Destruição Segura de Documentos.

Sob a luz da LGPD, garantir o sigilo dos dados pode significar destruí-los de forma segura.

Há tempos, na época da guerra fria, a espionagem era o temor dos governos e dos governantes. Proteger os documentos secretos, para que estes não caíssem em poder do inimigo, era uma grande preocupação no período romântico dos filmes de 007.

O mundo evoluiu, a Guerra Fria está congelada, os espiões saíram de moda, contudo, a proliferação da informação se tornou uma preocupação geral. A propriedade intelectual e de imagem, chaves e senhas permitem transações financeiras não autorizadas, crimes cibernéticos e uma gama de novas situações, nas quais não somente a confidencialidade, mas a credibilidade das pessoas e empresas ficam todo o tempo expostas. O sigilo e a privacidade estão inseridos no nosso cotidiano em uma legislação – direcionada para este novo mundo virtual – que surge para regulamentar o comportamento da sociedade conectada.

A Lei Geral de proteção de dados, apelidada de LGPD (LEI Nº 13.853, DE 8 DE JULHO DE 2019) é a mais nova vedete que veio para contribuir com os novos tempos. Em síntese, ela manda que as empresas e os agentes que manipulam dados de terceiros se responsabilizem por esses conteúdos; determina como a coisa deve ser feita e quais as punições pela irresponsabilidade, mesmo que involuntária, ou seja, não cabe mais o desconhecimento ou a inocência conveniente quando se trata de dados sob custódia desses agentes, sejam pessoas físicas ou jurídicas, de direito público ou privado.

Seguindo esse contexto, existe um universo dinâmico e moderno pra se guardar esses dados. Existem as Melhores Práticas para se proteger e contingenciar as informações, com backups e estratégias de recuperação e arquivamento tecnológico. Neste artigo quero enfatizar a última fronteira segura no tratamento dos dados, de forma que seja preservada toda sua confidencialidade. Trata-se da forma mais segura de proteger conteúdos sigilosos que não têm mais função existencial: a destruição antes que sejam propagados de forma indiscriminada.

Tem certeza que está destruindo ou, simplesmente, jogando fora?

Nesta semana um fato abalou a mídia: A esposa de um jogador de futebol foi agredida! Sem discutir o fato em si, ela postou um vídeo nas redes sociais relatando o ocorrido. Depois por qualquer razão, retirou o vídeo do aplicativo, mas alguém já havia salvado e espalhou nas redes sociais. O assunto se tornou um furo de reportagem na TV, na internet e sabe-se lá onde mais…

Apagar não é destruir. Jogar fora não impede que dados se espalhem, e assuntos sigilosos, secretos podem se tornar públicos, mesmo que de forma criminosa. Esses conteúdos devem ter tratamento responsável e exigem um alto grau de controle de processo para evitar que a coisa seja divulgada. Em certos casos, por mais rigorosa e punitiva que seja a lei, não irá compensar os danos causados pelo vazamento do dado secreto.

A pergunta que não quer calar no universo cibernético é: Quando eu mandei apagar meus dados na nuvem ou nos aplicativos de conteúdo de imagem, estes foram realmente apagados? Como ter a certeza?

Será que lá no “Olimpo das Nuvens” a tecla Delete é tão radical e segura?

No ambiente Web isso realmente fica difícil de se verificar, mas, quando falamos de documentos em papel e dados em meio físico sob responsabilidade da T.I. das empresas, isso pode ser controlado e auditado. Um conceito que se deve adotar é:

Se um documento é realmente secreto, deve ficar offline!

Existe um ditado interessante de autor desconhecido – pra mim pelo menos – Se quer manter um segredo, não conte a ninguém! Hoje em dia manter dados sigilosos na web é colocar em risco a segurança.

Deve-se manter processos rigorosos de controle, não somente para documentos em papel, mas também documentos e dados em meio digital. Manter ambientes de armazenamento de dados históricos e sigilosos em processos ou sistemas fora da rede e da web é uma boa recomendação.

Isso pode ser feito com estrutura própria ou em empresas Offsite, contudo, deve-se conhecer bem com quem se está lidando! Avaliar e verificar o histórico do parceiro é uma das Melhores Práticas que se deve adotar.

