Contratos públicos, LGPD e Segurança Digital

Views: 120
0 0
Read Time:9 Minute, 26 Second

Recentemente, a Empresa de Tecnologia da Informação e Comunicação do Município de São Paulo (PRODAM) promoveu alterações em seu contrato de prestação de serviços no intuito de deixar claro a preocupação da empresa em ser informada sobre incidentes de segurança digital relacionados à informações pessoais que eventualmente sejam acessadas pelos prestadores de serviços.

Analisando um pouco melhor a Cláusula IX do contrato – obtido através do Portal da Transparência da Prefeitura de São Paulo (http://transparencia.prefeitura.sp.gov.br/contratos-convenios-e-compras-publicas/), cabem ainda alguns comentários e observações sobre essa iniciativa:

CLÁUSULA IX – DA PROTEÇÃO DE DADOS

9.1. A CONTRATADA, obriga-se, sempre que aplicável, a atuar no presente Contrato em conformidade com a legislação vigente sobre Proteção de Dados Pessoais e as determinações de órgãos reguladores/fiscalizadores sobre a matéria, não colocando, por seus atos ou por omissão a PRODAM-SP em situação de violação das leis de privacidade, em especial, a Lei nº 13.709/2018 – Lei Geral de Dados Pessoais (“LGPD”).

Analisando a cláusula acima, fica claro que a empresa contratada deve observar a LGPD e não se omitir em relação à manipulação e segurança de dados pessoais que eventualmente tenha acesso no exercício do contrato. A contratada, deve então, tomar medidas administrativas e técnicas para garantir o atendimento à lei. A função do DPO (Data Protection Office) torna-se, assim, imprescindível para tal.

9.2. Caso exista modificação dos textos legais acima indicados ou de qualquer outro, de forma que exija modificações na estrutura do escopo deste Contrato ou na execução das atividades ligadas a este Contrato, a CONTRATADA deverá adequar-se às condições vigentes. Se houver alguma disposição que impeça a continuidade do Contrato conforme as disposições acordadas, a PRODAM-SP poderá resolvê-lo sem qualquer penalidade, apurando-se os serviços prestados e/ou produtos fornecidos até a data da rescisão e consequentemente os valores devidos correspondentes.

É dever da contratada manter-se atualizada dos termos da LGPD acompanhando as modificações, portarias e demais regulamentos criados pela Autoridade Nacional de Proteção de Dados (ANPD). Novamente, a função do DPO é fundamental para manter o processo de tratamento de informações pessoais dentro da lei.

9.3. A CONTRATADA se compromete a:

  1. Zelar pelo uso adequado dos dados aos quais venha a ter acesso, cuidando da sua integridade, confidencialidade e disponibilidade, bem como da infraestrutura de tecnologia da informação;
  2. Seguir as instruções recebidas da PRODAM-SP em relação ao tratamento dos Dados Pessoais, além de observar e cumprir as normas legais vigentes aplicáveis, sob pena de arcar com as perdas e danos que eventualmente possa causar à PRODAM-SP, aos seus colaboradores, clientes e fornecedores, sem prejuízo das demais sanções aplicáveis;
  3. iii) Responsabilizar-se, quando for o caso, pela anonimização dos dados fornecidos pela PRODAM-SP;

O dever de manter uma infraestrutura adequada para garantir os princípios básicos de integridade, confidencialidade e disponibilidade encontra-se alocado à contratada. Para atender a esses princípios, esta deve investir em processos, treinamento e tecnologias. As tecnologias que suportam esses princípios são cópias de segurança com políticas e processos que garantam rápido restabelecimento frente à um evento de indisponibilidade, controle de acesso e rastreabilidade do uso da informação e infraestrutura implementada em alta disponibilidade (dispositivos, sistemas, conexões, etc.).

A cláusula em questão também reforça o papel do DPO como apoio ao Gestor do Contrato para que haja a interlocução adequada entre as partes, traduzindo questões contratuais e legais em ações práticas relacionadas à processos e ferramentas.

