidade. Hoje, a gente tem na LGPD o direito à portabilidade, e a Anatel foi precursora nesse sentido, por permitir no Brasil essa questão da portabilidade numérica. E aí, eu participei, claro, dessa mesa 3 dos incidentes também. E depois, à tarde, depois do café, tivemos uma mesa falando sobre inteligência artificial e proteção de dados pessoais. Essa mesa foi moderada
(20:43) pela Miriam Wimmer, e foi uma coisa muito interessante e legal, porque foi uma mesa composta só por mulheres. Tinha a Ana Paula Bialer da Brasscom, a Fernanda Rodrigues do nosso querido Iris, a Laura Schertel do IDP e da UnB, a Samara Castro da Secom e a Tainá Junquilho, também do IDP. Inclusive a Laura Schertel Mendes, que é, sem dúvida, ela e o Danilo eram os “pais” da proteção de dados no Brasil. Ela é, sem dúvida, uma das pessoas, junto com o Zanata, com o Bruno Bioni,
(21:24) mais relevantes na produção científica no Brasil de proteção de dados pessoais. E foi muito legal, se destacou muito isso, a presença das mulheres no evento. A ANPD foi muito feliz em promover essa questão da paridade, sabe? Aquela questão de você ter o cuidado de sim, trazer mulheres, e sim, fazer uma mesa só de mulheres. Isso me chamou atenção de uma forma muito positiva. Inclusive, na mesa de encerramento, o diretor-presidente Waldemar comentou que a ANPD hoje tem
(21:57) mais servidoras do que servidores, e isso é bastante relevante, bastante interessante. Então, foi um evento também, nesse aspecto, bastante diverso. Basicamente, foi um pouco do que aconteceu. Não sei se tem mais alguma dúvida, algum outro aspecto mais específico que tu queiras perguntar, senão a gente pode falar já sobre o tema da gestão de incidentes.
(22:21) Me chamou a atenção, como eu assisti tudo com calma, voltando em alguns aspectos, eu destaquei umas coisas que me chamaram a atenção, da mesa 1 principalmente, que foi a mesa
(22:38) composta só pela equipe da ANPD. A mesa que abriu os trabalhos, a do regulamento. E eles chamaram a atenção, o próprio presidente da ANPD chamou a atenção para o seguinte: não há uma certificação para o encarregado. A gente comentou isso várias vezes, por diversas situações que parecia que estava se criando no mercado uma necessidade de certificação, uma coisa que não existe. A própria ANPD colocou que não existe, a gente já sabia
(23:14) disso, a gente já falou sobre isso, já comentou no podcast mais de uma vez. E ele chamou a atenção para a importância de se estudar o tema. Então, muitas vezes a gente acha que um selo dado por alguém diz: “não, esse cara tem competência nesse assunto”. Mas, na verdade, estudar um assunto, ter domínio sobre uma determinada área, exige anos de estudo. Não é um curso que vai te dar alguns tópicos, depois te dar uma prova e tu vai fazer a prova e dizer “passou, tem um selinho”. Esse é um ponto que
(23:54) me chamou atenção, o próprio presidente da ANPD colocando isso. Outra coisa, Guilherme, que talvez tu queiras falar, mas com cuidado para não tomar muito tempo, é a questão de conflito de interesses. Eles chamaram a atenção para isso. E a questão de independência, a questão de autonomia do encarregado
(24:25) para exercer sua função. Me chamou a atenção que isso também foi frisado nessa primeira mesa. A necessidade do encarregado ser, obviamente, formalmente indicado e, além disso, ele estar livre de conflitos de interesse. Inclusive, foi feita uma pergunta para a mesa se o fato de o encarregado ser também o responsável pelo RH seria um conflito de interesses. E a resposta do representante da ANPD lá foi: “na verdade, vai depender, a gente vai ter que analisar o caso concreto”.
(25:03) Vai ter que analisar o caso concreto, mas que sim, pode gerar um conflito de interesses, à medida que, de repente, o RH pode decidir fazer um determinado tratamento que não deveria ser feito, mas porque o RH acha que deve. E como é a mesma pessoa… Perfeito. Então, isso me chamou a atenção. Dando um intervalinho aqui, dando boa tarde para o Rubens Padovesi. Lembra desse nome? Claro, sempre ativo no nosso grupo. O Rubens Padovesi está nos acompanhando. Grande abraço, seja bem-vindo, Rubens. Isso me chamou a atenção. Outra coisa que eles frisaram,
(25:45) que eles chamaram a atenção, foi para o sistema de petições para titulares de dados lá no site da ANPD. É um sistema que eles implementaram para que os titulares possam fazer demandas a encarregados de qualquer empresa, se você tiver tentado a demanda anteriormente e não tiver conseguido êxito, resposta. Então, você pode entrar lá na ANPD e fazer um peticionamento contra uma determinada empresa,
(26:25) solicitando o atendimento aos seus direitos como titular. Porém, você tem que informar, no momento em que você vai fazer a petição, você tem que demonstrar que você já tentou entrar em contato com a empresa e a empresa não respondeu via encarregado. O que é bem interessante, porque de repente, se você não tem um encarregado ou não tem uma forma que esteja funcionando para receber essas demandas dos titulares na sua empresa, alguém que tente uma vez já pode abrir uma petição na ANPD. E aí, quem vai pedir vai ser a ANPD. Quem pede aí é a ANPD.
(27:08) É bem interessante. Eles comentaram com relação a esse sistema que eles colocaram lá. Isso foi da primeira mesa, não vou citar mesa por mesa aqui. Mas, na mesa em que estava o pessoal da Anatel e do Nubank, o que comentaram? Teste de phishing, ou seja, treinar os funcionários das empresas para que eles não caiam em phishing e aí se tornem vetores
(27:51) para a geração de incidentes. Uma vez que cai em um phishing, um atacante pode fazer várias coisas dentro da rede da empresa ou nos sistemas acessados pela empresa. Foi comentado isso nessa mesa. E teve também um comentário, nessa mesa também, de não focar tanto em ferramenta. Foi a DPO da Anatel que falou. Ela vê o pessoal focando em ferramenta, fazendo, inclusive, licitações para
(28:35) ferramentas caríssimas e não fazem o básico, o fundamental, que é ter uma boa política, ter o encarregado, ter trabalho de conscientização dos funcionários e várias outras coisas que são, talvez, muito mais baratas do que algumas ferramentas que têm no mercado por aí. Então, ela chamou a atenção para isso. E, na visão dela, ela também deu um toque no sentido de que ela vê que falta ainda no mercado, embora tenha várias pessoas que tu mesmo conheces, Guilherme, que têm essa característica, falta gente do Direito que entenda
(29:15) de TI. E há, obviamente, um gap no sentido contrário também. O pessoal de TI, desenvolvimento de software, etc., que considere ou que tenha um entendimento mínimo da LGPD para já integrar isso nos requisitos dos seus softwares, além das questões de segurança propriamente ditas, que são mais amplas. Lembrando o que tu mesmo falou, eu vi isso na tua fala e pensei: “esse é o Guilherme, esse é o meu colega”. Quando falou: “olha, pessoal, todo mundo falando em vazamento de
(29:51) dados, vazamento de dados, vazamento de dados, mas a LGPD não demanda apenas a confidencialidade dos dados”. Então, não é só vazamento de dados que é incidente de segurança. Tem toda a questão da disponibilidade, da integridade desses dados. São todos os atributos de segurança que são necessariamente envolvidos ali. Nós temos um vídeo aqui no canal sobre os atributos de segurança da informação. Depois, pode só catar lá na abinha “Ao vivo” que você vai encontrar. E podcast também, temos um episódio gravado, devia ter sido
(30:24) gravado há uns 10 anos. Eu vou procurar agora, enquanto tu falas, que eu vou passar para você falar sobre os incidentes de segurança.
