A lei geral de proteção de dados e a criptografia de ponta a ponta

 

A lei 13.709 de 2018, chamada de Lei Geral de Proteção de Dados (LGPD) representa um avanço significativo na regulamentação das liberdades no Brasil inclusive através da rede mundial de computadores. Seu objetivo é cuidar dos direitos fundamentais previstos na Constituição Federal de 1988 (CF/88), por exemplo a liberdade, bem como à privacidade seja da pessoa física ou jurídica, de direito público ou privado, bem como os direitos humanos previstos em tratados internacionais. (art. 1º)

Nesse sentido, a LGPD regulamenta o tratamento, o compartilhamento e o armazenamento de dados pessoais e de acordo com o parágrafo único do art. 1º desta lei todas as suas normas valem para todo território brasileiro, assim, a União, Estados, Distrito Federal e Municípios devem respeitar seu teor de caráter geral.

O art. 2º traz as bases da proteção de dados pessoais no Brasil:

a- respeito à privacidade- é gênero previsto na CF/88 que engloba à intimidade, à vida privada, à honra e a imagem se desdobra também no sigilo das informações pessoais, por exemplo sigilo das informações bancárias;

b- a autodeterminação informativa- ou seja, o brasileiro deve ter poder absoluto sobre seus próprios dados e deve decidir como esses deverão ser tratados, armazenados ou compartilhados;

c- a liberdade de expressão, de informação, de comunicação e de opinião – compõem o grupo das liberdades consagradas pela CF/88 como direitos fundamentais;

d- a inviolabilidade da intimidade, da honra e da imagem- são espécies do direito à privacidade;

f - o desenvolvimento econômico e tecnológico e a inovação- consiste em proteger os direitos autorais, os nomes das empresas, bem como a propriedade de marcas e criações de acordo com o que disciplina o art. 5º, XXIX da CF/88, pois os dados representam informações preciosas para o desenvolvimento da economia e da tecnologia, já que em posse deles, é possível traçar o perfil do consumidor, bem como identificar soluções para problemas da humanidade, facilitando a vida das pessoas e revolucionando o mercado;

g - a livre iniciativa, a livre concorrência e a defesa do consumidor- consiste em defender os princípios gerais da atividade econômica prevista nos incisos do art. 170 da CF/88, principalmente que a atividade econômica respeite o consumidor, visto que este é vulnerável;

h - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais, ou seja, a proteção dos dados pessoais deve estar em consonância com o direito internacional, através de seus tratados, como também com o direito nacional no que tange em assegurar a dignidade da humana para que todo cidadão possa se desenvolver enquanto pessoa.

Nessa direção, de acordo com o art. 3º “esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I - a operação de tratamento seja realizada no território nacional;

II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;

III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.”

Sendo assim, independentemente da forma, do país de sua sede ou do país onde estão localizados os dados se a operação for feita em território pátrio ou os dados tenham sido coletados em território nacional ou seja, cujo titular nele se encontre no momento da coleta bem como se esse tratamento se destina a oferecer bens e serviços ou mesmo tratar dados de pessoas que estão em território pátrio aplicam-se as diretrizes da LGPD.

Entretanto, segundo o art. 4º essa regulamentação não se aplicará no caso de tratamento de dados pessoais:

“I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II - realizado para fins exclusivamente:

a) jornalístico e artísticos; ou

b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III - realizado para fins exclusivos de:

a) segurança pública;

b) defesa nacional;

c) segurança do Estado; ou

d) atividades de investigação e repressão de infrações penais; ou

IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.”

Ademais, a LGPD no seu art. 5º, com a finalidade de evitar confusão e ambiguidade, definiu vários termos importantes usados pela própria lei, quais sejam:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável- exemplo número do CPF, do RG, ou nome completo;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural-, ex.: biometria e DNA;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento- ou seja dado genérico, referente a um grupo de pessoas como uma pesquisa estatística, que pode ser apenas quantitativa;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico- ex.: Oracle, SQL Server;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento- obs.: esse tratamento pode ser consentido ou não;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, ou seja, é quem resolve como e para que esses dados serão tratados;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, ou seja, subordinado ao controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), ou seja, faz o meio de campo entre o controlador, os titulares e a ANPD;

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, isto é, o consentimento é a chave para se garantir às direitos fundamentais já o titular em regra detém a soberania sobre suas informações, por isso deve concordar ou não com o tratamento de seus dados;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. 

