LGPD NA ÁREA E A CRIPTOGRAFIA DE DADOS PESSOAIS

A criptografia é uma tecnologia para codificar informações, que podem ser dados pessoais sensíveis, tornando-as compreensíveis apenas pelo emissor e pelo receptor.

Embora não abordada explicitamente na Lei Geral de Proteção de Dados (LGPD), a criptografia faz parte dos princípios fundamentais da segurança da informação, garantindo a confidencialidade dos dados tratados.

A referida Lei, em seu artigo 48, § 3º, estabelece que durante a apreciação do juízo de gravidade de determinado incidente “será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los”.

Ou seja, a implementação de medidas técnicas, como a criptografia, que tornam os dados pessoais indecifráveis a indivíduos não autorizados e/ou sem a chave de descriptografia a depender do método utilizado.

Os métodos mais comuns de criptografia são:

Criptografia de chave simétrica e assimétrica;
Função de resumo;
Assinatura digital;
Certificado Digital.

Para entender qual a medida técnica administrativa compatível para a proteção dos dados pessoais, é necessário realizar o diagnóstico de como os dados estão sendo tratados desde a concessão de uso, qual a medida de segurança utilizada em repouso ou em trânsito, bem como entender a relação de como os dados pessoais estão sendo tratados.

A fim de melhorar a qualidade dos seus processos e oferecer suporte para as empresas se adaptarem ao General Data Protection Regulation (GDPR), Regulamento Europeu sobre proteção de dados pessoais, que inspirou a LGPD, foi lançado pela International Organization for Standardization - ISO mais uma extensão da norma 27001 – Sistemas de Gestão de Segurança da Informação: a ISO 27701 – Gestão da Privacidade da Informação, “estabelecer diretrizes para o estabelecimento, implementação e melhoria contínua do sistema de gestão de privacidade da informação”.

A ISO 27001 recomenda que seja desenvolvida e implementada uma Política de Criptografia para proteção da informação, garantindo assim, a conformidade com a norma e requisitos legais, bem como a manutenção segura das informações no transporte, armazenamento e com a devida restrição de acesso.

Hoje em dia é muito comum em Sistemas Operacionais, ativos de tecnologia (Backup, Rede Wireless, Servidor Físico ou Virtual etc.) e aplicações já virem com a criptografia embarcada, mas fica a cargo da empresa definir qual a melhor medida de segurança a ser utilizada para reforçar a segurança dos dados pessoais. Por isso a implementação de políticas de segurança é necessária, a fim de oferecer às empresas insumos para proteção dos dados pessoais enquanto são processados bem como a garantia aos direitos de seus titulares.

É essencial, também, que a escolha da tecnologia adequada para o armazenamento, o processamento e o descarte dos dados pessoais respeitem os princípios para o tratamento de dados pessoais explicitados no artigo 6º da LGPD.

Vale lembrar que a criptografia não é a única medida de segurança capaz de assegurar a proteção de dados e que seu uso não é tido como obrigatório pela LGPD. Sua utilização é apenas uma recomendação conforme as boas práticas de segurança da informação.

Sua empresa faz uso de criptografia? Utiliza as boas práticas em governança e segurança da informação para auxiliar na conformidade com a LGPD? Gostaria de saber mais sobre o assunto? Entre em contato conosco!