O artigo 12 da LGPD (transcrito abaixo) deixa claro que dados anonimizados são serão considerados dados pessoais. A tecnologia que proporciona tanto a anonimização quanto pseudonimização é a Criptografia. Essa é atualmente a principal tecnologia em termos de proteção da informação, pois á sabido que não existe proteção prefeita e inexpugnável, portanto, quando o atacante obtiver êxito em extrair as informações da empresa (exfiltração), se as mesmas estiverem criptografadas, ocorrerá um vazamento de dados, mas não de informação.

Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

  • 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
  • 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
  • 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

iv) A CONTRATADA deverá notificar a PRODAM-SP em 24 (vinte e quatro) horas de

  • qualquer não cumprimento (ainda que suspeito) das obrigações legais relativas à proteção de Dados Pessoais;
  • (ii) qualquer descumprimento das obrigações contratuais relativas ao tratamento dos Dados Pessoais; e
  • (iii) qualquer violação de segurança no âmbito das atividades da CONTRATADA;

Por meio desta disposição contratual a contratada obriga-se a manter sistemas de rastreabilidade que ofereçam uma clara trilha de auditoria e monitoramento no uso das informações, como tecnologias de controle de credenciais de alto privilégio (PAM – Privilege Access Management), gestão de identidade (IAM – Identity Access Management), controle e rastreabilidade de acesso aos arquivos (Data Center e Nuvem) e prevenção de evasão de dados (DLP – Data Loss Prevention).

Um ponto fundamental para a proteção das informações é saber onde ela se encontra, sejam elas estruturadas ou não estruturadas, portando, a tecnologia de varredura e classificação da informação (DDC –  Data Discovery & Classification) é o ponto de partida para saber o que precisa ser protegido e onde se encontra. É importante ressaltar também a utilização de sistemas de correlacionamento de eventos de segurança (SIEM – Security information and Event Management) que poderão indicar precocemente um ataque e auxiliar na investigação de incidentes de segurança.

v) A CONTRATADA deverá notificar a PRODAM-SP sobre quaisquer solicitações dos titulares de Dados Pessoais que venha a receber, como, por exemplo, mas não se limitando, a questões como correção, exclusão, complementação e bloqueio de dados, e sobre as ordens de tribunais, autoridade pública e regulamentadores competentes, e quaisquer outras exposições ou ameaças em relação à conformidade com a proteção de dados identificadas pelo mesmo;

Para atender a esse item é necessário que o DPO possua acesso a tecnologias que executem essas funções de forma controlada e auditável. Será muito difícil implementar qualquer tipo de controle desse tipo sem que seja de forma automatizada.

vi) Auxiliar a PRODAM-SP com as suas obrigações judiciais ou administrativas aplicáveis, de acordo com a LGPD e outras leis de privacidade aplicáveis, fornecendo informações relevantes disponíveis e qualquer outra assistência para documentar e eliminar a causa e os riscos impostos por quaisquer violações de segurança.

A contratada deve atuar de forma colaborativa com a PRODAM, pois ambas as empresas podem assumir funções de Controlador e Operador (segundo a LGPD) e, assim sendo, são solidárias nas questões administrativas e judiciais. Pelo lado da contratada, fica evidente a necessidade de empregar tecnologias que forneçam as informações de forma ágil, precisa e automatizada de forma regular e sob demanda.

9.4. A CONTRATADA deverá manter registro das operações de tratamento de Dados Pessoais que realizar, bem como implementar medidas técnicas e organizacionais necessárias para proteger os dados contra a destruição, acidental ou ilícita, a perda, a alteração, a comunicação ou difusão ou o acesso não autorizado, além de garantir que o ambiente (seja ele físico ou lógico) utilizado para o tratamento de Dados Pessoais é estruturado de forma a atender os requisitos de segurança, os padrões de boras práticas de governança e os princípios gerais previstos na legislação e nas demais normas regulamentares aplicáveis.