Desta forma, essas são as principais terminologias e seus significados usados pela LGPD, e que devem ser observadas em sua interpretação e aplicação. Nesse caminho a lei consagra uma série de princípios que devem servir de norte para sua execução, sobretudo a boa-fé, um referencial de compreensão muito importante, entre as diretrizes previstas no art. 6º, destacam-se:

“I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, isto é, as informações colhidas devem ser usados para um fim determinado;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento, ou seja, o tratamento deve estar em harmonia com a finalidade;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados, isto é, deve haver moderação na coleta dos dados a serem tratados para um fim determinado; (...)

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial, ou seja, os titulares devem ser informados o tratamento de seus dados;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; (...)

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; (...)”

Nesse contexto, uma das medidas técnicas para garantir a segurança no tratamento de dados pessoais é a criptografia de ponta-a-ponta.

Mas primeiro precisamos entender o que é criptografia?

Chama-se de criptografia a ferramenta usada para embaralhar e confundir dados de fácil entendimento em informação que não possam ser assimilados por uma pessoa externa à conversa.

Sendo assim, a  mensagem é transformada em um conjunto aleatório de números, que dificulta seu entendimento se a comunicação for interceptada. Desta forma usa-se uma chave de criptografia que tem a função de confundir as mensagens, evitando que um agente externo possa compreender o conteúdo da mensagem. 

Isso é feito com o auxílio de algoritmos que transformam a comunicação em códigos, ou seja, cifrando a mensagem. E para conseguir ler os dados novamente é preciso informar a chave de acesso correta. Assim somente o agente que possui o segredo tem acesso ao conteúdo original da comunicação.

Nesse caminho, há duas modalidades de criptografia: a simétrica e a assimétrica. A simétrica consiste na aplicação de somente um mecanismo para codificar a comunicação de um lado e recuperá-la do outro.

Todavia, há uma desvantagem no uso deste tipo de criptografia, isso porque os dois extremos da mensagem precisam possuir a mesma chave. E pode acontecer do segredo precisar ser enviado de uma ponta para outra, o que pode comprometer a segurança já que corre o risco da chave ser capturada por terceiro. Sendo assim, não é a solução mais apropriada em todos os casos.

Nesse contexto, com objetivo de dar mais segurança à comunicação, há outra espécie denominada criptografia assimétrica. Esta por sua vez, baseia-se no uso de dois tipos de chaves para cada extremo da mensagem, qual seja, uma pública e outra privada. Nessa lógica, a chave pública é compartilhada pelos dois lados da comunicação e essas chaves se complementam.

Já a chave privada não deve ser compartilhada, é ela que irá garantir a segurança da informação. Assim, a finalidade da criptografia de ponta a ponta é zelar para que a mensagem só possa ser lida para quem se destina a informação. Impede que terceiros capturem a mensagem no meio do caminho. Por isso é chamada de ponta a ponta.

Desta forma, o governo, os hackers e o próprio servidor por meio do qual os dados são enviados não tem acesso a essa informação, somente quem possui a chave privada. 

Entretanto, pode acontecer do titular tirar print da conversa e encaminhar para terceiro e essa informações podem acabar sendo expostas, por esse sujeito que recebeu o print das mensagens  ou pode acontecer também de um hacker invadir a conta do usuário ou seu dispositivo, e se apropriar das mensagens, nesses casos o mecanismo não garante que as informações sejam interceptadas, logo a criptografia de ponta-a-ponta só assegura que a comunicação não seja capturada durante o envio. Ex.: WhatsApp.

Portanto, a criptografia de ponta a ponta é um exemplo prático do princípio da segurança descrito pela Lei Geral de Proteção de Dados que visa proteger o titular das mídias ou redes da violação da sua privacidade e liberdade de expressão.

 

BIBLIOGRAFIA

BRASIL. Lei Geral de Proteção de Dados - Lei 13.709/18 | Lei nº 13.709, de 14 de agosto de 2018.

BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: Senado Federal: Centro Gráfico, 1988.