(30:33) Não, eu queria também dar uma comentada nesses aspectos que você colocou. Embora a nossa mesa fosse para falar sobre a questão da segurança e o papel do encarregado, não tem como deixar de falar sobre o papel geral do encarregado e sobre como esse cargo se coloca na nossa ordem brasileira. É muito importante destacar que, quando a gente compara com o modelo europeu, pelo GDPR, o
(31:02) encarregado sequer pode ser despedido pela realização de suas atividades. Ou seja, o encarregado, pela legislação europeia, seria quase como um “cipeiro” aqui no Brasil, o cara da CIPA. Aqui nós não fomos tão longe, mas estabelecemos alguns critérios e requisitos. Essa questão da certificação precisa ser dita, que foi colocada no próprio regulamento. Se a gente for lá no Artigo 14: “O exercício da atividade do encarregado não pressupõe a inscrição em qualquer entidade nem qualquer certificação ou
(31:46) formação profissional específica”. Ou seja, a autoridade deu uma certa abertura e autonomia para os agentes de tratamento escolherem e selecionarem seus encarregados. E essa questão do estudo que você destacou, Vinícius, é muito verdadeira, e também foi destacado lá que exige um estudo contínuo. Nós mesmos, eu que estudo esse tema já há bastante tempo, toda vez que sai uma norma nova, você precisa aprender e estudar aquela norma nova. Então, até as pessoas que estão estudando há bastante
(32:20) tempo o tema não podem parar. É um tema em franca ebulição, assim como ocorre em mercados regulados, sei lá, Banco Central é a mesma coisa. Você precisa manter uma atenção para essas novidades regulatórias que vão acontecendo. Tem esse aspecto que foi na lei e a própria questão da certificação, que a gente viu pessoas no mercado colocando falsas necessidades ou certas certificações que eram, maliciosamente às vezes, colocadas para se demonstrar como uma certificação obrigatória. Então, é uma resposta a isso, claro, quem está dizendo sou eu, não a autoridade, mas ao
(33:03) ler a norma e conhecer o contexto passado, você vê que é uma resposta àquilo. E a própria questão da formação profissional, porque são muitos os contextos e muitas as situações de empresas que vão ter o encarregado. Você pode ter desde uma empresa muito pequena, não que seja uma de pequeno porte, mas um agente de tratamento de pequeno porte, mas uma empresa que precise ter o encarregado porque realiza uma atividade, sei lá, com crianças, mas ainda assim é uma
(33:36) pequena empresa e precisa ter esse encarregado que vai realizar uma série de tarefas ou que tem uma atividade, sem dúvida nenhuma, interdisciplinar. E o que é essa interdisciplinaridade? Bom, ele vai precisar conhecer a LGPD, os regulamentos existentes colocados pela própria ANPD, ele vai precisar conhecer um pouco de tecnologia da informação. “Ah, mas Guilherme, tratamento de dados pessoais não é só com TI, eu tenho tratamento de dados pessoais em papel”.
(34:17) Sim, é verdade. Mas, ao mesmo tempo, é verdade que a grande maioria das atividades envolvendo dados acaba sendo digital. E o papel vai indo para o “beleléu” aos poucos. As próprias instituições de ensino, por exemplo, o MEC já exige que tudo seja nato digital. Já está valendo. Não pode mais ficar emitindo documento acadêmico em papel para o ensino superior. Então, já tem um movimento que vem de vários anos de cada vez mais ir para o eletrônico. O próprio governo, o pessoal do
(34:54) gov.br estava lá. Eles estão falando que têm mais de 4.000 serviços hoje vinculados. A coisa é cada vez mais digital. O documento do carro tu não recebes mais em papel, tu recebes eletrônico. Então, a gente está indo cada vez mais para o eletrônico. Para destacar que não é uma condição necessária o tratamento de dados em relação à TI, só para deixar isso marcado. E ainda, esse encarregado vai precisar conhecer também um pouco de segurança da informação nesse contexto, ou de cibersegurança.
