Projeto de Lei Brasileiro de Proteção de Dados Pessoais e os Desdobramentos de Segurança da Informação

Brasil dá importante passo com aprovação, na Câmara dos Deputados, do texto que regulamenta a proteção de dados pessoais no País. 


Renato Marinho é Pesquisador Chefe do Morphus Labs
Por Renato Marinho
Post convidado

Seguindo o caminho da Europa, com a GDPR (General Data Protection Regulation), e de várias outras nações, no dia 29/05, o Brasil deu um importante passo com a aprovação do Projeto de Lei 4.060/2012 na Câmara dos Deputados, que agora segue para o Senado Federal. O texto regulamenta a proteção de dados pessoais no País.

Este não é o único projeto de lei sobre o tema em tramitação. O PL 330/2013 está no páreo e, por isso, não sabemos exatamente o texto final a ser aprovado. Pode ser, inclusive, uma mescla dos dois. Destacando as necessidades de segurança dos dados pessoais no PL 4.060/2012 do ponto de vista tecnológico, que são semelhantes aos exigidos pela GDPR e que, provavelmente, estarão presentes no texto final da nossa lei, separei três pontos fundamentais nesse debate:

1 – Os controles envolvem adequações em processos e sistemas de informações para que gerem registros das operações com dados pessoais. Nos sistemas informatizados, devem ser gerados registros de log com a operação realizada e estes registros devem estar protegidos contra mudanças (garantia da integridade) e perda. Devem ainda ser retidos pelo período de tempo exigido — que, provavelmente, será definido pelo órgão competente.

2 – Do ponto de vista tecnológico, devem ser implementados controles que possibilitem a identificação de quaisquer acessos a dados pessoais sob controle da organização. Por exemplo, devem ser habilitados os registros de auditoria de todas as consultas às tabelas das bases de dados que contenham dados pessoais. Desta forma, na ocorrência de um evento suspeito, será possível fazer a identificação de possíveis violações em dados pessoais e a devida comunicação precisa ao órgão competente.

3 – As sanções previstas no projeto de lei variam da advertência à aplicação de multas severas: 2% do faturamento da pessoa jurídica de direito privado limitada a R$ 50 milhões de reais por infração. A adoção dos mecanismos e controles discutidos até aqui nesta postagem podem resultar na incidência de incidentes menos graves e, consequentemente, de sanções menores.

Uma vez em vigor, a nova lei exigirá que todos que lidam com dados pessoais de brasileiros, incluindo organizações públicas e privadas, atendam às novas regras. Isso significa que muitas organizações precisarão adequar seus modelos de negócio, processos, sistemas de informação e termos de uso para garantir que tenhamos a transparência, os controles e as garantias estabelecidas no regimento.