É bom ter em mente que trata-se de uma cadeia de responsabilidade – você tem que preservar a confidencialidade dos seus dados e precisa contratar um fornecedor que tenha a mesma preocupação e responsabilidade com os dados dos seus clientes e dos clientes do cliente.

Além das verificações de praxe, para auditar fornecedores, é preciso ter um contrato com cláusulas fortes de confidencialidade, no qual o parceiro ou fornecedor possa se responsabilizar à altura da importância do acervo que está protegendo.

Quando chegar a hora de expurgar, destruir os dados ou documentos guardados, toda aquela preocupação, suportada por processos fortes, devem servir não somente para se guardar os documentos, mas para destruí-los também.

Quando o ciclo de vida de uma informação chega ao fim, é preciso “jogá-la fora”, descartando-a da forma correta!

Como fazer isto de forma segura?

É preciso seguir as Boas Práticas, que determinam um fluxo adequado:
Qual o meio físico no qual o dado ou informação está inserido: papel, mídias eletrônicas, digitais, que podem ser CDs/DVDs, Disquetes, Fitas, HD, Pendrives ou memórias flash etc.?

De que são constituídos: papel, plástico, metais, componentes tóxicos, etc? Essas dúvidas determinam qual será o destino dos resíduos após a destruição dos dados. Hoje em dia, deve-se evitar destruir através de incineração, já que isso não tem uma “pegada ecológica”, que segue os padrões internacionais de redução de emissões de CO2, além de impossibilitar o reúso dos resíduos como matéria-prima para indústria.

Em seguida, é necessário avaliar o grau de sigilo e a confidencialidade dos dados; esse aspecto é importante, pois vai determinar o que a Norma DIN 66.399 chama de grau de segurança do material a ser triturado. Essa norma determina que cada tipo de material deve ser destruído em um processo de fragmentação, e o tamanho do fragmento determina a segurança (consulte a norma Din 66.399 para saber as classes e os graus de segurança para cada tipo de material a ser destruído, link abaixo).

Quanto menor o fragmento, maior a segurança!

Isso garante que o dado ou documento fragmentado e destruído não poderá ser remontado, impossibilitando se conhecer o seu conteúdo. A coisa chega a graus de segurança na qual a partícula do fragmento seja do tamanho de um grão de areia. Claro que quanto menor o fragmento, maior será o custo de destruição, pois envolve máquinas mais sofisticadas e caras. Deve-se calibrar esse grau de segurança com os custos orçados para esse procedimento.

Por fim, precaver-se com a regulamentação ambiental no que diz respeito ao destino final do resíduo. Importante ter um processo que envolva a regulação, que, no Estado do Rio de Janeiro, é o MTR, Manifesto de Transporte de Resíduos, emitido pelo INEA (Instituto Estadual do Ambiente). Cada tipo de resíduo – papel, plástico, metais, etc – terá uma destinação específica.

É fundamental ter a certeza que os documentos foram de fato destruídos de forma definitiva, integral e irrecuperável e saber que isto foi feito seguindo os protocolos legais e ecologicamente corretos. Trata-se de um investimento em ativos conectados com o mundo. Não é desperdício agir dessa forma! Encontrar soluções e parceiros alinhados com as Melhores Práticas vai trazer para as suas ações uma consciência humana e socialmente correta.

Rio de Janeiro, 20 de Dezembro de 2019.
Laert Perlingeiro Goulart.

Fontes:

http://www.din66399.com.br

http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/l13853.htm

https://www.e-publicacoes.uerj.br/index.php/polemica/article/view/4337/3152

http://www.inea.rj.gov.br/inea-legislacao/

SOBRE O AUTOR

“Laert Perlingeiro Goulart, é Engenheiro Civil formado pela Universidade Católica de Petrópolis, atuou como empresário da construção civil até 2005 quando tornou-se executivo de uma empresa de Logística, onde atuou ate 2017. Hoje é executivo de uma empresa de T.I. voltada para tecnologia de gestão de documentos, arquivos digitais e backup. Nas horas vagas gosta de tirar fotos e apreciar uma boa cerveja artesanal e compartilha isso no seu Instagram @laert.goulart“