(35:33) E aí, claro, você vê que, e isso é uma coisa muitas vezes deixada de lado, o encarregado não somente pode, como deve, e na maior parte dos contextos isso funciona, o encarregado pode precisar de uma equipe. Se ele não tiver todas essas competências, precisará de uma equipe que atuará junto com ele. Não me parece… Eu até conversava com alguns encarregados e pessoas da mesa, algumas pessoas falando: “Ah, porque criamos o e-mail do encarregado
(36:09) em algum órgão público qualquer. E aí, todo dia de manhã, minha primeira atividade de trabalho é ler, sei lá, 200 e-mails que me chegam para o e-mail do encarregado, sendo que, sei lá, 10% são coisas diretamente relacionadas com o papel do encarregado, todo o restante não tem nada a ver”. Veja, o encarregado não precisa fazer esse tipo de tarefa. Ele pode muito bem delegar essas tarefas e utilizar seu tempo para aquilo que é realmente relevante, ou ainda se consultar. Essa é outra coisa importante. E isso está no próprio
(36:46) regulamento do encarregado, lá no Artigo 10: “O agente de tratamento deverá prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos”. E essa foi uma coisa que eu bati bastante, eu quis deixar isso muito claro: os agentes de tratamento precisam dar condições para o encarregado trabalhar. E essa não é só uma necessidade evidente, qualquer cargo na empresa precisa ter condições para a pessoa trabalhar, mas isso é uma
(37:24) imposição regulamentar. A Autoridade Nacional de Proteção de Dados estabeleceu requisitos para o cargo. Ou seja, o agente de tratamento, ao contratar o encarregado, deve, por exemplo, permitir que ele tenha tempo para realizar suas atividades. E isso talvez seja um dos maiores desafios para os encarregados diante das próprias empresas, que muitas vezes não dão tempo para o encarregado trabalhar. Elas deixam o encarregado mergulhado em uma série de atividades, às vezes compartilhando o cargo com outras funções dentro da empresa,
(38:09) e até mesmo criando potenciais conflitos de interesse, e o sujeito não consegue trabalhar. Veja que isso já é uma situação de violação do sistema geral de proteção de dados no Brasil. Na Europa, isso é muito forte, muito marcado. Eu falei sobre um caso de Luxemburgo em que a autoridade lá verificou que a empresa não dava condições para o encarregado trabalhar. Olha que interessante. Porque não é o encarregado que vai responder nessas situações, quem vai responder é o
(38:46) agente de tratamento. Então, quando o agente de tratamento não dá condições para o encarregado trabalhar, ele, na verdade, está dando um tiro no próprio pé, porque no final das contas, o fato do encarregado não conseguir realizar sua atividade com o tempo e com os recursos que ele necessitaria pode culminar em uma sanção que, no final das contas, vai atingir o agente de tratamento. E aí sim, os próprios sócios desse agente de tratamento, diretores, sócios-administradores que eventualmente poderiam até ser responsabilizados
(39:23) diante de situações em que, propositalmente, o sujeito não deixa o encarregado trabalhar. E veja, só tem que ter um cuidado. “Maliciosamente” eu acho que é melhor colocar “propositalmente”, porque maliciosamente seria uma coisa assim: “ah, vou fazer isso para dar porcaria mesmo”. Mas não é. Às vezes, tu colocas outras questões do negócio como prioridade e quer assumir o risco. E o encarregado, e até por isso que ele é meio “CIPA”, ele
(40:00) não pode ser desligado, tem que gozar de uma certa proteção, porque esse cara é obrigado a chegar para o board da empresa e dizer: “Olha, essa operação aqui, esse tratamento que a gente está fazendo, está em desconformidade com a LGPD”. Ele tem que registrar isso, é da atividade dele. E aí, pode ser que não dê em nada. Ele avisou, o pessoal resolveu seguir com aquele tratamento, as coisas seguiram, a vida passou e
(40:32) não deu em nada. Pode ser. Pode ser que o fato de tu andares sem cinto de segurança não dê em nada por um tempo. Pode ser que o fato de tu não fazeres revisão no teu carro por muitos anos não dê em nada. Mas, no dia que der, tu vais ter que demonstrar que estavas tomando os cuidados mínimos necessários para que não desse razão ou oportunidade para que um incidente acontecesse. E a ANPD, eu vi em várias falas do pessoal da própria ANPD, está muito clara: não é que tu vás ficar toda hora
(41:11) dizendo as coisas para a ANPD, mas quando acontecer, nós vamos perguntar. Quando for necessário, nós vamos pedir. E aí você tem que ter. É interessante isso, porque é, de novo, a questão da prevenção e depois da remediação. Segurança da informação é a mesma coisa. A gente coloca: tu fazes pen test, modelagem de ameaças… Eu estava falando disso no último vídeo de terça-feira. É um investimento que tu estás fazendo ali, que talvez não vá ter um efeito na “carinha” do software,
(41:56) nas suas funcionalidades, mas vai impedir que aconteça algum problema. Depois que acontece, não adianta sair correndo e querer implementar as coisas. Vais implementar para evitar problemas futuros, aquele que aconteceu já era. E na LGPD, a coisa é muito semelhante. No que diz respeito às normativas, a essa questão da independência e do tempo do encarregado, isso tem que ser feito antes de acontecer um incidente. Não adianta, quando acontecer um acidente, dizer: “Pronto, agora tu te dedicas full-time para
(42:31) resolver isso”. Se a ANPD entrar na história, ela vai começar a fazer perguntas. E aí, quando começar a fazer perguntas, quais serão as respostas e as evidências? Não adianta só responder, tem que demonstrar com evidências que está tudo OK, tudo tranquilo.
(42:51) E quando a gente começa a ler também… Eu até comentei lá no evento de um documento do Article 29 Working Party, que depois virou o European Data Protection Board, que tem um documento sobre o papel do encarregado que destaca
(43:01) muito bem essas questões. Você precisa dar condições para ele trabalhar. Você precisa ter mapeado, inclusive, a quantidade de tempo que ele vai dedicar para essas atividades quando você tem, por exemplo, o encarregado desempenhando outras funções dentro da instituição. Por isso que é importante você buscar dar essa independência. E essa independência, inclusive, o próprio Artigo 10 que eu comentei antes, no inciso C, estipula: garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização. Isso que você falou,
(43:38) ele deve ter acesso à diretoria, à presidência da empresa. O encarregado, esta pessoa, quero dizer, de forma a realizar as comunicações devidas. E claro, muitas vezes, e é bastante comum por diversas razões, o agente de tratamento pode não concordar com o encarregado. Nesse caso, é bastante importante, e na União Europeia se recomenda isso, que o agente de tratamento registre as razões do não atendimento da recomendação do encarregado. Porque, se a gente for pegar os princípios de responsabilidade e de prestação de contas
(44:18) da própria LGPD, é aquela história: não basta você cumprir a LGPD, você tem que demonstrar o tempo inteiro como você está cumprindo.
(44:28) O episódio que a gente gravou sobre os objetivos da segurança, o que a gente chamou de atributos de segurança da informação, foi o Episódio 54, gravado em 18 de julho de 2014, quase exatos 10 anos. 10 anos e alguns dias. Faz 10 anos que nós gravamos este episódio.
(44:58) E eu repito para vocês, tem o vídeo aqui no nosso canal que eu gravei há umas duas semanas, sobre os atributos da segurança, mas o episódio continua perfeitamente válido. Quando as coisas são conceituais, a parte mais teórica, ela dura, permanece no tempo. É bom lembrar que esses atributos todos são demandados pela LGPD. Não é só questão de evitar vazamento.
