A LGPD (Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/18) entrou em vigor em setembro de 2020, passando a exigir que as atividades de tratamento de dados pessoais (informações de pessoas naturais identificadas e identificáveis) observassem um regramento mais abrangente e específico, com o fim de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade dos indivíduos.
Ainda que a Autoridade Nacional de Proteção de Dados (ANPD) tenha a tarefa de regulamentar boa parte de suas disposições, o texto em vigor já estabelece as hipóteses em que os dados pessoais podem ser tratados, quais os direitos que o titular dos dados possui em relação àqueles que tratam dados pessoais, as responsabilidades desses agentes de tratamento e, consequentemente, as condutas esperadas.
No seu artigo 6º, a LGPD expressa que o tratamento de dados pessoais deve observar, dentre outros princípios, o da segurança e o da prevenção. Enquanto o primeiro exige a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados ou de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, o segundo requer a implementação de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
A legislação, portanto, espera um verdadeiro comprometimento e comportamento preventivo daquele que trata dados pessoais, que deve compreender que a temática de proteção dessas informações não se traduz em um mero cumprimento de regras legais burocráticas, mas sim uma mudança de cultura que tem o objetivo final de concretizar a proteção de direitos fundamentais.
Não por outra razão, o art. 50 da LGPD indica que uma das formas de verificar o cumprimento dos princípios estabelecidos, inclusive o da segurança, é através da implementação de um programa de governança em privacidade (compliance em proteção de dados pessoais).
Esse programa, formado por uma série de iniciativas e ferramentas adotadas pelo agente de tratamento para buscar a conformidade com a lei e a disseminação de uma cultura de proteção de dados pessoais, além de contar com o comprometimento do agente de tratamento e ser estruturado de acordo com a realidade empresarial, deve possuir “políticas e salvaguardas” adequadas para a proteção dos dados pessoais (art. 50, §2º, inc. I, alínea “d”, da LGPD).
E é aqui que normalmente surge a questão posta à análise: essas salvaguardas incluem a adoção de controles criptográficos? Ou melhor: Para cumprir as normas legais, eu preciso criptografar meu banco de dados?
O que é criptografia?
Em um conceito pragmático, criptografia é uma técnica para codificar e decodificar dados, que pode ser realizada com o uso de diferentes métodos, alguns mais complexos que outros.
Em linhas gerais, ela funciona da seguinte forma: Um algoritmo é aplicado no dado original, de modo que ele fique ininteligível, não podendo ser lido, a não ser pelo uso de uma chave de “decriptografia”, normalmente conhecida apenas pelo remetente e pelo destinatário da informação.
Dessa forma, quando aplicada, espera-se que apenas aquele que envia/compartilha os dados e aquele que deve recebê-los, possa decifrá-los.
Em caso recente (RMS 60.531/RO), o Superior Tribunal de Justiça (STJ) analisou o controle criptográfico utilizado pelo WhatsApp – que adota criptografia “de ponta a ponta” (neste método, apenas aqueles que enviam e recebem as mensagens possuem as chaves criptográficas responsáveis por codificar e decodificar os dados).
No processo julgado, a WhatsApp Inc., empresa responsável pelo aplicativo, alegava que não poderia ser condenada ao pagamento de multa pelo descumprimento de ordem judicial para interceptação de mensagens de usuários, pois a forte criptografia adotada não permitia que a companhia conhecesse o teor das mesmas.
A conclusão da Corte Superior foi favorável à empresa, que deixou de responsabilizá-la em razão da “impossibilidade técnica” da quebra de sigilo de dados em razão do uso de criptografia de ponta a ponta.
A criptografia na LGPD
Neste momento, você já deve ter percebido a segurança proporcionada pela criptografia, restando saber se a LGPD exige a sua adoção.
O art. 48 da LGPD afirma que o controlador (a pessoa natural ou jurídica que toma decisões referente ao tratamento de dados pessoais de terceiros) deve comunicar à ANPD e aos titulares a ocorrência de “incidente de segurança” (vazamento de informações, p. ex.) que possa acarretar risco ou dano relevante aos titulares.
