O que faz um perito especializado em proteção de dados e como atuar na área?
Contratar um perito digital particular: http://www.cyberexperts.com.br ou clique no botão do WhatsApp na página
No Brasil, a Lei Geral de Proteção de Dados (LGPD), estabelece deveres dos agentes de tratamento de dados pessoais e direitos dos titulares de dados. Incidentes e falhas em serviços de tecnologia, banco de dados e outros já demandam no Judiciário a análise por especialistas, peritos forenses digitais e peritos em privacidade e proteção de dados, com escopo de tecnicamente periciarem o contexto e responderem quesitos do juiz e das partes. O perito deve ser capaz de coletar evidências e identificar qual vulnerabilidade foi explorada, por quem, e qual a extensão dos danos, se possível, precisando como poderiam ser evitados.
Em tal ambiente de mudanças regulatórias, com advento da Lei 13.709/2018 (LGPD) e regulamentações da Autoridade Nacional de Proteção de Dados (ANPD), inúmeros processos estão surgindo, com o fundamento no tratamento irregular de dados, violações de segurança ou na ausência de segurança adequada em serviços online, fintechs, bancos, sistemas ou mesmo fundada na reparação por decisões equivocadas a partir da análise de dados imprecisos ou inferências, violação de princípios e direitos e incidentes com vazamentos de dados pessoais.
Deveres de segurança digital e resposta a incidentes
No que tange aos deveres de segurança da informação e notificação de incidentes, dispõe a LGPD em seus artigos 46 e 48:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I – ampla divulgação do fato em meios de comunicação; e
II – medidas para reverter ou mitigar os efeitos do incidente.
3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
A importância do perito em proteção de dados
Considerando o disposto nos artigos, é evidente que o Data Protection Expert (DPE), perito ou auditor em proteção de dados se faz importante não apenas para comprovar maturidade de controles implementados em um agente de tratamento, mas é fundamental na fase de coleta e análise de evidências de um incidente de segurança da informação que possa ter comprometido dados pessoais.
Deste modo, até mesmo no contexto da dosimetria da pena, a adoção de medidas para mitigar o risco demonstra-se boa prática. O Data Protection Expert ou perito em proteção de dados, é profissional técnico, conhecedor de melhores práticas em computação forense e proteção de dados e preservação de provas informáticas e apto a auxiliar consumidores, advogados, DPOS e empresas, com o escopo de demonstrar tecnicamente o direito destes atores em processos administrativos e judiciais ligados a vazamento ou tratamento irregular de dados pessoais.
Assim, seja para comprovar um dano informático ou decorrente de violação de dados, ou mesmo quem deu causa a determinado incidente e qual o “modus operandi” do atacante, estar amparado por um perito em proteção de dados é fundamental. Ele será capaz de monitorar ambientes da rede para identificar a extensão do dano e repositórios com dados vazados, bem como, analisando os sistemas informáticos, logs e eventos, interpretar o ocorrido e comprovar por exemplo, a resposta aos seguintes quesitos do juiz, partes interessadas ou da Autoridade Nacional de Proteção de Dados, em processos administrativos ou judiciais:
Quesitos para o perito em proteção de dados pessoais
- Se ocorreu ou não o tratamento de dados pessoais?
- Qual vulnerabilidade explorada?
- Quem deu causa ao incidente informático?
- Os controles aplicados por aplicativos ou serviços eram adequados?
- A empresa adotou medidas para mitigar o risco?
- Qual a maturidade dos controles de proteção de dados da empresa?
- A empresa mantinha um sistema de gestão e conformidade com a LGPD?
- Em quais repositórios os dados vazados foram identificados?
- Qual a natureza e categoria dos dados violados e os possíveis riscos da exposição?
- Houve tratamento irregular de dados ou não?
