Entendendo que seremos uma sociedade digital, onde informações baseada em dados computacionais, estarão na base de toda a vida da população, sendo na escola, governo, segurança pública, saúde, indústria entre outros, nos remete a uma grande preocupação, que é a segurança sobre estas informações e de que forma ela estará disponível e como será tratada, além de suas responsabilidades.
O mundo já se movimenta na direção de regulamentar, utilizar normas, leis, onde o trato desta informação passa por responsabilidades, nosso texto tem a intenção de iniciar uma discussão acerca da LGPD (Lei Geral de Proteção de Dados), que no Brasil, será a base destas premissas de responsabilidade sobre o dado.
Em nosso caso, vamos lançar um olhar focal sobre a indústria, mais focado em sistemas de automação industrial, que manipula dados e permite a criação de camada de informações digitais, atendendo a realidade da Indústria 4.0.
Não temos a intenção de explicar a LGPD, até porque é um assunto jurídico, nosso principal objetivo é abrir um olhar sobre a importância de construir sistemas que levem em conta as responsabilidades sobre dados trafegados dentro das indústrias.
Vamos limitar nosso assunto neste texto em:
Evolução da quantidade de dados e da digitalização das informações como nova forma de comunicação e documentação
Leis e Normas aplicadas a proteção de dados, especificamente a LGPD
Entender a proteção de dados na indústria, aplicando Normas e Leis, nas dimensões IoT (Internet das Coisas), Internet e Computação em Nuvem.
Como dissemos na apresentação do texto, a sociedade caminha para ter suas bases nos dados digitais, lembrando que isto é uma evolução, onde iniciamos com sociedade organizada a transferência de conhecimento e responsabilidades no início através da oratório, evoluímos com a escrita em documentos, após o invento a prensa e agora, com a internet e todo um conceito de dado computacional, teremos em todas as áreas a digitalização de informações.
Relembrando o conceito de Indústria 4.0, onde a interconexão de Toda Cadeia de Valor (Informações + Pessoas + Equipamentos) conectados na Internet, utilizando Inteligência Artificial para tomada de decisões na Indústria, nos leva a observar que cada elemento de conexão é um ponto sensível de informação digital, que deve ser tratada a partir da segurança do dado e da responsabilidade por este.
Quais os desafios frente a segurança da informação e responsabilidades, vejam os principais:
Proteger o dono dos dados e da informação
Estabelecer regras na Internet
Proteger Cibersistemas Industriais
Entendendo a LGPD (Lei Geral de Proteção de Dados)
O que é a LGPD:
Lei que regulamenta, no Brasil, a forma pela qual as organizações deverão tratar dados e informações de pessoas
A LGPD está alinhada com a regulamentação Europeia de Proteção de Dados (GDPR), colocando o Brasil em patamares globais
A Lei estabelece regras detalhadas para coleta, uso, tratamento e armazenamento de dados pessoais de toda Cadeia de Valor
Quais são os principais objetivos da LGPD:
Privacidade – proteção de dados da pessoa
Transparência – regras claras para tratamento de dados
Desenvolvimento – desenvolvimento econômico e tecnológico
Padronização – regras únicas independente do setor
Proteção do Mercado– segurança jurídica no tratamento de dados
Concorrência – promover concorrência através da portabilidade
A LGPD estabelece algumas definições:
Dado Pessoal – Informação que identifica a pessoa
Dado Pessoal Sensível – São as características que definem a pessoa
Tratamento – A operação que é realizada com o dado
Controlador – Pessoa que toma a decisão com o dado
Operador – Pessoa que realiza o tratamento do dado em nome do Controlador
Agentes de Tratamento – Controlador e Operador
Quanto a abrangência da LGPD:
IMPORTANTE
Regula dados de pessoas físicas
Aplica-se independente do meio
Aplica-se dentro do Brasil e operações fora
NÃO APLICAÇÃO
Para fins particulares e não econômicos
Para fins jornalísticos, artísticos, acadêmicos
Segurança pública
Investigação
Dados em trânsito de outros países
Quanto aos princípios da LGPD:
USO DO DADO
Finalidade
Adequação
Livre acesso
Necessidade
Transparência
Qualidade dos dados
Segurança
Prevenção
Não discriminação
Responsabilização
Prestação de contas
COMO DEVE SER
Uso de dados com propósitos legítimos
O tratamento deve ser compatível com as finalidades