(45:29) Lembrando que a ANPD gosta que o pessoal chame de
(45:34) encarregado, não de DPO. Mas não adianta, vai ser DPO… E Guilherme, a gente prometeu, inclusive na chamada e eu prometi na minha live de terça, que tu farias uma expansão do tema que tu levaste para o evento, que no final das contas o tempo acabou ficando bastante exíguo, tinha várias pessoas para falar e a coisa ficou bem apertada. Então, eu gostaria que tu trouxesses o tema que tu falou lá e desse uma expandida para o nosso ouvinte do
(46:14) Segurança Legal. Acho que a primeira coisa é colocar essa nova realidade, muito presente, que é o papel do encarregado dentro das situações de incidentes de segurança. O Vinícius já comentou antes que a gente precisa, antes de qualquer coisa, conhecer os atributos de segurança, e esses atributos ou propriedades da informação também devem ser levados em consideração para muito além da ideia de confidencialidade. Ou seja, incidente de
(46:51) segurança para a LGPD não é somente o vazamento de dados ou o acesso não autorizado, porque eu posso ter acessos não autorizados sem necessariamente consistir em um grande vazamento. Preciso observar e também serão considerados como incidentes de segurança as violações aos dados pessoais que afetem os atributos da integridade e da disponibilidade. E, mais especificamente, quando a gente fala em disponibilidade, a gente também tem que começar a falar sobre a resiliência, que não deixa de ser um desdobramento da disponibilidade, que é justamente essa capacidade dos sistemas de resistirem a
(47:31) situações de ataques, por exemplo. Lembrando, e é claro que a gente tem esse… Eu já comentei várias vezes: fala-se em incidente, fala-se em vazamento; fala-se em violação de dados, fala-se em vazamento. Mas não podemos esquecer, por exemplo, da disponibilidade. O exemplo do hospital: o sujeito que vai realizar alguma atividade, uma operação, e no momento em que ele precisa dos dados de saúde do paciente, ele não consegue ter acesso àqueles dados, e o sujeito poderia ter danos físicos.
(48:00) E até para citar uma coisa que
(48:03) aconteceu há pouco, o caso CrowdStrike. Aquilo ali é um incidente de… Só para lembrar, o CrowdStrike foi aquela situação em que uma empresa chamada CrowdStrike, que é a maior prestadora de serviço na área de segurança do mundo, tinha seus softwares instalados em vários servidores de várias empresas diferentes. As que mais chamaram a atenção foram as companhias aéreas, mas tem várias outras: hospitais, empresas governamentais, um monte de gente tinha essa coisa instalada. E eles, por um
(48:40) erro… Acho que foi no último Café que a gente comentou esse episódio. No final das contas, o que aconteceu foi que nós tivemos a indisponibilidade de diversos sistemas pelo mundo, voos sendo cancelados e tudo mais. Naquelas situações em que essa indisponibilidade afetou titulares de dados pessoais, nós temos, eventualmente, se houve um prejuízo
(49:16) concreto e tudo mais, uma violação da LGPD. Teve um incidente, foi um incidente de segurança. Primeiro que a própria CrowdStrike disse que não foi um incidente de segurança. Claro que foi. Foi sim, e eu explico bem claramente nos vídeos aqui do canal por que foi. A questão é: onde teve envolvimento de dado pessoal, nós tivemos um incidente de dados pessoais atingindo a disponibilidade desses dados. Não vazou nada, mas ficou indisponível.
(49:54) A gente até não sabe se não vazou por conta da indisponibilidade de um sistema. Até poderia ter vazado, mas sim, a disponibilidade foi o atributo mais evidente. E aí o encarregado, e esse é o ponto, a gente também tem esse cacoete de achar que os incidentes de segurança são somente incidentes que envolvem a intenção de agentes, que eu sempre terei criminosos atuando contra os sistemas. Sim, o papel dos criminosos é muito importante, muito prevalente, muito percebido. E aí você tem uma série de técnicas para cuidar disso. Mas você também tem
(50:31) incidentes causados por erros humanos, você também tem incidentes causados por situações muito banais de empresas assoberbadas que não conseguem sequer ter tempo ou a limpeza mental de tomar certos cuidados. O sujeito entra no automático. Deixar as pessoas com muito trabalho também é uma vulnerabilidade que pode ser explorada em algumas situações, ou que naturalmente pode culminar em um incidente de segurança. São muitas as
(51:11) fontes, são muitas as ameaças, mas não se dá somente em situações maliciosas. Eu tenho situações também acidentais de incidentes, e isso também é considerado incidente. E, claro, o ambiente vai ficando cada vez mais complexo: o uso de nuvem, os ataques aumentando, a migração do crime físico para o digital, você tem agentes internos também que eventualmente podem querer se vingar, podem cometer equívocos, podem descumprir regras de segurança, e isso também pode culminar em incidentes. É claro que a gente fala sobre dados pessoais.
(51:47) É aí que entra o papel do encarregado, e essa é a força que a LGPD traz para a segurança da informação. Porque o encarregado, em primeiro lugar, é um ente legalmente definido para realizar esta atividade. Então, legalmente, o encarregado de proteção de dados precisará estar envolvido em incidentes de dados pessoais. Esse é o primeiro ponto. Ele vai atuar de mãos dadas com a área de segurança da informação, quando houver. E aqui eu estou tentando abordar o tema numa perspectiva de uma empresa um pouco
(52:31) mais organizada, que possua um setor de TI, um setor ou cargos de segurança da informação, um encarregado, e que essas atividades sejam realizadas por pessoas distintas, justamente para evitar o conflito de interesses e também para dar uma autonomia maior para o encarregado. Porque quando o encarregado é o próprio gestor de segurança, por exemplo, nós temos um flagrante conflito de interesses. Porque um dos papéis… aí eu acho que sim, é incompatível, me parece incompatível, de forma que o encarregado,
(53:13) ele terá também essa atividade de compliance em proteção de dados. Porque aí sim, e essa é uma coisa importante, não são todas as empresas que possuem um Compliance Officer, uma pessoa, um cargo responsável pela conformidade geral da instituição. Então, quando você tem, bom, essa pessoa vai agregar todos esses cargos e vai verificar, por exemplo, se o gestor de TI, o encarregado, o gestor de segurança e outros cargos relacionados estão realizando suas atividades respectivas. E aqui, claro, numa
(53:52) perspectiva mais preventiva, porque quando eu falo em gestão de incidentes, eu também tenho um aspecto preventivo. Eu preciso ter situações, por exemplo, de análise de riscos, de modelagem de ameaças, Vinícius, para saber exatamente a que eu estou exposto. Então, quando eu sei a que estou exposto, consigo me preparar melhor no caso de ocorrências de incidentes e também consigo me preparar melhor para situações de planejamento de continuidade. Por que continuidade é importante? Porque eu tenho aqui, eventualmente, a possibilidade de ter a minha
(54:34) disponibilidade afetada. Então, continuidade de negócios também entra nessas responsabilidades. Eu dizia, eles andam de mãos dadas, são quase como irmãos, o encarregado и o gestor de segurança. E assim como irmãos, os irmãos brigam. E, além de brigar entre si, são odiados. Todo mundo odeia. Em vez de “Todo Mundo Odeia o Chris”, a série aquela, é “Todo mundo odeia o encarregado e todo mundo odeia o gestor de segurança”.
