Conectando confiança: Dra. Gisele Strey, Diretora da AARB, em entrevista exclusiva discute o compromisso das ARs com a ICP-Brasil e a proteção de dados

Entrevista com Dra. Gisele Strey, diretora da AARB, sobre responsabilidades das ARs da ICP-Brasil em atendimentos remotos e na atuação de Agentes de Registro

A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil – é o sistema nacional responsável por garantir a autenticidade, integridade e validade jurídica de documentos eletrônicos por meio de certificados digitais. 

Internacionalmente conhecida como PKI (Public Key Infrastructure), essa estrutura é composta por uma cadeia hierárquica de certificação digital, diretamente ligada à emissão dos certificados e à manutenção da confiança entre os entes participantes. Essa cadeia é formada por:

• AC Raiz – Autoridade Certificadora principal, mantida pelo ITI (Instituto Nacional de Tecnologia da Informação), que credencia e audita as demais entidades da cadeia.
• ACs – Autoridades Certificadoras subordinadas à AC Raiz, responsáveis pela emissão dos certificados digitais.
• ARs – Autoridades de Registro, que realizam a identificação dos titulares e encaminham os pedidos de certificação às ACs.
• AGRs – Agentes de Registro, que atuam nos pontos de atendimento vinculados às ARs, executando a coleta de dados, biometria e validação documental.

Além desses entes principais, a ICP-Brasil também conta com participantes operacionais e técnicos complementares, que garantem a escalabilidade, segurança e conformidade dos serviços prestados:

• PS – Prestadores de Serviço: entidades que oferecem suporte técnico, infraestrutura ou soluções complementares para a operação da ICP-Brasil.
• PSS – Prestadores de Serviço de Suporte: responsáveis por atividades específicas como armazenamento seguro de dados, operação de sistemas de biometria, videoconferência, entre outros.
• PSC – Prestadores de Serviço de Confiança: entidades que realizam serviços como armazenamento de chaves privadas para usuários finais assinatura eletrônica qualificada, carimbo do tempo, preservação de documentos digitais e outros atos que exigem alto grau de confiabilidade, conforme previsto na Lei nº 14.063/2020 e regulamentações da ICP-Brasil.

Essa estrutura é regida por documentos normativos como as Políticas de Certificação (PC) e a Declaração de Práticas de Certificação (DPC), que definem os critérios técnicos, operacionais e de segurança que devem ser seguidos por todas as entidades da ICP-Brasil. 

É fundamental que as ARs tenham pleno conhecimento desses documentos, pois suas atividades devem estar alinhadas com as práticas da AC à qual estão vinculadas.

Na entrevista de hoje, conduzida pelo Crypto ID, conversamos com a Dra. Gisele Strey, Diretora da AARB – Associação das Autoridades de Registro do Brasil –, sobre os desafios e responsabilidades das ARs, especialmente no contexto dos pontos de atendimento remotos e da governança sobre os Agentes de Registro.

Leia entrevista completa!

Crypto ID: Considerando o DOC-ICP-03.01, última versão publicada pelo ITI, que trata das instalações técnicas e operacionais das ARs: Quais são as responsabilidades das Autoridades de Registro em relação aos pontos de atendimento que operam sob sua estrutura, especialmente quando esses pontos funcionam de forma remota ou descentralizada?

Dra. Gisele Strey: As ARs possuem diversas responsabilidades em relação aos serviços de validação e verificação que realizam em sua estrutura. Cito algumas muito importantes: 

Conformidade Normativa e Responsabilidade Legal

• As ARs são responsáveis por manter a conformidade de seus processos, procedimentos e atividades com as normas, critérios e práticas estabelecidas pela ICP-Brasil e pela AC a qual é credenciada. Isso inclui, em particular, o cumprimento do DOC-ICP-03.01, que define as características mínimas de segurança para as ARs, independente da forma e modelo de validação utilizado.
• O cumprimento dessas regras é verificado por meio de auditorias e fiscalizações. 
• A AR é responsável pelos danos a que der causa, sendo imputável na forma da legislação vigente. 