O tratamento do dado deve ser limitado ao mínimo para o objetivo
O titular tem livre acesso à consulta de seus dados
Os titulares devem ter seus dados claros, exatos e relevantes
O titular deve ter suas informações precisas e facilmente acessíveis
Deve-se aplicar técnicas e segurança para proteger acessos não autorizado de dados
Deve haver procedimento de prevenção de danos a dados
Não pode haver tratamento de dados discriminatórios
Deve haver demonstração de medidas que comprovem o cumprimento das normas de proteção
Quanto a base legal:
HIPÓTESES QUE JUSTIFICAM O TRATAMENTO DE DADOS PESSOAIS
Consentimento do titular
Cumprimento de obrigação legal ou regulatória
Por administração pública para fins de leis e regulamentos
Para realização de estudos de órgãos de pesquisa
Para execução de contratos ou procedimentos preliminares
Para proteção da vida
Para exercício regular do direito em processo
Para interesses legítimos do controlador
Para uso em Saúde ou entidades sanitárias
Para proteção do crédito
Pessoas sensíveis, crianças e adolescentes tem tratamento específico
TÉRMINO DO TRATAMENTO
Finalidade alcançada
Fim do período
Manifestação do titular
Determinação legal
Quanto aos direitos do titular:
LIBERDADE E PRIVACIDADE DE INDIVÍDUOS
Informações claras sobre o tratamento de dados
Confirmação da existência de tratamento
Correção de dados incompletos ou inexatos
Bloqueio, anonimato e eliminação de excesso de dados
Portabilidade de dados para outro fornecedor
Eliminação de dados pessoais do tratamento
Informação do uso de dados compartilhados
Possibilidade de não fornecer consentimento ou saber das consequências
Possibilidade de revogação fácil e gratuita
OBSERVAÇÃO
O Controlador deverá cumprir de imediato qualquer solicitação do titular, caso não possa de imediato, deverá comunicar e justificar com as devidas razões que o impeçam e caso não seja o agente, apontar qual o agente de fato, caso o conheça.
Quanto as obrigações do controlador:
RESPONSABILIDADES
Provar o consentimento do dado de acordo com a Lei
Confirmar existência ou providencia acesso a dados
Manter registro de todas as operações de dados (autoridade nacional)
AUTORIDADE NACIONAL
Deverá o controlador, relatar:
Descrição dos tipos de dados
Metodologia de coleta
Metodologia de segurança
Análise do controlador quanto a proteção e mitigação de riscos
RESPONSÁVEL PELO DADO
Indicar um responsável de forma pública
Aceitar reclamações e prestar esclarecimentos e providências
Receber comunicação da autoridade nacional
Orientar funcionários e contratados
Ser responsável por todas atribuições
Quanto a troca de dados internacional:
SEGUIR OS PADRÕES DA LGPD
Entre países que tenham grau de proteção de dados previsto em Lei
O controlador oferecer e comprovar garantias dos direitos do titular do dado
Quando for transferência de cooperação jurídica internacional (acordo)
Autorizada pela autoridade nacional de proteção de dados
Para execução de políticas públicas
Quando o titular fornecer consentimento específico
Quando necessário para cumprimento de obrigação legal
Para execução de contrato
Para exercício de direitos em processos
OBSERVAR
Leis e regulamentações específicas de cada país ou organismo internacional
Quanto a segurança dos dados:
O QUE DEVE SER FEITO
O agente deve proteger dados contra acesso não autorizado, destruição, perda, alteração ou comunicação
Os projetos de segurança devem ser baseados em Privacy by Design ou Security by Default
Casos de incidente de segurança devem ser comunicados a autoridade nacional e ao titular do dado
Descrever as providencias a serem tomadas
A COMUNICAÇÃO DO INCIDENTE
Descrição da natureza dos dados afetados
Envolvidos
Técnicas utilizadas para a segurança
Riscos do incidente
Justificar a comunicação
Medidas de correção ou diminuição de impacto
IMPORTANTE
O Agente de dados poderá individualmente formular regras de governança de segurança de dados, que possa:
Aplicar no tratamento de dados
Uso de padrões e normas
Obrigações da organização
Ações educativas
Mecanismos internos de mitigação
Entendendo o PRIVACY BY DESIGN ou SECURITY BY DEFAULT:
PRIVACY BY DESIGN
A empresa que trata o dado é responsável pela proteção e privacidade durante todo o ciclo de vida, o usuário deve ter o controle e a opção sobre seus dados, sempre que possível usar dados não identificáveis, ser proativa na proteção.