(55:12) Posso fazer uma parte? Na verdade, vocês que odeiam os encarregados e o pessoal da segurança deveriam direcionar o seu ódio àqueles que provocam a necessidade da existência de um encarregado e da segurança: a galera que fica aplicando golpe por aí, invadindo sistema, etc. É a esses que você tem que direcionar o ódio, e não a quem tenta evitar que alguma coisa aconteça.
(55:55) É aquela história. Você tem outras áreas, sei lá, na indústria de alimentos, você vai ter pessoas responsáveis por cuidar da qualidade dos alimentos. Talvez nem todo mundo goste dessas pessoas. Eu gosto deles, é um cargo importante. As próprias pessoas… um dos aspectos da questão do encarregado e da própria segurança é que os gestores das empresas também são titulares de dados, e eles não percebem. E é
(56:33) bastante comum que os dados deles estejam nos próprios serviços mantidos pela instituição em que ele trabalha. Logo, quando ele negligencia a proteção de dados, ele também se expõe no final das contas. Então, acho que um dos papéis importantes que o encarregado vai ter, e se falou muito em conscientização, é conscientizar tanto os gestores, o board, quanto os próprios empregados de que eles são titulares de dados pessoais e que há o interesse da proteção dos dados dessas pessoas também. A mesma questão com a segurança.
(57:04) Isso é sempre o Vinícius que fala: o funcionário, quando é bem treinado com técnicas de segurança fora da empresa, vai trazer essas boas práticas para dentro da empresa.
(57:22) Quando tu convences, quando demonstras para ele como ele faz para se proteger, ele, pessoa física, não se proteger como colaborador da empresa. Ele tomar cuidados com ele. No momento em que ele entende isso, ele naturalmente começa a trazer isso para a empresa. Sem contar que interessa muito à empresa que o seu
(57:48) colaborador cuide muito bem das suas coisas pessoais também, porque senão podem virar vetores. Com o home office ou com o BYOD, o cara usa o mesmo dispositivo pessoal dele na empresa para comunicação, para trocar alguma informação, para acessar algum sistema, gerar algum token. Daqui a pouco ele está fazendo isso com o telefone dele. E se ele não tem o mínimo de cuidado, se ele não tem o mínimo de cultura de cuidado com seus próprios dispositivos, o que já pode afetar diretamente a empresa, que
(58:26) tipo de cuidado ele vai ter com as situações dentro da própria empresa? Facilita bastante trabalhar a conscientização dos colaboradores, principalmente para as coisas deles, e isso naturalmente vai fazer parte da cultura que ele vai trazer para a empresa. Não é alguma coisa externa ao dia a dia dele, que ele não percebe a importância e que é mais uma burocracia para ele cumprir no meio do trabalho.
(58:55) Perfeito, é isso. Esse aspecto une as duas atividades, de segurança e do encarregado. E no final das contas, o último ponto de união entre esses dois cargos é que eles precisam atuar, muitas vezes, contra os interesses de outros cargos, contra interesses de muitas pessoas dentro da empresa, e às vezes contra os próprios interesses econômicos. Atuar em mercados regulados certamente faz com que você, enquanto gestor de segurança ou encarregado, precise dizer aos gestores que eventuais projetos e tentativas de monetização,
(59:39) ou atividades quaisquer que envolvam dados pessoais ou que envolvam dados, podem esbarrar, sim, em limites regulatórios. Então, sim, você vai ter um embate, uma tensão entre a atividade de segurança e a atividade do encarregado contra outros atores internos. E aí é a questão da autonomia do encarregado que emerge, tanto na Europa quanto no nosso regulamento do encarregado. Mas não é só conflito de interesses, não é só dar para ele os recursos necessários lá do
(1:00:15) Artigo 10. É garantir, no inciso III, a autonomia. E o que é autonomia? A empresa precisa ouvir. Os europeus dizem que a empresa não deve dizer para o encarregado como ou o que ele deve fazer, ou as coisas a que ele deve prestar atenção. Por exemplo: “ah, esse projeto aqui, não vamos te envolver” ou “deixa para depois”, ou “presta mais atenção naquilo”. Quando houver esse problema aqui, você… Não. Ele tem a autonomia técnica, ou seja, ele cumpre a lei. Por isso que o papel do encarregado é tão
(1:00:53) importante. Não é só uma questão de proteger os dados dos titulares, é uma situação de conformidade. Ele diz para a empresa, e afinal de contas, ele é o especialista. Então, ele dirá para a empresa, ele tem que ter autonomia para fazer tudo isso. De uma forma um pouco mais prática, como ele se envolve no papel de gestão de incidentes? Primeiro, ele vai ajudar na preparação. A partir de agora, fica muito claro que todas as políticas que envolvem tanto
(1:01:32) as políticas de segurança quanto as que envolvem a gestão de incidentes devem passar por uma avaliação e contribuição do encarregado. E uma das coisas que a gente vê muito frequentemente, quem é da área de segurança já viu, são aquelas empresas que ou não possuem um canal adequado para recepção de alertas de segurança ou de vulnerabilidades, como é bastante comum. A gente já gravou sobre isso, comunicação de vulnerabilidade.
(1:02:04) Vou pegar o episódio aqui. O que acontece? Um dos pontos cruciais em uma gestão de incidentes é que, claro, você vai, preferencialmente, ter mecanismos tecnológicos que ativamente vão detectar, por exemplo, vulnerabilidades antes de elas serem exploradas, ou até mesmo detectar tentativas de incidentes. Você vai ter IDS, logs, IPS, DLP, uma série de mecanismos de segurança funcionando justamente para tentar prever
(1:02:46) situações de incidentes. Mas você vai ter situações em que os incidentes serão comunicados, tanto por titulares de dados quanto pela comunidade geral, as pessoas que eventualmente vão te avisar: “Olha, aquele teu sistema lá tem um problema assim, assim, assado”. E é muito comum que as empresas не levem a sério esses alertas.
(1:03:10) Citando aqui, o Episódio 50 do Segurança Legal, “Reagindo a Comunicações de Vulnerabilidade”, gravado em 9 de maio de 2014.
