Anais EnAJUS 2023

ISSN 2674-8401

Proposta de Metodologia para Avaliação de Riscos de Privacidade para Órgãos do Poder Judiciário no Brasil

Autoria: Carlos Eduardo Miranda Zottmann, Rafael Rabelo Nunes, Marcus Aurélio Carvalho Georg, Renato Solimar Alves, Marcelo Antonio da Silva

Informações

Sessão 7 - 23/10/2023, 16:00
Mediação: Ricardo Lopes Dinis Pedro (Direção-Geral da Política de Justiça)

Resumo

O tema privacidade vem ganhando cada vez mais importância em nosso dia a dia, em grande parte em função do alcance cada vez maior da Internet e de produtos ou serviços que fazem o tratamento de grandes massas de dados pessoais, tais como as redes sociais e as bases de dados que o estado mantém a respeito de seus cidadãos, bem como em função da popularização de métodos de tratamento automatizado neste volume de informações, a exemplo das ferramentas de Business Intelligence e Inteligência Artificial. A facilidade de comunicação e interação por meio das redes sociais revela um aspecto preocupante: a violação da privacidade, direito fundamental que merece essencial proteção (Lima, 2016). A criticidade desse cenário tem feito surgir uma série de novos instrumentos normativos que determinam as condições que o tratamento de dados pessoais deve observar, tais como a Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709, 2018). Buscando auxiliar os diversos órgãos públicos na execução da tarefa de proteção de dados pessoais, o Poder Executivo produziu o Guia de Boas Práticas sobre a LGPD (Comitê Central de Governança de Dados, 2020) e o Guia de Avaliação de Riscos de Segurança e Privacidade (Ministério da Economia, 2020) , com intuito de servir como documentos para orientação sobre avaliação de riscos de privacidade em sistemas, contratos e processos de trabalho. O Conselho Nacional de Justiça (CNJ), por sua vez, instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ), por meio da Resolução CNJ nº 396/2021 (Conselho Nacional de Justiça [CNJ], 2021b), que é complementada pela Portaria nº 162/2021 (CNJ, 2021c), que, por sua vez, recomenda uma série de controles de segurança a serem aplicados sobre as infraestruturas críticas dos tribunais. Entretanto, não existe instrumento normativo ou documento técnico que determine recomendações sobre o processo de gestão de riscos de privacidade, tampouco sobre como avaliá-los, de forma que se alinhem com a Portaria nº 162/2021 do CNJ. O judiciário conta apenas com a Resolução nº 363/2021 do CNJ que estabelece medidas para o processo de adequação à LGPD a serem adotadas pelos tribunais, não tratando sobre a gestão dos riscos dessa temática (CNJ, 2021a). A inexistência de prescrição de controles mínimos de privacidade pelo CNJ limita a proteção de dados pessoais, ocasionando, em última análise, a ausência de confiança das partes interessadas (Associação Brasileira de Normas Técnicas [ABNT], 2009). Mediante essa realidade, e tomando como base o Guia de Avaliação de Riscos de Segurança e Privacidade e os normativos que compõem a ENSEC-PJ, o presente trabalho teve como objetivo elaborar uma metodologia de avaliação de riscos de privacidade para órgãos do Poder Judiciário que mescla as recomendações publicadas pelo Poder Executivo com as diretrizes dos controles de segurança cibernética descritos na Portaria nº 162/2021 do CNJ. Dessa forma, é possível avaliar o nível dos 14 riscos de privacidade prescritos pela ISO 29134:2017 e compilados pelo guia do Ministério da Economia, considerando os controles de segurança recomendados pelo CNJ. Muito embora o trabalho tenha como objetivo específico propor uma metodologia aplicável aos órgãos do Poder Judiciário, seus resultados podem ser aplicados por qualquer instituição, na medida em que tanto os Guias publicados pelo Poder Executivo quanto a Portaria CNJ 162/2021 são baseados em frameworks destinados a instituições de qualquer ramo de atuação, largamente aceitos como boas práticas pelo mercado. O trabalho se caracteriza por ser pesquisa aplicada, uma vez que tem como objetivo propor uma metodologia que possa ser diretamente utilizada pelos órgãos do Poder Judiciário, tem natureza descritiva, tendo em vista que pretende propor um método de seleção de controles de segurança a partir da combinação de dois métodos existentes, e realiza a análise dos dados de forma qualitativa, em virtude de haver subjetividade no tocante à atribuição quanto à natureza e peso dos controles (Gil, 2019). Foram utilizados diferentes tipos de procedimentos técnicos para se chegar à metodologia, tais como pesquisa bibliográfica e o estabelecimento de um grupo focal para avaliar, por parte da equipe de um dos tribunais superiores nacionais, a interseção entre os controles de segurança definidos pelo Guia de Avaliação de Riscos de Segurança e Privacidade e os recomendados pela Portaria 162/2021 do CNJ. O resultado do trabalho é a própria metodologia, que é materializada em uma planilha que automatiza o cálculo do nível dos 14 riscos a partir da resposta da aplicação dos controles. O trabalho contribui para que os tribunais possam avaliar os riscos de privacidade em consonância com os riscos de segurança da informação, adotando uma linguagem compatível com o método mais comumente adotado para a gestão de riscos corporativos, baseado na norma ISO 31.000 (ABNT, 2019), o que facilita o processo de avaliação e tomada de decisão, de forma a auxiliar as atividades para o cumprimento desse direito fundamental dos cidadãos.ReferênciasAssociação Brasileira de Normas Técnicas. (2009). Gestão de riscos - Princípios e diretrizes. ABNT NBR ISO/IEC 31000:2009: Associação Brasileira de Normas Técnicas. (2019). Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. ABNT NBR ISO/IEC 27701:2019. Conselho Nacional de Justiça. (2021a). Portaria nº 162, de 10 de junho de 2021. Aprova Protocolos e Manuais criados pela Resolução CNJ nº 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ). https://atos.cnj.jus.br/atos/detalhar/3982Conselho Nacional de Justiça. (2021b). Resolução nº 363, de 12 de janeiro de 2021. Estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais.  https://atos.cnj.jus.br/atos/detalhar/3668Conselho Nacional de Justiça. (2021c). Resolução nº 396, de 07 de junho de 2021. Institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ).  https://atos.cnj.jus.br/atos/detalhar/3975Comitê Central de Governança de Dados. (2020). Guia de Boas Práticas - LGPD.  https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf/viewGil, A.C. (2019). Como elaborar projetos de pesquisa. Editora Atlas S.A.Lima, L. de A. (2016). O Direito à Privacidade nas Redes Sociais na Internet. [Dissertação de Mestrado]. Universidade Regional do Noroeste do Estado do Rio Grande do Sul – UNIJUI. Programa de Pós-Graduação em Direito - Direitos Humanos. https://bibliodigital.unijui.edu.br:8443/xmlui/handle/123456789/4204Ministério da Economia. (2020). Guia de Avaliação de Riscos de Segurança e Privacidade - LGPD.  https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_avaliacao_riscos.pdf/viewMinistério da Economia. (2021). Relatório de Impacto à Proteção de Dados Pessoais.  https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_template_ripd.docx/viewLei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Presidência da República. http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm

Palavras-chave

proteção de dados pessoais; judiciário; tomada de decisão.
PDF Todos os trabalhos desta edição