Identificação e Autenticação de Requerentes (Presencial e Remota)

• A AR deve receber solicitações de emissão ou revogação de certificados e confirmar a identidade do solicitante e a validade da solicitação.
• Para atendimentos por videoconferência ou outros procedimentos não presenciais, a AR deve assegurar um nível de segurança equivalente à forma presencial em sua sede.

Segurança Lógica e de Rede para Estações de Trabalho e Aplicativos

• As estações de trabalho da AR, incluindo equipamentos portáteis, devem estar protegidas contra ameaças e ações não autorizadas. Isso inclui criptografia de dados sensíveis, configurações de segurança como controle de acesso, senhas fortes, logs de auditoria, antivírus, firewall, proteção de tela e atualizações de sistema. 

Segurança da Informação e Gerenciamento de Documentos 

• A AR deve manter um inventário de ativos atualizado mensalmente, relacionando equipamentos e softwares instalados. Somente equipamentos de propriedade ou posse da AR podem constar nesse controle;
• A AR deve proteger a informação confidencial e os dados pessoais, garantindo o sigilo e evitando o uso ou divulgação a terceiros, sob pena de responsabilização.

Em resumo, para pontos de atendimento remotos ou descentralizados, as ARs devem garantir que as práticas de identificação, autenticação, segurança lógica, de rede e de pessoal sejam rigorosamente seguidas e que a tecnologia empregada ofereça um nível de segurança equivalente ou superior ao presencial em sua sede, com especial atenção à videoconferência e à proteção dos dados e sistemas utilizados.

Crypto ID: Ainda com base no DOC-ICP-03.01 e nas diretrizes da DPC da AC vinculada: Quais cuidados devem ser adotados pelas ARs para garantir que seus Agentes de Registro estejam devidamente treinados, supervisionados e atuem em conformidade com os padrões da ICP-Brasil?

Dra. Gisele Strey: Primeiro é importante lembrar que os AGRs devem ser funcionários da própria organização credenciada como AR. A proibição de estagiários ou terceirizados não vinculados como AGRs, garantem que a AR mantenha um alto nível de controle e responsabilidade sobre quem realiza as atividades de registro, não importando a localização.

A AR também deve manter um dossiê completo para cada AGR em atividade, contendo documentos como contrato de trabalho, comprovantes de verificação de antecedentes criminais e de situação de crédito, escolaridade, residência, certificados de treinamento e declaração de conhecimento das atribuições e sigilo. 

É obrigatório o treinamento documentado dos AGRs abrangendo princípios e mecanismos de segurança da AR, sistema de certificação, procedimentos de recuperação de desastres e continuidade do negócio, entre outros temas. Eu recomendaria além dos treinamentos obrigatórios em norma, outros estudos abrangendo o uso de novas tecnologias (como IA) e melhores práticas de combate a fraudes. 

Outro ponto muito importante é a obrigatoriedade de a AR acompanhar e avaliar anualmente o desempenho dos AGRs. Isso deve ser feito de forma rigorosa já que um AGR que não realizada adequadamente seu trabalho pode colocar em risco toda a operação da AR. 

Por fim, mas não menos importante, os AGRs não devem possuir perfil de administrador ou privilégios especiais no sistema da estação de trabalho, delegando essa tarefa a outros da própria AR para garantir segregação de funções. 

Crypto ID: Considerando que os AGRs atuam diretamente com dados sensíveis dos titulares, como biometria, documentos oficiais e assinaturas eletrônicas: Quais são as implicações legais e operacionais para a AR em caso de falha ou conduta inadequada por parte de um AGR? Há responsabilização direta da AR mesmo quando o AGR atua em ponto remoto?