(1:03:20) Perfeito. Então, você vai ter essa contribuição do encarregado na montagem desse ponto de contato, quem serão os pontos focais, os alertas que devem ser observados. Porque quem tem o conhecimento da criticidade… e esse é um ponto interessante: via de regra, a TI e a segurança da informação não têm o mesmo conhecimento da seriedade ou da sensibilidade, não
(1:04:02) de dados sensíveis ou não, mas da própria sensibilidade geral da atividade de tratamento de dados. É muito comum as equipes de tecnologia quererem fazer coisas que, quando o encarregado fica sabendo, ele fica louco. “Não, mas isso é óbvio, é evidente que não pode ser feito, ou que está errado, ou que esse tipo de tratamento aqui pode culminar num incidente”, que eventualmente as outras equipes não veem. É por isso que a atividade de preparação é útil para envolver esse encarregado. E aí ele
(1:04:33) vai trabalhar, além dessa atividade de políticas e organização, o próprio treinamento. Existe treinamento para gestão de incidentes, você monta uma equipe, um time de resposta a incidentes, e o planejamento de como esse time vai agir vai envolver, em algum momento, também o encarregado, atuando aí na próxima fase, não mais na preparação, mas nas fases de detecção, classificação e registro. Por quê? Porque uma vez que incidentes sejam detectados, seja de forma automática ou comunicados por partes externas, ou ainda notados pelos próprios funcionários — essa é uma coisa muito comum também de acontecer,
(1:05:18) né, Vinícius? Os funcionários, às vezes, estão lá nas suas atividades e diariamente se deparando com incidentes de tratamento de dados e não reconhecem, não foram treinados para reconhecer. Exato. E se eles comunicassem o encarregado disso, aí nós teríamos uma atuação antecipada, ou até mesmo antes, situações às vezes até suspeitas. Então, esse treinamento de detecção, de classificação… agora, claro, o ideal é que as empresas não sejam surpreendidas. O encarregado, então, vai se avaliar
(1:05:59) nessas etapas. Primeiro, ele precisa registrar os incidentes. Tem um dever de registro de incidentes de segurança da informação, incidentes que envolveram dados pessoais. Esses registros devem ser mantidos por, no mínimo, 5 anos pelo encarregado. E vejam, inclusive daqueles incidentes que não foram comunicados para a ANPD. Ele não precisa registrar somente aquilo que comunicou para a ANPD. Ele precisa deixar registrado aquilo que comunicou e aquilo que não comunicou. E eu vou mais além: eles precisam deixar
(1:06:37) registrado o porquê de não terem comunicado para a ANPD aquele incidente. Essa vai ser uma atividade também do encarregado, no final das contas.
(1:06:51) Tu vês que tens que documentar muito bem as suas decisões. A decisão de não seguir uma recomendação do encarregado, a decisão de não comunicar um incidente, as decisões de tratamento de dados que foram tomadas. Tudo isso tem que ser muito bem documentado. Depois, quando dá uma “caca”, quando dá um incidente, e tu fores demandado, tens formas de responder, de mostrar o cuidado que tiveste previamente.
(1:07:23) Claro, e veja, idealmente as equipes de segurança já deveriam fazer isso. Você precisaria ter os times registrando os incidentes. A gente já falou sobre isso aqui várias vezes. Você sempre traz o exemplo do CENIPA, da forma independente de investigação de incidentes aéreos. A gente tem normas, por exemplo, a norma ISO 27035,
(1:07:45) que fala sobre a próxima etapa, que é avaliação e decisão. Pois bem, identificou-se o incidente, classificou-se o incidente, iniciou-se o registro. Notem que em todas essas etapas está lá o encarregado atuando. Como a gente tem prazos exíguos para notificação compulsória de incidentes de dados pessoais, o encarregado deve ser envolvido, deve estar treinado e deve ter participado de treinamentos de outras equipes para, imediatamente
(1:08:28) nessas identificações, já começar a planejar e tomar decisões. Porque primeiro ele precisa saber qual foi o problema, depois precisa saber quem foi afetado. Isso é muito importante, quantas pessoas foram afetadas e qual a extensão do incidente, o que foi feito tanto para evitar, e também o que foi feito depois que se descobriu o incidente. Isso é prática geral para a gestão de incidentes, mas agora, com os novos regulamentos tanto de comunicação de incidentes quanto do encarregado, isso tudo precisa ser registrado. O que a
(1:09:05) empresa fez depois que descobriu o incidente? Por que ela demorou tanto tempo para comunicar o incidente? Essas coisas todas precisam ser registradas e mantidas pelo próprio encarregado também. Lembrando que não há a hipótese de você não envolver o encarregado nesses incidentes. Inclusive, você pode ter que envolver o encarregado, nem que seja para ele dizer que não precisava ser envolvido. Tudo bem, a equipe de segurança envolveu o encarregado, ele viu: “não, isso aqui não é dado pessoal, foi uma falha no sensor de um trator”.
(1:09:40) Então, não é dado pessoal, me retiro. Mas o que não pode é não envolver o encarregado quando se deveria. Então, pecar pelo excesso não deve ser uma preocupação. Até porque, quem vai decidir se esse incidente de segurança pode acarretar risco ou dano relevante para o titular, e que, portanto, deveria levar à comunicação tanto à ANPD quanto aos titulares, é o próprio encarregado. Note que aqui, decisões estão sendo tomadas, categorizações estão sendo tomadas, priorizações podem ser feitas.
