ESTUDO DE CASO SOBRE A APLICAÇÃO DA LGPD NA ÁREA DA PSICOLOGIA CLÍNICA

Mehran Misaghi. JOINVILLE 2020 MILTON MACHADO PEREIRA DA SILVA ESTUDO DE CASO SOBRE A APLICAÇÃO DA LGPD NA ÁREA DA PSICOLOGIA CLÍNICA Este trabalho foi julgado e aprovado em sua forma final, sendo examinado pelos professores da Banca Examinadora. Joinville, (dia) de (mês) de (ano). Prof. Mehran Misaghi, Dr. Palavras-chave: Segurança da Infomação. LGPD. Psicologia. ABSTRACT With technological advances, more information travels over the network and more users are dependent on it, however, the number of incidents related to digital crimes and data leakage has grown a lot, so new laws have been created in order to try to fill these legal loopholes. The General Data Protection Law (LGPD) deals with the protection of the data of the holders and has application in all sectors, one of them being the area of clinical psychology, with its particularity being the storage of sensitive information about patients.

HD - Hard Disk. IEC - International Electrotechnical Commission. IP – Internet Protocol. ISO - International Organization for Standardization. LGPD - Lei Geral de Proteção de Dados. Confidencialidade 13 2. Disponibilidade 14 2. Integridade 15 2. LEI GERAL DE PROTEÇÃO DE DADOS - LGPD 16 2. Conceitos da LGPD 21 2. Como forma de tentar reduzir esses incidentes, foram criadas legislações que aumentam a penalidade para os crimes informáticos, sendo a mais atual a Lei Geral de Proteção de Dados Pessoais (LGPD), que entre vários detalhes tem como base a proteção dos dados pessoais e sensíveis dos titulares. A LGPD veio como uma resposta aos vários incidentes de vazamento de dados que estavam ocorrendo, como por exemplo o caso Cambridge Analytica e o caso Edward Snowden, onde estavam sendo coletados dados de forma ilegal de milhares de titulares.

Essa lei foi motivada pela GDPR (Regulamento Geral sobre a Proteção de Dados), criada pela União Européia em 2018. Assim, conforme as revoluções tecnológicas aumentam seu impacto social, problemas éticos aumentam. Assim, como a LGPD é uma lei recente, espera-se que as constituições precisem da criação de novas normativas quando as atuais já não abrangerem determinados serviços e aparatos tecnológicos, que modificam a forma como tarefas são feitas. Conceitos esses, fundamentais para o entendimento do trabalho aqui proposto. CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Fontes (2006) afirma que a informação é um recurso que move o mundo, além de nos dar conhecimento de como o universo está caminhando, sendo também um recurso crítico para realização do negócio e execução da missão organizacional.

O autor também acrescenta que a informação é um recurso que tem valor para a organização e deve ser bem gerenciado e utilizado, pois é necessário garantir que ela esteja sendo disponibilizada apenas para as pessoas que precisam dela e no momento em que precisarem. Dessa forma, pode-se analisar que informação como um conjunto de dados que, por sua vez, poderá gerar novas informações, consistindo em um ativo valioso para a organização. Para Alves (2006), a segurança de dados visa exercer a proteção da informação de forma a garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócios. Quando as informações são acessadas por pessoas não autorizadas, seja intencionalmente ou não, como por exemplo, quando há descoberta ou perda de uma senha, quando os documentos acessados fisicamente e logicamente ou há uma invasão da rede de computadores seja local ou pela internet, ocorre o fato que chamamos de incidentes de segurança da informação por quebra de confidencialidade, conforme Campos (2007).

O tratamento de dados confidenciais existe em diversas áreas de negócio, como por exemplo, em empresas que não divulgam suas estratégias de negócio, ou no meio político, onde informações sobre operações de corrupção não podem ser vazadas. Na psicologia clínica, que é o âmbito de aplicação desta pesquisa, o psicólogo e o paciente devem estar interessados na confidencialidade das informações referentes a dados pessoais sensíveis, tratados dentro do ambiente clínico. Algumas das formas de aplicação da confidencialidade são a criptografia ou cifragem de dados no armazenamento, preenchimento de tráfego na rede, controle de acesso restrito, classificação dos dados e treinamento de pessoal sobre os processos relacionados ao manuseio dos dados. Stallings e Brown (2014) ainda fazem a divisão da confidencialidade em dois aspectos, a confidencialidade de dados e a privacidade.