Assim, a prova técnica pericial é indispensável e o comitê de proteção de dados e DPOs podem contar com engenheiros de privacidade, analistas de sistemas e técnicos, não só para que incorporem os requisitos de privacidade nos sistemas e tecnologias, mas também para condução de auditorias de controles, norteados por boas práticas de auditorias em proteção de dados, igualmente, para investigar causas de incidentes e atuar na defesa técnica de agentes de tratamento, controladores e operadores de dados pessoais, em apoio ao departamento jurídico em processos judiciais ou administrativos.
Atuação como assistente técnico
Importante destacar que a Autoridade Nacional de Proteção de Dados (ANPD), estabeleceu por meio Resolução CD/ANPD nº1/2021, o processo administrativo sancionador, e que prevê, nos processos administrativos a possibilidade de prova pericial, sendo importante a figura do perito em proteção de dados e informática, vejamos:
Art. 52. Caso seja deferida a produção de prova pericial, os peritos prestarão compromisso de bem e fielmente desempenhar o seu encargo, observando-se o seguinte:
I – a Coordenação-Geral de Fiscalização definirá os requisitos relevantes para a instrução processual e os quesitos a serem respondidos pelo perito;
II – o autuado poderá formular quesitos suplementares e requerer esclarecimentos ao perito; e
III – a perícia poderá ser realizada por autoridade ou servidor da ANPD, especificamente designado para este fim pelo Conselho Diretor, ou de qualquer órgão público, ou por profissional objeto de Termo de Cooperação previamente celebrado, ou, ainda, por profissional especialmente contratado para tal fim, sendo possível ao interessado a indicação de assistente técnico.
Seja para comprovação técnica dos direitos dos titulares de dados, com analises de sistemas, repositórios, falhas, vulnerabilidades, seja para assessorar empresas e agentes de tratamentos em processos de reporte e notificação de incidentes, ou mesmo em procedimentos investigativos, o perito em proteção de dados tem papel relevante, demonstrando, por exemplo, que a empresa não foi responsável pelo vazamento, o código/dados vazados não são tratados pela empresa, ocorreu fato de terceiro, ocorreu culpa exclusiva da vítima, ou mesmo demonstrando a robustez de seus códigos e sistemas, dentre outras constatações técnicas possíveis e de interesse das partes.
Assim, diante de um problema, incidente, ataque, litígio, ou vazamento de dados ou qualquer questão técnica ligada a proteção de dados pessoais, é imperioso preservar as evidências e buscar apoio de um perito em informática em proteção de dados, para procedimentos de coleta, preservação e análise técnica. A resposta a incidentes, que conte com um perito em informática em proteção de dados é, sem sombra de dúvidas, um procedimento que vai ao encontro das melhores práticas e pode ser decisiva para esclarecer o ocorrido, evitar penalidades e condenações.
Como contratar um perito em proteção de dados pessoais
A CyberExperts é consultoria especializada em computação forense, inteligência cibernética, perícia e auditorias em informática e proteção de dados e peritos digitais. Atuamos preventivamente ou em processos administrativos ANPD/Procon ou judiciais, para empresas e órgãos públicos na coleta, preservação e análise de evidências digitais, por meio de um rol de peritos com notória experiência profissional. Realizamos auditorias independentes de maturidade de controles de segurança digital e de conformidade. Profissionais com as principais certificações internacionais. Fale conosco (11) 3254-7616 ou acesso www.cyberexperts.com.br. Expertise, lealdade e ética. Conheça nosso curso de Perícia em Proteção de Dados Pessoais.
Contratar um perito digital particular: http://www.cyberexperts.com.br ou clique no botão do WhatsApp na página
José Antônio Milagre, perito forense digital, perito LGPD, perito e assistente técnico em informática, perito em proteção de dados, especialista em computação forense, analista de sistemas, técnico em processamento de dados, Pós Graduado em Gestão de Tecnologia da Informação, Mestre e Doutor em Ciência da Informação pela UNESP. Contato: [email protected] e (11) 3513-7844. Instagram @dr.josemilagre