(1:10:20) Vamos imaginar uma empresa… Pega um gov.br, quantos incidentes esses caras devem lidar por dia? Ou outros sistemas governamentais, ou bancos. Os caras lidam com incidentes diariamente. Eu tenho que ter critérios para fazer triagem. A ISO 27035 fala em triagem, igual àquela que você faz no hospital. Você vai tratar o incidente mais grave, aquele cara que está tendo um ataque cardíaco. Nesse sentido, incidentes com dados pessoais são o referente ao ataque cardíaco, você vai ter que dar uma prioridade muito grande. E notem,
(1:11:00) eu repito, percebem como você tem uma atividade interdisciplinar aqui do encarregado e a necessidade de se afastar conflitos de interesse? Porque ele vai cobrar. Ele vai chegar em algum momento, sobretudo depois, nas lições aprendidas. Bom, está chegando ao fim, se descobriu tudo, está tudo registradinho. Pois bem, agora vamos sentar e vamos ver. E o encarregado terá, me parece, o recomendado seria que ele consiga mover a instituição para um patamar em que aquilo não mais se repita. Claro, tem coisas que são
(1:11:44) inevitáveis, sei lá, enchente. De certa forma, para o encarregado e para a equipe, você consegue tomar medidas de continuidade para diminuir tempos de indisponibilidade. Mas o encarregado irá cobrar a instituição. O encarregado poderá, inclusive, solicitar informações mais técnicas, relatórios mais técnicos do porquê, tecnicamente, aquele incidente se deu. Se eu tenho o gestor de segurança ou o gestor de TI dividindo funções com o encarregado, como é que ele vai se cobrar a si mesmo acerca daquelas
(1:12:24) responsabilidades? Notem que o encarregado está atuando em todos os momentos. E vou mais além, isso acho que é bem importante: uma das atribuições do encarregado é manter os inventários e os registros de todas as atividades de tratamento. Que é toda aquela coisa do dia a dia: sai um novo processo de negócio, você registra aquilo, diz quais os dados que foram tratados, os titulares envolvidos, os sistemas que armazenam aqueles dados, eventuais tempos de armazenamento, de indisponibilidade possível. Ou seja, tem
(1:13:04) uma série de requisitos, e a própria ANPD já deu os exemplos de inventários, e cada empresa acaba adaptando às suas necessidades. Veja, o encarregado tem algo que, muitas vezes, as equipes de TI não conseguem ter por uma questão prática de falta de tempo. O encarregado consegue, com base nessa documentação obrigatória, ter uma visão dos processos de negócio e uma visão técnica muito horizontalizada. Ele consegue ir desde titulares envolvidos até tempo de armazenamento, até sistemas que armazenam,
(1:13:36) até terceiros que têm acesso. Nesse sentido, esse conhecimento dos inventários e dos registros das atividades de tratamento podem e devem ser usados pelo encarregado, e o encarregado deve ser chamado para trazer esse conhecimento também para a área de gestão de incidentes, que certamente é um conhecimento que, às vezes, as outras equipes não têm. Deveriam ter, mas não têm. Então, o encarregado consegue, com essa visão mais horizontal que ele tem das atividades de tratamento de dados, realizar categorizações e apoiar em respostas de
(1:14:17) uma forma muito mais efetiva, porque ele não deve atuar só comunicando. O que a empresa quer, na verdade, não é que o encarregado só fique comunicando incidentes para a ANPD. Ela quer que ele evite. Claro. O encarregado, e aí essa é a coisa, a gente já trabalhou muito com auditorias. Eu falo para uma encarregada cliente nossa: a gente tem que ter um pouco esse viés. O encarregado tem que ser um pouco auditor, ele tem que ser o “perguntador”, ele tem que questionar. Ele vai ter que perguntar: “mas por que isso aqui aconteceu?”, ou “quem é o responsável
(1:14:53) por isso?”. Ou seja, ele vai realizar, quando não houver o Compliance Officer, essa atividade de verificação interna da conformidade. Por isso que a autonomia é tão importante, por isso que o conflito de interesses não deve existir, e por isso que ele tem que ter essa questão técnica de não ser refém. Ele tem uma autonomia. E, claro, eu preciso reconhecer, talvez a grande maioria das empresas ainda não está pronta para reconhecer essa autonomia, e esse talvez seja o próximo salto que a gente precisa dar. Me parece que a ANPD
(1:15:27) foi nessa linha de reconhecer a importância desse cargo para o sistema geral de proteção de dados no Brasil, de conseguir suportar essa autonomia. Não só a decisão de querer, mas de conseguir suportar essa autonomia. Porque não tem jeito, é um requisito a mais que tu tens que considerar, que nem segurança da informação, que acaba gerando, não vou dizer um desconforto, mas um trabalho adicional. Eu brincava no último
(1:16:03) vídeo que gravei, na última live de terça-feira, que é um pouco o trabalho de ser meio “Poxa, pensar tudo que pode dar errado”. Na modelagem de ameaças, em segurança. E na proteção de dados, não é só sobre tudo que pode dar errado, mas também “que usos eu posso fazer da informação?”. Analisar o uso. Num cenário em que a gente simplesmente usava a informação e pronto, de repente tu precisas começar
(1:16:36) a documentar e pensar sobre que informações tu estás coletando, para quê, como tu justificas essa coleta, esse tratamento. Todas essas perguntas que a LGPD nos força não é só uma questão de pensar o que pode dar errado, mas de cumprir um requisito legal que a gente não tinha. E isso tudo gera uma carga extra de trabalho. Lembra daquele auditor da Caixa Econômica que foi no evento? O pessoal estava comentando lá.
(1:17:12) Tem vários aspectos para pegar da fala dele, mas o aspecto que nós resolvemos pegar para comentar no nosso Café, e eu trago aqui de novo, é que ele teve um dado momento que falou assim: “ah, compliance… que o pessoal tem que ficar preocupado com compliance”. É justamente esse pensamento de “dane-se o compliance, vou fazer a coisa de qualquer jeito” que muitas vezes está na raiz do problema ainda. “Azar, como é que é? Eu sou obrigado a usar cinto?
(1:17:44) Eu não posso beber minha cerveja quando estiver dirigindo meu carro? Azar, eu quero dirigir meu carro sem cinto e tomar cerveja”. Nas cidades do interior, aqui, a gente vê com uma certa frequência isso, às vezes até na frente da polícia. É bem delicado. A gente tem que entender. E a coisa é meio maquiavélica no seguinte sentido: até começar a se perceber claramente o prejuízo que tu podes ter em não seguir a LGPD, em não respeitar
(1:18:25) legalmente a LGPD, até não se perceber a necessidade, o quanto isso pode “botar o rei em perigo”, como Maquiavel ali, dando sugestões para o rei conseguir manter o seu reinado. Até se perceber isso, tiver essa noção de impacto financeiro advindo da concretização de uma ameaça relacionada à quebra de segurança de dados pessoais, enquanto essa barra for baixa, vai se perceber que o investimento que eu tenho que fazer ainda é muito alto.
(1:19:09) Entende? O investimento que vou ter que fazer para tornar meu sistema, meu negócio, não só o sistema, mas meu processo de negócio, minha atuação, meu tratamento de dados pessoais, adequado à LGPD, talvez eu vou olhar e dizer: “cara, é muito caro fazer isso aqui. E eu não estou vendo… é muito caro, porque se der algum problema, talvez nem aconteça nada. É muito dinheiro para botar, não vou colocar esse dinheiro aqui agora”.
(1:19:37) A partir do momento em que há uma percepção de que “opa, pode ser muito caro eu não tomar ação nenhuma ou fazer isso aqui errado, não tratar adequadamente, não documentar, não conseguir mostrar que eu estava adequado antes de um incidente”, se começar a ver essa preocupação, bom, aí tu vais colocar na balança: “eu posso perder 1 milhão ou posso investir X, que é muito menos do que 1 milhão”.
(1:19:59) É o mercado. Tem vários elementos aí, acho que a gente já pode ir se encaminhando, Vinícius, já deu 1 hora e 15.
(1:20:17) É um pouco aquela questão da cultura. A gente se inspira no modelo europeu. Eu uso o exemplo, eventualmente em aula: visitei uma igreja uma vez na Itália, e quando você ia fazer seus pedidos para pessoas doentes, tinha lá o formuláriozinho de pedidos e tinha um disclaimer da LGPD numa igreja. Entendeu? Eu nunca vi nada parecido. Dado pessoal sensível. “Fulano de tal está com a doença tal”, “Gostaria que meu tio, fulano de tal, que está com a doença tal…”.