A integridade de dados tem por objetivo garantir que as informações e programas sejam alterados somente por pessoas autorizadas e de maneira específica. Enquanto que o objetivo da integridade de sistemas é garantir que todo sistema desempenhe as funções para qual foi programado, sem manipulações não autorizadas, seja de forma proposital ou não. A quebra da integridade pode acarretar dados catastróficos, pois fará com que informações incorretas sejam tomadas como verdade, principalmente em operações em que o sucesso das operações depende da qualidade íntegra dos dados fornecidos. Inclusive, a integridade dos dados pode ser comprometida de várias formas, desde invasões, falhas no sistema, exclusão de arquivos ou adicionando valores incorretos por parte de usuários não necessariamente mal intencionados.

Dessa forma Dantas (2011) enfatiza que esse pilar pode ser absolutamente crítico do ponto de vista operacional, pois valida todo o processo de comunicação em uma empresa ou comunidade. Dessa maneira, a lei impacta profundamente a gestão dos dados pessoais pelas empresas de todos os setores, fazendo com que as empresas precisem implementar ou adequar novos procedimentos ou criar novos setores para se alinhar as novas normas (POHLMANN,2019). Para Peck (2020) a lei representa um novo marco no ordenamento jurídico brasileiro, pois trata da proteção de dados pessoais independente do meio em que sejam adquiridos e independente se seja por pessoa física ou jurídica. Ela foi promulgada pelo então presidente Michael Temer em 14 de agosto de 2018, sendo originada da PLC nº 53/2018, e seu histórico é apresentado na Tabela 1.

Tabela 1: Breve histórico LGPD. Ano Evento 2010 - Primeira consulta pública 2014 - Escândalo Snowden - Aprovação do Marco Civil da Internet 2015 - Segunda consulta pública 2016 - Projetos de lei • PL 4060/2012 • PL 5276/2016 • PL 330/2013 2018 - GDPR entra em vigor - Escândalo Cambridge Analítica - Alteração na lei do cadastro positivo - 14 de agosto: Sancionada lei que dispõe sobre a proteção de dados pessoais (LGPD) 2019 - Vigência da LGPD prorrogada para agosto de 2020 - PEC 17/2019 - MPV 869/2018 → Lei nº 13. Dessa maneira, ficam dispensados de realizar o tratamento de dados apenas pessoais naturais que realizem a coleta para fins particulares, desde que sejam não econômicos. Ou então quando para um dos seguintes fins: jornalísticos, artísticos, acadêmicos, de segurança pública, de defesa nacional, de segurança do Estado ou de investigação e repressão de infrações penais.

A LGPD está dividida em 10 capítulos, tendo 65 artigos, sendo que alguns deles ainda precisam ser complementados pela ANPD (Agência Nacional de Proteção de Dados) que está em processo de criação, e será esse órgão o responsável pela fiscalização, regulação e punição das instituições que não seguirem a legislação. A relação entre as empresas, titulares e a ANPD pode ser melhor observada na Figura 4. Figura 4: Relação entre empresa, titular e ANPD. Inclusive caso haja transferência de dados entre países o titular deve estar ciente do fato. A Figura 5 exemplifica as principais etapas do tratamento de dados pessoais e sua relação com a transferência e anonimização. Figura 5: Ciclo de Vida do Tratamento de Dados Pessoais.

Fonte: Arte Software (2020). Os responsáveis pela interação com os dados são chamados de agentes de tratamento, e podem ser o controlador ou operador. Fonte: Bocater (2020). DADOS PESSOAIS NA PSICOLOGIA CLÍNICA Em análise aos termos condicionados na nova lei de proteção de dados surge a necessidade que todos os profissionais se adequem ao uso da mesma em seu dia a dia de atividades, assim se faz inclusão dos psicólogos, sendo que os mesmos realizam o armazenamento e coleta de dados de seus pacientes. Com isso, alguns pontos devem ser devidamente seguidos. Frazão (2018) cita que o consentimento para que o psicológo ou clínica trate os dados deve ser dado de forma específica e destacada, pelo titular ou responsável legal, no caso de menores de idade.

No caso da área de psicologia, há ainda o CFP, que através da Resolução CFP 001/2009 indica que é obrigatório o registro do documento da prestação de serviços, o que torna o consentimento citado anteriormente dispensável, visto que a legislação citada exige o armazenamento desse documento por um período de 5 anos. Isso demonstra a preocupação do legislador quanto ao tratamento referente à hipótese de fornecimento de consentimento, conferindo ao titular o direito de obter uma cópia eletrônica integral de seus dados, de forma que possa exercer controle ainda maior acerca do tratamento, podendo ainda revogar esse consentimento quando desejar. O indivíduo para que tenha garantida a liberdade de atuação no mundo virtual tem que ter seus direitos fundamentais atendidos, a fim de preservar os princípios inerentes à pessoa humana, como disciplina o texto constitucional brasileiro.