Ao receber a comunicação, a ANPD deve verificar a gravidade do incidente, para determinar a adoção de providências pelo controlador, que incluem a ampla divulgação do fato e a execução de medidas para reverter ou mitigar os efeitos do incidente (art. 48, §2º, da LGPD).
No §3º desse artigo 48, a lei dispõe que no juízo de gravidade desse incidente “será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los” (grifamos).
É neste dispositivo que a LGPD faz referência à criptografia.
Pela leitura do dispositivo, verifica-se que a LGPD não obriga a adoção de criptografia, mas fomenta a sua utilização, estabelecendo que a adoção de técnicas para tornar dados “ininteligíveis” a “terceiros não autorizados” deve ser considerada na verificação da gravidade de um incidente de segurança.
Ademais, não se pode olvidar que a LGPD permitirá à ANPD, a partir de agosto deste ano, aplicar sanções administrativas pelo descumprimento da lei, que incluem advertências, multas calculadas a partir do faturamento da pessoa jurídica até a proibição de atividades de tratamento de dados pessoais.
No art. 52, §1º, inc. VIII, da lei, determina-se que na aplicação dessas sanções, a ANPD considere, dentre outros, “a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei” – o que permite concluir que o uso de criptografia como medida preventiva pode ser considerada como critério para abrandamento das penas a serem aplicadas pela ANPD.
Considerações finais
Dado seu caráter abrangente, a LGPD não obrigou (e nem poderia ter obrigado) a adoção de criptografia por todos aqueles que estão sujeitos ao seu regramento, sob pena de inviabilizar sua aplicação na prática. Afinal, não seria razoável exigir que pequenas empresas, sem grandes recursos, ou mesmo empresas que não tenham grande volume de operações de tratamento de dados pessoais, adotassem esse tipo de controle.
Por outro lado, o legislador não ignorou a temática e fomentou a sua utilização, entendendo como um ato de boa-fé e comprometimento com os direitos fundamentais dos titulares (principalmente o da privacidade), considerando os controles criptográficos um importante aliado no combate à vazamento de informações.
A criptografia atende aos princípios da segurança e da prevenção, eleitos pela lei, e converge com a conduta preventiva esperada dos agentes de tratamento, indicada em diversos dispositivos do texto legal.
Todavia, dentro de uma organização, a adoção da criptografia deve ser analisada caso a caso, considerando, dentre outros aspectos: (i) os impactos negociais, financeiros e gerenciais que o uso da técnica causará nas operações da empresa e nas soluções por ela ofertadas; (ii) o interesse e conveniência de se criptografar apenas parte dos dados que transitam ou são armazenados pela organização; e, (iii) a natureza da atividade explorada e o seu menor ou maior grau de exposição a incidentes de segurança.
Por fim, válido registrar que se espera que a ANPD apresente orientações sobre medidas técnicas recomendadas e boas práticas de mercado em relação à proteção de dados pessoais – o que deve incluir os controles criptográficos.
Sobre o autor:
RAFAEL SGODA TOMAZETI – Advogado, sócio da Moreno Moro Advogados. Graduado pelo Centro Universitário Autônomo do Brasil (UniBrasil), tendo sido laureado com o título de melhor aluno do curso de direito. Especialista em Compliance e Integridade Corporativa pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). Possui formação em propriedade intelectual pela World Intellectual Property Organization (WIPO) e em proteção de dados pelo Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS Rio). É membro participante da Comissão de Inovação e Gestão da Ordem dos Advogados do Brasil – Seção do Paraná (OAB Paraná), membro da Comissão de Compliance e Governança Corporativa da ABA – Associação Brasileira de Advogados em Curitiba e membro do Comitê Público da ANPPD – Associação Nacional dos Profissionais de Privacidade de Dados.
rafael.tomazeti@morenomoro.com.br