1 – Introdução
A segurança de dados pessoais que circulam na rede mundial de computadores em um mundo cada vez mais conectado, se tornou uma preocupação crescente devido à necessidade de exposição de dados individuais para realização de cadastros nas plataformas digitais, seja em uma rede social, seja para criar um e-mail ou mesmo para se cadastrar em uma plataforma de edição de arquivos, sendo este último, o objeto deste breve texto que não pretende esgotar este vasto assunto.
Quem é servidor público sabe das dificuldades que existem quando há a necessidade de se lidar com documentos digitais, seja uma folha escaneada de um processo judicial físico que necessita de um aprimoramento da nitidez, seja um arquivo em PDF que precisa ser unido a outro, ou mesmo um e-mail com um documento confidencial anexado que precisa ser enviado urgentemente, mas o servidor está fora do ar ou em manutenção justo nesse momento. O trabalho no serviço público fica ainda mais difícil quando se percebe que não existem ferramentas básicas para a realização de tal tarefa.
Então, diante da escassez deste tipo suporte no ambiente de trabalho, os servidores públicos são obrigados a utilizar ferramentas online de manipulação de documentos digitais e isso representa um grande risco à segurança das informações dos donos destes dados, quais sejam os administrados.
2 – Principais Riscos
2.1 – Violação de Privacidade
Um dos riscos mais evidente na utilização desta categoria de plataforma é a violação de privacidade, pois este tipo de tecnologia digital é usado para processar informações pessoais de maneira invasiva e em larga escala, podendo vir a falhar no que diz respeito às expectativas razoáveis de privacidade dos indivíduos.
2.2 – Segurança Cibernética
Outro risco presente diz respeito à segurança cibernética, já que a edição de arquivos online envolve o upload de seus arquivos para a nuvem, o que pode expô-lo a potenciais ameaças de segurança cibernética. Essas ameaças podem variar desde violações de dados até ataques de malware, causando perda ou corrupção de dados e, em casos extremos, roubo de identidade.
Levando-se em consideração que os formatos de arquivos digitais usados pela Administração Pública, em sua grande maioria, são o PDF e o Word, há a necessidade de usar os serviços desses sites de edição de documentos que, ao serem acessados, podem armazenar o conteúdo que é carregado em seus servidores. Isso é parte do que é conhecido como armazenamento em nuvem. Esses serviços permitem que os usuários guardem todos os seus arquivos em um servidor dedicado. Nesses locais é possível armazenar, compartilhar, editar e excluir documentos livremente.
Alguns exemplos de tais serviços incluem Google Drive, Amazon Cloud Drive, e muitos outros. Cada serviço tem suas próprias políticas e práticas em relação ao armazenamento e segurança deste tipo de conteúdo — se é que existem ou que são o bastante para lidar com os dados da população, pois é de conhecimento geral que muitas plataformas de internet têm boa parte da sua receita provenientes da venda de dados dos seus usuários a empresas parceiras.
2.3 – Riscos à Privacidade e Segurança dos Dados
Já há algum tempo que os riscos à privacidade e segurança dos dados vêm sendo objeto de estudo, e os pesquisadores descobriram que dezenas de populares aplicativos de edição de fotos e PDF, por exemplo, violam a privacidade do usuário de várias maneiras, coletando e revendendo dados, empurrando anúncios maliciosos, redirecionando usuários para sites de phishing e spam, instalando malware e acessando câmera e microfone, no caso de o acesso ter sido realizado por um smartphone, tablet ou notebook.
No entanto, esse não é o único problema, pois pode haver um acesso não autorizado de cibercriminosos que podem roubar esses dados para proveito próprio ou a serviço de terceiros. Ainda nesse tema, pode ser citada a possibilidade de alteração de dados sem permissão com o objetivo de prejudicar criminalmente, por exemplo, o dono desses dados.
É possível, também, que haja perda de disponibilidade de dados pessoais, por exemplo, por ataques de ransomware, que em alguns casos, os cibercriminosos podem usar as informações para lançar as investidas, onde os arquivos são criptografados e o usuário é forçado a pagar um resgate para recuperá-los.
Como último exemplo, pode ocorrer o vazamento de dados pelo operador, que consiste numa situação que informações pessoais confidenciais, que deveriam ser protegidas e mantidas em segurança, são inadvertidamente expostas ou divulgadas. Isso ocorre devido a erros humanos que, por exemplo, um funcionário pode acidentalmente enviar um e-mail contendo informações pessoais para a pessoa errada, ou falhas técnicas devido a um erro de software que pode expor dados pessoais que deveriam estar ocultos ou protegidos, por exemplo.