SECURITY BY DEFAULT
Quando um produto ou serviço é lançado, todas as configurações de segurança do dado do usuário, já são aplicadas como padrão, sendo habilitadas de forma voluntária por quem usa, quantidade e tempo limitado.
Quanto as sanções:
DESCUMPRIMENTO DA LEI (AGENTES)
Indenizar o titular do dado
Receber advertência para adoção de medidas corretivas
Multa de 2% faturamento, limitada a 50 milhões por infração
Infração publicada após confirmação
Bloqueio de dados pessoais até regularização
Eliminação dos dados pessoais após infração
O PROCEDIMENTO ADMINISTRATIVO PREVE
Gravidade e natureza da infração
Boa fé
Vantagem pelo infrator
Condição econômica do infrator
Reincidência
Grau do dano
Cooperação do infrator
Adoção de políticas de boas práticas
Adoção de medidas corretivas
Proporção entre gravidade e intensidade da sanção
OBSERVAR
Autoridade nacional poderá considerar faturamento total do grupo empresarial
Para aplicação de multa diária poderá ser levado em consideração gravidade da falta ou dano causado
O que fazer para estar de acordo com a LGPD, proposta de um check list geral:
Contratar assessoria jurídica
Entender os impactos da LGPD em seus processos
Revisão políticas de tratamento de dados pessoais
Manter registro de dados que demonstrem adequação de tratamento
Avaliar sua base legal por tratamento de dados
Manter documentação de consentimento e transparência nas operações dos dados
Adequar estrutura operacional para viabilizar cumprir a lei perante o titular do dado
Desenvolver mecanismos onde o titular exerça o direito de transparência e edição dos dados (conteúdo)
Adotar medidas técnicas de tratamento seguro dos dados
Desenvolver processos internos que realizem manutenção de registros e seus tratamentos
Gravar dados visando atender a finalidade de sua coleta, cumprindo a lei
Nomear encarregado de dados pessoais
Adotar procedimento rígido de transação de dados com exterior
Desenvolver sistemas de identificação e combate a incidentes de segurança
Fazer seguros para cobertura em caso de incidentes de segurança
Criar políticas de segurança para respostas a incidentes
Executar análise de conformidade no tratamento dos dados, analisando riscos e sanções
Ter um plano de contingência caso ocorra um incidente (minimizando o dano)
O que a empresas deverá fazer:
Ter entendimento da sua estrutura de dados
Fazer auditoria sobre o tratamento de dados
Fazer gestão do consentimento e anonimização
Fazer a gestão dos pedidos do titular
Ter relatórios de impacto
Implantar medidas de segurança de dados
Criar um plano de governança no tratamento
Estabelecer um plano de comunicação de incidentes de segurança
Validar os términos dos tratamentos
Obter certificação de auditorias
Identificar o encarregado pela LGPD
Mitigar e prevenir conflitos
Diretrizes de um roteiro básico de implantação:
Treine e qualifique as pessoas
Mude os processos de acordo com a lei
Implante tecnologias
A Internet como sendo o elemento ou mídia de comunicação global, capaz de dar o formato da sociedade digital, vem evoluindo em termos de tecnologia e segurança, mas os desafios aumentam e são impostos de acordo com novas demandas e paradigmas.
Algumas questões de alta relevância que nos remetem a refletir:
A Internet como conhecemos hoje, atenderá o Novo Mundo Digital?
A segurança na Internet, como conhecemos hoje, permitirá uma Sociedade Digital?
A Internet sempre será uma terra de ninguém? Ou poderá mudar de patamar, uma vez que é a nova via na Nova Sociedade.
Segue abaixo, um descritivo de tendência da Internet, de modo a dar uma resposta a evolução e as necessidades da digitalização:
Desafio: A Internet para suportar a Sociedade Digital deverá ter alta capacidade de endereçamento, processamento, baixa latência e suportar novos padrões e protocolos.