Ademais, dentre os direitos fundamentais resguardados no ambiente digital o direito a proteção de dados pessoais é um dos mais significativos da humanidade na contemporaneidade, sendo abordado até mesmo nos Direitos Humanos promulgados pela ONU (FORTES, 2016). Rodotá (2008) trata a proteção de dados como uma expressão de liberdade e dignidade pessoal, assim sendo admissível que o uso dos dados transforme a pessoa em um objeto em vigilância constante, ainda que com seu consentimento. O autor cita que progresso da tecnologia e da relação dela com a vida das pessoas têm transformado os indivíduos em cidadãos totalmente interconectados, estando em contato constante com o meio digital, onde possuem diversas informações, como seus hábitos, preferências, contatos e movimentos armazenados. da legislação também pode gerar dever de indenizar, a cada vez que a violação comprometer a integridade, disponibilidade e confidencialidade dos dados, sendo obrigação da companhia informar o titular caso os dados sejam comprometidos.

Assim, será necessário verificar se a providência tomada pela empresa em termos de segurança era ou não suficiente, pois esse e outras medidas, tal como reincidência, políticas de segurança e de incidentes podem ser determinantes quanto à organização ser ou não responsabilizada civilmente e monetariamente pelas partes afetadas. A indenização ao titular dos dados também poderá ser responsabilidade do operador, uma vez que seja provado que ele não adotou as medidas de segurança necessárias, descumpriu as obrigações da legislação ou não seguiu as instruções lícitas do controlador. Temos então que a avaliação de impacto, prevista no art. da LGPD, é um dos instrumentos mais importantes no cenário de proteção de dados, estando ainda sujeita à regulamentação da ANPD, que no momento encontra-se em processo de criação.

ISO 27001: SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO A norma ABNT ISO/IEC 27001:2020 é um padrão de referência internacional para o gerenciamento da segurança da informação, sua origem data de 1992, quando foi utilizada por um departamento do governo Britânico para estabelecer um código de práticas relativas à gestão da segurança da informação. Essa norma pode ser utilizada por organizações de qualquer tamanho e de qualquer setor, pois conforme norma, a mesma tem como princípios a organização de um conjunto de requisitos, processos e controles que vão ser utilizadas para mitigar e gerir o risco das companhias. O que deve ser observado é o tamanho da empresa, a complexidade das tarefas e funções e a quantidade de profissionais que serão envolvidos.

Ela pode ser implementada na sua totalidade, cobrindo toda a gestão de TI da organização, ou então apenas os tópicos desejados, sendo composta pelas divisões apresentadas na Figura 9. Figura 9: Divisões da ISO 27001. Dessa forma são apresentados os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de gestão da Segurança da Informação (SGSI), bem como os requisitos para avaliação e tratamento de riscos de segurança da informação, sempre com o foco nas necessidades da organização. Com isso, a ISO 27001 estabelece os requisitos para um SGSI através de uma abordagem baseada em riscos que abrange pessoas, processos e tecnologia. A certificação credenciada de forma independente para a ISO 27001 fornece às partes interessadas a garantia de que os dados estão sendo adequadamente protegidos, bem como que a organização tem uma série de normas e políticas implementas, demonstrando também a maturidade da organização.

Segundo a ISO/IEC 27701, controle 8. Rótulos e tratamento da informação, convém que a organização assegure que as pessoas sob o seu controle estejam cientes da definição de dados pessoais e saibam como reconhecer uma informação que é dado pessoal. Fonte: Luz (2019). ISO 27002: CONTROLES DE SEGURANÇA DA INFORMAÇÃO Uma outra normativa da família ISO 27000 é a ISO 27002, sendo que o foco dela são as boas práticas na gestão de segurança da informação, onde constam as políticas de SI, a gestão dos ativos (bens ou informações mais valiosas e que precisam ser protegidas), segurança em recursos humanos, segurança física, do ambiente e de operações e comunicações, gestão de tratamento de incidentes e continuidade dos negócios, controle de acesso e aquisição, manutenção e desenvolvimento de sistemas, entre outros.

A norma apresenta em seu teor uma estipulação para melhores práticas como o apoio da implantação do SGSI, definidas em diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. Segundo Moura e Gaspary (2008), para atender aos objetivos de controle de segurança da informação que vem sendo tratados e as exigências da LGPD quanto ao controle, mais de uma ferramenta de segurança pode ser necessária ou utilizada, o que amplia a complexidade da aplicação prática da segurança da informação, bem como o nível de conformidade a que a empresa estará abordando.

