Ver mais notícias

A LGPD NÃO FAZ REFERÊNCIA À CRIPTOGRAFIA?

É sabido que a Lei Geral de Proteção de Dados Pessoais (LGPD, ou Lei nº 13.709/2018) regula o tratamento de dados pessoais, bem como, em seu artigo 46, dispõe que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas para a proteção dos referidos dados. No entanto, a palavra criptografia não é citada nenhuma vez no texto da lei.

A criptografia, hoje tida como a rainha das medidas técnicas de segurança, de forma simplificada, é a construção e análise de protocolos que impedem terceiros, ou o público, de lerem mensagens privadas. Mas se a LGPD não faz menção a ela, qual seria a relação existente? Essa área da criptologia cifra a escrita, tornando-a ininteligível. E é exatamente aqui que encontramos o cruzamento entre criptografia e LGPD!

 Tratando ainda da parte conceitual, conforme traz Bruno Fraga em "Técnicas de Invasão, 1ª edição": "Mecanismos de criptografia permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para isso algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração".

A LGPD, em seu artigo 48, §3º, estabelece que "no juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los". E aqui é traçada a importância da ininteligibilidade, que poderá servir de atenuante quando das aplicações de sanções pela Autoridade Nacional de Proteção de Dados (ANPD).

A criptografia não somente objetiva proteger as informações, mas também que elas sejam veiculadas de forma segura, ainda que seja utilizado um canal inseguro, preservando a integridade, a confidencialidade e a disponibilidade dos conteúdos. A título de curiosidade, seguem alguns exemplos de tipos de criptografia: chave simétrica (modelo mais comum), chave assimétrica, data encryption standard (DES), secure and faster ecryption routine (Safer), international data encryption algorithm (Idea) e advanced encryption standard (AES). Mas, obviamente, o detalhamento ficará para um artigo mais técnico e específico.

Ainda no tocante às sanções, ensina a Lei Geral de Proteção de Dados Pessoais, em seu artigo 52, §1º, VIII, que elas serão aplicadas "de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios"; sendo assim, fica clara a importância da adoção de medidas de segurança, bem como a necessidade de conseguir evidenciá-las.

Nos tribunais, inclusive, o tema criptografia já tem se mostrado presente, como por exemplo no caso em que a 3°Turma do Superior Tribunal de Justiça (STJ) decidiu que o WhatsApp não pode sofrer sanções por não entregar informações requisitadas pelo próprio Poder Judiciário diante da impossibilidade técnica de contornar o sistema de criptografia de ponta a ponta utilizado no aplicativo (Recurso em Mandado de Segurança 60.531). Ou seja, fica claro que a criptografia é uma medida essencial, que cumpre seu objetivo de manutenção de sigilo e de proteção aos dados, quando necessário.

Logo, mesmo que a criptografia não seja obrigatória por lei, ela é uma das medidas mais seguras atualmente e utilizá-la é uma boa prática quando se fala em proteção de dados pessoais, e, além disso, acaba por se tornar um diferencial competitivo, pois empresas que preservam a privacidade preferem negociar com organizações que se mostram atualizadas e preocupadas com a proteção de suas informações.

Claro que há diversas medidas de segurança físicas, organizacionais e técnicas que podem e devem ser tomadas, no entanto, a criptografia, independentemente do tipo, traz uma bagagem de segurança razoável, afim não só de evitar a descodificação de mensagens particulares e sigilosas, mas também de demonstrar boa-fé por parte dos agentes de tratamento e atenuar ou evitar possíveis sanções administrativas e judiciais.