(1:20:53) Esse é um exemplo bem extremo. Na Europa também você tem coisas muito erradas acontecendo, empresas que ainda não se adequaram, tem tudo isso. Não é também uma coisa perfeita. Mas a gente tem sim esse problema da falta de maturidade empresarial. Esse é o ponto. Você tem todas as questões relacionadas ao próprio capitalismo, que é isso que você colocou, ou seja, certas decisões de custo-benefício muito imorais, que eu acho que está na razão de tudo.
(1:21:26) Tu investes em segurança quando podes perder dinheiro, tu vais investir em adequação à LGPD quando puderes perder dinheiro. Pois é, mas aí é que está. Para além dessa análise de custo-benefício e de eventuais decisões imorais ou antiéticas, você tem, a partir de agora, uma questão que vai envolver um dever regulatório. Ou seja, você tem o dever de cumprir aquela regulação. Nesse sentido, não sei se é possível calcular o custo de descumprir leis. Você tem uma certa pretensão de achar que aquilo será barato, porque você
(1:22:07) tem, e eu comentei isso logo no início da minha fala, o imponderável da insegurança. O que é o imponderável da segurança? É aquilo que está fora do nosso controle. A vida é muito complexa, você tem muitas coisas fora do controle das pessoas. Você ainda tem esse imponderável. E, a depender do imponderável, a falta da tomada de boas práticas de segurança e de proteção de dados pode trazer consequências imprevisíveis. E é essa pretensão que muitos gestores
(1:22:41) têm de dizer: “não, eu vou economizar aqui, vou fazer aquela minha analisezinha de custo-benefício”. Cuidado, porque isso pode ser realmente muito perigoso. E você tem um elemento de demonstração dessa ideia do cara que é negligente. Não há mais espaço para negligência, para imprudência na área de segurança da informação, por tudo que a gente falou. E aí entra nesse “baile” que a gente já está dançando essa música também há bastante tempo, mas agora o encarregado entra nesse
(1:23:16) baile da segurança. O encarregado também vai dançar nesse baile. Até uma das brincadeiras que se fez lá no evento era o pessoal chamando o encarregado de “sobrecarregado”. O encarregado é sempre sobrecarregado. Por uma imposição legal, esse cara, o encarregado e as encarregadas — em grande número lá também, Vinícius, não é só encarregado, são encarregadas — eles também vão entrar nesse baile e também vão ter que se envolver em toda essa prática da segurança. A parte da gestão de incidentes é somente uma.
(1:23:50) E no final das contas, o encarregado tem o poder de ser um vetor de mudança também para a segurança. A própria área de segurança, se for inteligente, pode se beneficiar da participação do encarregado, porque ela pode conseguir promover ações que antes não conseguia, e que agora, pela via legal, porque a lei manda, ela pode se utilizar também do apoio do encarregado. São algumas interações que podem nascer dessa… A gente já viu, nesses anos todos, são 20 anos atuando nessa área,
(1:24:24) a gente já viu muito conflito de interesse na área de segurança da informação, e envolvendo o encarregado, mais ainda. Quando a gente fala não só do dinheiro no final, que eu acho que no fundo é o que faz a música tocar, mas também tem o esquema da pressa, dos cronogramas, do “time to market” de um determinado produto, e essas coisas — segurança, LGPD — normalmente vão ficando pelo caminho. Então, se você que nos ouve se identifica com
(1:24:59) essa situação, não se sinta tão mal. Sinta-se mal para resolver, mas não se sinta tão mal, porque é meio que o comum que a gente encontra. Fora grandes empresas que têm uma preocupação com compliance e tudo mais, tem muita gente que nem encarregado tem ainda, né, Guilherme? Ou tem encarregado, mas não de fato. Ou tem de fato, mas não tem tempo para atuar, ou não tem espaço para atuar. É realmente bem delicado.
(1:25:33) Para encerrar agora, de verdade, é um pouco aquilo… até te mandei o link, Vinícius, é um artigo do Ross Anderson, infelizmente falecido recentemente. Ele tem um artigo que é “Why Information Security is Hard: An Economic Perspective”, e ele vai um pouco nessa tua linha, numa perspectiva de economia, a questão dos incentivos, dificuldade de distinguir o bom do mal e questões psicológicas,
(1:26:10) essa capacidade que tu achas que tens de prever as coisas ou de achar que as coisas não vão acontecer contigo, que é típico do negligente na área de segurança. Fica essa recomendação, a gente não tinha trazido nenhuma recomendação. Fica o artigo do Ross Anderson. Eu coloquei no chat, depois isso vai parar na descrição, inclusive lá no nosso feed. É isso, Guilherme?
(1:26:40) Teve um pouco mais de tempo do que lá no evento para poder destrinchar esse assunto, e ainda assim, eu acho que ficou muita coisa. É um assunto bastante complexo, não se resolve em uma hora de conversa.
(1:26:55) Encerramento, então. Esperamos que todos tenham gostado do nosso episódio e nos encontraremos no próximo episódio do podcast Segurança Legal. Até a próxima!
(1:27:06) Até a próxima!
(1:27:15) Se eu chegar perto do microfone, faço a mesma coisa também. Dá uma mexida nos meters ali. Mas é isso aí, cara, deu certo aqui. Estamos ao vivo ainda, cuidado, não desliguei aqui, calma. O Juarez aqui nos mandou um “grato pelo excelente conteúdo”. Um abraço, Juarez. Um abraço novamente pro Padovesi, que nos acompanha já há bastante tempo. E ajudem a gente a distribuir esse conteúdo. A gente fica bastante feliz de contribuir para a educação na área de segurança e proteção de dados, que é o grande objetivo do Segurança Legal, além, é claro, embora a
(1:27:55) gente faça pouco isso, para o desespero da Camila, que é a nossa comercial na BrownPipe, de divulgar o nosso trabalho na BrownPipe. É isso aí, Guilherme.
(1:28:06) Certo. Então, até a próxima, pessoal.
(1:28:09) Tu já disseste “até a próxima”. Digo de novo agora. Até a próxima, então, pessoal. Falou, valeu, abraço! [Música]
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
110 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
173 Listeners
Giro do Loop
91 Listeners
Tecnocast
42 Listeners
NerdCast
1,009 Listeners
Naruhodo
120 Listeners
Petit Journal
77 Listeners
Durma com essa
44 Listeners
História FM
30 Listeners
Ciência Suja
17 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
1 Listeners