Cabe ressaltar que cada empresa precisa fazer essa análise de forma individual e de acordo com seu negócio e sua realidade. Tabela 4: Adequação LGPD com base na família ISO. LGPD Família ISO 27000 Capitulo 1 –Disposições Gerais ISO 27002 – entendimento da organização Capitulo 2 –Tratamento de dados pessoais ISO 27002 – escopo de atuação ISO 27001 - conformidade Capitulo 3 –Direitos do Titular ISO 27002 – riscos ISO 27001 – política de segurança da informação, conformidade Capitulo 4 –Tratamento de dados pelo poder público ISO 27002 – riscos ISO 27001 – política de segurança da informação, conformidade Capitulo 5 –Transferência Internacional de dados ISO 27002 – riscos ISO 27001 – política de segurança da informação, conformidade Capitulo 6 –Agentes de tratamento de dados ISO 27002 – riscos ISO 27001 - conformidade Capitulo 7 –Segurança de dados ISO 27001 Capitulo 8 –ANPD ISO 27002 – riscos ISO 27001 – conformidade Fonte: Adaptado Luz (2019).

Figura 11: Conformidade com a LGPD. Fonte: Luz (2019). Temos então que o processo de adequação é extremamente complexo, principalmente em se tratando de dados sensíveis tal qual são utilizados na área da saúde. Pesquisa de possíveis clinícas participantes da pesquisa; 6. Contato com as empresas; 7. Envio dos questionários e entrevistas; 8. Organização dos dados reunidos; 9. Análise dos dados reunidos; 10. pt/>. Acesso em 8 de setembro de 2020. a. Em que consiste? Disponível em <https://www. pt/iso27001_3. xpositum. com. br/ciclo-de-vida-dos-dados-e-lgpd>. Acesso em 21 de outubro de 2020. ALVES, Marcelo Barreto de. Disponível em <https://artesoftware. com. br/2019/09/28/lgpd/>. Acessado em 21 de outubro de 2020. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Rio de Janeiro, 2019. BRASIL. Lei nº 13. de 14 de agosto de 2018, institui a Lei Geral de Proteção de Dados Pessoais (LGPD).

Disponível em:< http://www. br/publicacao/a-lgpd-e-o-dever-fiduciarios-dos-gestores-de-entidades-fechadas-de-previdencia-complementar/257>. Acesso em 21 de outubro de 2020. CAMPOS JR, D. M. Funcionamento interno de um firewall. CERT. Total de incidentes reportados por ano. Disponível em <https://www. cert. br/stats/incidentes/>. Lei Geral de Proteção de Dados. Disponível em <https://www. criainovacao. com. br/lei-geral-de-protecao-de-dados/>. oas. org/dil/port/1948%20Declara%C3%A7%C3%A3o%20Universal%20dos%20Direitos%20Humanos. pdf>. Acessado em 16 de novembro de 2020. c FRANÇA, Guilherme. com. br/tecnologia. Acesso em: 23 jun. FONTES, E. Políticas e Normas para a Segurança da Informação: como desenvolver, implantar, e manter regulamentos para a proteção da Informação nas Organizações. pdf>. Acessado em 25 de outubro de 2020. GRANATO, Daniela. Caso Snowden. Disponível em <https://danielaggranato. HINTZBERGEN, Jule et al. Fundamentos de Segurança da Informação: com base na iso 27001 e na iso 27002.

ed. Rio de Janeiro: Brasport, 2018. HILTON, Antonio Carlos de Araújo; DINAMARCO, Cândido Rangel; GRINOVER, Ada Pelegrine. leg. br/institucional/arquivo/apresentacoes/slide-7a>. Acessado em 16 de setembro de 2020. MACHADO, F. N. GASPARY, L. P. Uma Proposta para Medição de Complexidade de Segurança em Procedimentos de Tecnologia da Informação. In: VIII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais – SBSEG, 2008, Gramado. Anais. p. novembro. Disponível em: <https://www. researchgate. net/publication/265786216_New_Dev >. Rio de Janeiro: Editora Ciência Moderna Ltda, 2012. SILVA, Edna Lúcia da; MENEZES, Estera Muszkat. Metodologia da Pesquisa e Elaboração de Dissertação. a ed. Florianópolis: Universidade Federal de Santa Catarina - UFSC. Curso de Sistemas de Informação. Vincit. TOTALDOCS. Como vai funcionar a Lei Geral de Proteção de Dados (LGPD)?! Disponível em <http://blog.

totaldocs.