Com o advento de direitos e deveres no que se refere à privacidade e sua manutenção, tanto para pessoas naturais quanto para empresas, é necessário que se estabeleçam estratégias que vinculam a Proteção de Dados Pessoais e a Segurança da Informação. 

Questões de privacidade eram tratadas no Brasil por instrumentos jurídicos como a Constituição da República, o Código de Defesa do Consumidor, a Lei de Acesso à Informação, Lei Carolina Dieckmann e o Marco Civil da Internet. Em 2018 a Lei Geral de Proteção de Dados – LGPD é sancionada e entra em vigor em 2021. Ou seja, a proteção de dados pessoais e a privacidade dos titulares alimentam grandes preocupações e, por consequência, os limites, a regulação e o acesso e uso indevido dos dados pessoais têm tomado grandes debates e iniciativas.

De forma paralela, a disciplina da Segurança da Informação tem evoluído à medida que a informação, como um ativo estratégico, intensifica seu valor. Neste caminho evolutivo, considerando as possibilidades de alcance da disseminação de informação com a sua descaracterização majoritariamente física, a perspectiva de cyber foi incorporada aos preceitos de SI – uma vez que as ameaças ao ambiente seguro podem materializar-se de diferentes formas. Na prática, são incorporadas ao ambiente artefatos tecnológicos como firewalls, antivírus, monitoramento por meio de políticas de prevenção à perda de dados (Data Loss Prevention – DLP), criptografia, cofres de senha, restrições de acesso físico e lógico dentre outros. 

Vale reforçar que as disciplinas de Proteção de Dados Pessoais e Segurança da Informação estão intrinsecamente conectadas. Elas têm em comum o objetivo de proteger (manter as informações a salvo, seja de ameaças internas ou externas à organização), elas utilizam técnicas similares de proteção (como criptografia, firewalls e controles de acesso para manter o ambiente seguro) e, por fim, quando violadas, resultam em grandes impactos (desde danos reputacionais até penalidades financeiras). 

No entanto, embora conectadas, elas não são iguais. Ao mesmo tempo elas apresentam grandes diferenças em alguns tópicos comuns: 

i) foco da proteção – SI: concentra-se em proteger todas as informações da organização, não importando se são dados pessoais ou não / PD: concentra-se, exclusivamente, nas informações que podem identificar os titulares dos dados pessoais; 

ii) regulamentação – SI: segue um conjunto de melhores práticas e padrões da indústria, nem sempre existe uma lei específica / PD: as regras definidas por leis; e

iii) princípios e objetivos – SI: baseia-se em manter a confidencialidade, integridade, disponibilidade e autenticidade das informações / PD: prioriza princípios como finalidade, transparência e o direito dos indivíduos de acessar, corrigir ou deletar seus dados. 

Todos os elementos aqui apresentados convergem para o encontro da governança com a prestação de contas. Na perspectiva da LGPD, em seu Art. 6º sobre os princípios para as atividades de tratamento de dados pessoais, destaca a responsabilização e prestação de contas. Já sob a perspectiva de governança de SI, destacam-se a manutenção, atualização e monitoramento do ambiente por meio de controles organizacionais, controles de pessoas, controles físicos e controles tecnológicos. E sobre riscos? É um mitigando o risco do outro, em todo o tempo. Mas aí tema pra outra conversa…