3 – Desafios para a Administração Pública
Diante desse cenário aparentemente caótico em ambiente digital, a Administração Pública em geral deve enfrentar os seguintes desafios:
• Rápida evolução das técnicas de ataque: diante da rápida evolução das técnicas de ataque promovidas pelos cibercriminosos, exigem-se soluções de segurança igualmente ágeis e adaptáveis, como exemplo, o padrão adotado pelas empresas produtoras de softwares antivírus;
• Complexidade das infraestruturas de TI: A dificuldade enfrentada pela Administração provocada pelo aumento progressivo de toda estrutura de TI, incluindo nuvens híbridas e ambientes de IoT (internet das coisas), amplia as fragilidades do sistema e dificulta a implementação de medidas de segurança eficazes;
• Recursos e competências técnicas limitadas: devido à escassez de recursos, muitos municípios, por exemplo, são incapazes de instituir sistemas eficientes ou manter dentro dos seus quadros especialistas competentes o suficiente para estabelecer sistemas de segurança digital robustos;
• Legislação em desenvolvimento: O ordenamento jurídico brasileiro sobre segurança digital ainda está em desenvolvimento e, apesar da vigência das Leis 13.709/18 (LGPD) e 12.965/14 (Marco Civil da Internet), ainda há a carência de legislação complementar para sanar as lacunas legais e incertezas sobre responsabilidades que ainda existem;
• Implementação das diretrizes da LGPD em todos os níveis da Administração Pública: Diversos municípios brasileiros ainda encontram muita dificuldade na implementação das diretrizes da Lei Geral de Proteção de Dados (LGPD), e a segurança digital vai além da defesa de informações pessoais, envolve também a segurança dos sistemas e infraestruturas críticas, essas possuidoras de dados sensíveis dos administrados, sejam pessoas físicas ou jurídicas.
4 – Medidas de Segurança Digital Conforme a Legislação
De início, é importante salientar que para que as medidas tomadas pela Administração Pública tenham algum grau de eficácia é essencial haver familiarização com os tipos de dados que são coletados e armazenados além da implementação de cada uma das providências citadas abaixo.
Dito isto, a primeira medida é bem óbvia e está totalmente relacionada ao tema deste texto: a necessidade de a Administração Pública ter a sua própria suíte de softwares de edição de arquivos — não somente estes, mas todo e qualquer programa de informática que o serviço público necessite — para não ficar refém de sites online que hospedam os arquivos enviados para edição nos seus servidores ou na nuvem. Esses programas devem ser elaborados visando suprir as necessidades cotidianas do serviço público e isso não deve ser feito de modo estático, ou seja, um único modelo de aplicativo para toda Administração em todos os seus níveis. Visando um maior dinamismo e agilidade da máquina pública, isto deve ser feito pensando nas peculiaridades da atividade de cada órgão de todos os entes da Federação.
Ter conhecimento profundo do Marco Civil da Internet e da Lei Geral de Proteção de Dados é de suma importância considerando o escopo de cada lei. O MCI foi elaborado com o objetivo regular as atividades na rede mundial de computadores e garantir a liberdade de expressão e a privacidade, direitos assegurados pela Constituição Federal de 1988. Grosso modo, o MCI tem como alvo principalmente as interações que ocorrem na internet. Já a LGPD objetiva aprimorar e especificar as normas do MCI, com uma regulamentação mais específica sobre o tratamento dos dados pessoais. A Lei Geral preenche alguns espaços vazios deixados pelo legislador do Marco Civil, regulamentando principalmente a coleta e a forma de utilização dos dados pessoais dos usuários. Além disso, a LGPD se aplica tanto a dados coletados online quanto offline.
O desenvolvimento de um framework é importantíssimo porque são fundamentais para a proteção de dados pessoais, pois através deles são fornecidas diretrizes necessárias para garantir que os dados sejam coletados, armazenados e processados com segurança e conforme a legislação aplicável.
A proteção de todo o acervo digital da Administração Pública deve ir muito além dos softwares de proteção. Também deve haver a manutenção dos registros detalhados de medidas de conformidade de dados e procedimentos de auditoria. Esta última é uma medida essencial para garantir a efetividade e a continuidade da LGPD, a mitigação dos riscos e o avanço na proteção dos dados. Portanto, é importante que as instituições públicas realizem auditorias periódicas para garantir a conformidade com a Lei Geral.
O treinamento da equipe também é importante, pois gera conscientização ética quanto ao uso seguro e adequado dos dados dos titulares; previne erros de segurança na utilização desses dados; cria segurança jurídica em relação ao cumprimento das diretrizes do MCI e da LGPD.
Por fim, deve ser nomeado um responsável pela segurança e conformidade de dados, podendo ser este, conforme art. 5.º, VIII da LGPD, pessoa física ou jurídica, que servirá de canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Dados. Através dele será garantido que a Administração Pública esteja de acordo com a legislação vigente. Este encarregado também será o gestor de reclamações dos titulares e atuará de maneira clara e objetiva em respeito com o princípio da transparência, nos termos do art. 41, § 1º da 13.709/18.
5 – Conclusão
Diante do exposto, percebe-se que em um mundo cada vez mais conectado ao ambiente virtual, é importante que a Administração Pública esteja ciente dos riscos que os dados dos administrados correm ao serem usadas ferramentas online de edição de arquivos, pois esses documentos ficam salvos nos servidores das plataformas e, com eles, as informações.
No entanto, está claro que o custo para a implementação de todas essas medidas é altíssimo e que nem todos os municípios brasileiros têm disponibilidade de caixa para arcar, tanto para implementar, quanto para manter um sistema complexo dessa natureza. Para sanar esse problema, poderia ser criado, por exemplo, um fundo nacional de financiamento com participação de todos os entes da Federação com a finalidade de financiar a implementação e a manutenção desses sistemas de segurança, por parte dos entes que não puderem arcar com os custos.
Portanto, é necessário que sejam tomadas todas as medidas adequadas para que os riscos à segurança e à privacidade de dados sejam contidos.