Aqui novamente há uma reiterada demonstração da necessidade do emprego de ferramentas e tecnologias que ofereçam controle, rastreabilidade, trilhas de auditoria e proteção (criptografia) no acesso à informação. Tais tecnologias devem operar de forma coesa e integrada trocando informações entre elas para que medidas de contenção e remediação sejam automatizadas.

9.5. A PRODAM-SP terá o direito de acompanhar, monitorar, auditar e fiscalizar a conformidade da CONTRATADA com as obrigações de Proteção de Dados Pessoais, sem que isso implique em qualquer diminuição da responsabilidade que a CONTRATADA possui perante a LGPD e este Contrato.

A fim de que se possa acompanhar, monitorar e auditar a conformidade com a LGPD, deve-se investir em sistemas que possam indicar o risco que alguma contratada possa oferecer ou minimamente o indício de que a empresa está mais vulnerável a um ataque. Nesse caso, recomenda-se o uso de plataformas de Rating de Segurança que podem oferecer indicadores consistentes de vulnerabilidade antes da celebração do contrato e durante sua execução. Uma prática que se torna comum atualmente, é vincular o índice de segurança (Rating) à continuidade do contrato ou no limite, a rescisão do mesmo.

9.6. A CONTRATADA declara conhecer e que irá seguir todas as políticas de segurança da informação e privacidade da PRODAM, bem como realizará treinamentos internos de conscientização a fim de envidar os maiores esforços para evitar o vazamento de dados, seja por meio físico ou digital, acidental ou por meio de invasão de sistemas de software.

É sabido que o elo mais fraco na segurança é o elemento humano. Usuários, na maioria das vezes, não possuem conhecimento técnico para evitar comportamentos de risco e podem cair facilmente em golpes baseados em engenharia social e phishing. Assim, é fundamental empregar programas de treinamento e campanhas de conscientização para usuários.

9.7. O presente Contrato não transfere a propriedade de quaisquer dados da PRODAM-SP ou dos clientes desta para a CONTRATADA.

9.8. A PRODAM-SP não autoriza a CONTRATADA a usar, compartilhar ou comercializar quaisquer eventuais elementos de dados, que se originem ou sejam criados a partir do tratamento de Dados Pessoais, estabelecido por este Contrato.

Por fim, é necessário entender e tratar as informações pessoais como um patrimônio de terceiros e, sendo assim, quem quer ou precisa de acesso a esse patrimônio deve explicar qual informação será coletada, porque precisa da informação, como vai utilizar, quem terá cesso, com quem vai compartilhar e porque, por quanto tempo, como vai proteger e após essa explicação, solicitar o consentimento para tal. Deve ainda garantir o acesso do proprietário para fins de consulta e atualização, e sempre responder às solicitações e consultas (DSR. – Data Subject Request)

CONCLUSÃO

É gratificante perceber movimentos efetivos para fazer valer a LGPD, diferente do que muitos apontavam como mais uma lei que no Brasil não iria “pegar”. Empresas públicas como a PRODAM estão se preparando e se adequando à lei, mais que isso, pressionando o mercado à essa adequação através de contratos com clausulas específicas e claras sobre o tema.

De outro lado, empresas que possuam ou que desejem atuar no mercado público, devem correr e se adequar minimamente para cumprir o contrato e proteger efetivamente as informações pessoais.

Finalmente, temos tecnologias disponíveis em diversas áreas que suportarão operações locais e em Nuvem para fazer cumprir a lei e, efetivamente controlar acesso, proteger e oferecer evidencias claras, inequívocas e irrefutáveis do tratamento das informações.

AUTOR: José Ricardo Maia Moraes, Business Development Executive da Neotel Segurança Digital

Previous post RSAC21 | O que vimos de mais legal no último dia do evento (20)
Next post Prêmio de seguro cibernético subiu até 30%

Deixe um comentário