Solução: Tecnologias como, IPV6 de endereçamento, computação em nuvem, 5G e MQTT, são evoluções para atender estas novas realidades.
Desafio: A segurança na Internet deverá evoluir para não colapsar com o aumento exponencial de pontos de acesso, como o IoT permite.
Solução: Utilização de robôs de antivírus (vacinas digitais) na rede, uso de perfis dentro da Deep Web (Dark Web) para interconexão de infraestrutura crítica, criptografia nativa, são algumas evoluções de alto impacto na segurança na internet.
Desafio: A Internet é território livre, mas deve evoluir para um ambiente mais regulado, não rígido, mas monitorado e com possibilidade de intervenções.
Solução: As Leis e Marco Regulatórios devem dar um formato que preserve usuários, empresas, entidades e governos no uso da rede, com responsabilidades e penalidades.
Aplicação da LGPD na Indústria
Vamos aplicar alguns destes conceitos de segurança na indústria, observamos de imediato que estes desafios são relativamente novos, quando pensamos em chão de fábrica e ambiente de automação industrial.
Observe algumas vulnerabilidades, que hoje existem em uma linha de produção automatizada, bem como em processos industriais:
Convergência de dados, computação em nuvem e interconexão com internet;
Infraestrutura de redes de comunicação de toda fábrica e camada de IoT internet das coisas
Banco de dados de clientes, planejamento, fornecedores, logística
Cenários como este, dentro do conceito de Indústria 4.0, apontam soluções, vão desde aplicações de Cibersegurança, boas práticas e a própria LGPD, por isso o entendimento de como o dado trafega na cadeia de valor é de grande importância para questões de responsabilidades.
Então, frente a estes desafios apontados, podemos descrever algumas soluções:
Desafio: convergência de dados, computação em nuvem e interconexão com internet.
Solução: Aplicar a Técnica de Defesa em Profundidade, criar roteamento em toda a Internet para Fábrica – ISO/IEC 27001 e 27002 (ISA99).
Desafio: infraestrutura de redes de comunicação de toda fábrica e camada de IoT internet das coisas.
Solução: Aplicar a técnica de Defesa em Profundidade, usar criptografia nos dados de fábrica, monitorar a rede industrial contra acesso não autorizado – ISO/IEC 27001 e 27002 (ISA99).
Desafio: banco de dados de clientes, planejamento, fornecedores, logística.
Solução: Aplicar a LGPD e todas as premissas da Lei, associar boas práticas e criar um manual de Governança de Proteção na Indústria.
Quanto a aplicação direta da LGPD no ambiente de dados industriais, podemos apontar os principais elementos que devem ser mitigados com a lei:
CADEIA DE VALOR INTERCONECTADA
Os dados de clientes, fornecedores, pedidos, marketing, logística, entre outros, são dados de pessoas, que podem inclusive serem sensíveis, a adaptação de acordo com a LGPD é essencial, uma vez que a Cadeia de Valor está toda conectada na Fábrica Digital.
DIVERSOS BANCO DE DADOS INTERCONECTADOS
Banco de dados de cliente, banco de dados de pedidos nominais, banco de dados de transporte e logística, banco de dados de histórico de clientes com perfis de consumo, entre outros, estão sujeitos a todas as condições da LGPD.
APLICAR TODA A LGPD COM UM OLHAR ATENTO EM:
Criar política de uso dos dados dentro da rede interconectada na Cadeia de Valor
Entender a aplicar dentro da necessidade o formato de compartilhamento de dados na indústria
Criar cultura de proteção do dado e sua importância na organização
Estabelecer novos procedimentos de coleta e tratamento de dados na indústria (produção)
Colocar em prática medidas de transparência no tratamento de dados
Conclusão
Concluímos que a LGPD organiza e orienta de forma clara, a importância que as empresas devem dar aos dados das pessoas, na indústria, dentro da Cadeia de Valor, associado à digitalização, se faz necessário aplicar todas os conceitos da Lei e incorporar boas práticas e tecnologia, de modo a não ter dados extraviados, dentro das vulnerabilidades dos sistemas, caso não existam e não se apliquem Políticas de Segurança de Dados.
Por: Márcio Venturelli
Fonte, vídeos e imagens: Automação Industrial
Comentarios