Dra. Gisele Strey: Certamente a AR  enfrenta implicações legais e operacionais diretas em caso de falha ou conduta inadequada por parte de um AGR, mesmo quando este atue em ponto remoto. 

A AR é diretamente responsável pelos danos a que der causa. Isso significa que qualquer falha ou conduta inadequada de um AGR que resulte em dano ao titular ou a terceiros pode gerar responsabilidade para a AR.

A AR também é responsável pela divulgação indevida de informações confidenciais, incluindo dados pessoais, nos termos da legislação aplicável. Como os AGRs lidam com dados pessoais e pessoais sensíveis, qualquer vazamento ou uso indevido por parte deles implicará na responsabilidade da AR que está sujeita às normativas como a LGPD, por exemplo. 

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (especialmente envolvendo dados pessoais sensíveis como a biometria), a AR tem a obrigação de comunicar tal fato à AC a que é credenciada bem como a ANPD e aos titulares.

Ponto de atenção: em situação como essa é fundamental que a AR conte com uma adequação mínima relacionada a LGPD e sempre consulte seu encarregado de proteção de dados (famoso DPO) antes de tomar qualquer ação, seja relacionada ao titular seja relacionada aos órgão reguladores. 

Embora não obrigatório em norma (somente para alguns casos) eu recomendaria fortemente que a AR mantenha um seguro de cobertura de responsabilidade civil suficiente e compatível com o risco de suas atividades. 

Lembro também que ações não autorizadas por um AGR podem levar à suspensão do acesso dessa pessoa ao sistema de certificação da AC/AR e à tomada de medidas administrativas e legais cabíveis. As punições podem variar de advertência a impedimento definitivo de exercer funções no âmbito da ICP-Brasil. Essas sanções, embora aplicadas ao AGR, são consequências diretas de falhas na gestão e supervisão da AR.

Especificamente sobre atendimento remoto/descentralizado destaco que a  responsabilização direta da AR. Destaco que os documentos da ICP-Brasil não fazem distinção na responsabilidade da AR baseada na localização física do AGR. Pelo contrário, as exigências de segurança para as estações de trabalho da AR incluem explicitamente equipamentos portáteis. Isso significa que as políticas de criptografia, controle de acesso, antivírus, e outras configurações de segurança se aplicam a qualquer dispositivo usado por um AGR, independentemente de onde ele esteja operando.

As obrigações de segurança da informação e de proteção de dados pessoais da AR são abrangentes e não são limitadas a um ambiente físico específico. A capacidade de a AR aplicar sanções administrativas e legais ao AGR por ações não autorizadas também não está condicionada à localização do AGR, mas sim à sua vinculação e ao descumprimento das normas da ICP-Brasil.

Em suma, a estrutura regulatória da ICP-Brasil estabelece que a AR tem um dever de diligência e controle sobre seus AGRs e os equipamentos que utilizam, estendendo essa responsabilidade a todas as operações, inclusive as realizadas remotamente, garantindo a segurança e a integridade do processo e a proteção dos dados sensíveis dos titulares.

Crypto ID: Com base na Resolução CD/ANPD nº 15/2024, que estabelece o prazo de 72 horas para comunicação de incidentes com dados pessoais: Como as ARs devem se preparar para cumprir essa exigência, especialmente diante da descentralização dos atendimentos e da multiplicidade de AGRs? Quais são os riscos de não comunicar tempestivamente um incidente?

Dra. Gisele Strey: Com base nessa resolução, as ARs precisam revisar e adaptar seus procedimentos para garantir a conformidade. Embora os documentos da ICP-Brasil, das ACs e da própria AR demonstrem controles robustos de segurança e procedimentos, eles são anteriores à Resolução da ANPD e, portanto, não abordam diretamente essa exigência específica. No entanto, a estrutura já existente fornece uma base sólida para a preparação.

Para cumprir a exigência da resolução, especialmente diante da descentralização dos atendimentos e da multiplicidade de AGRs, eu recomendaria: 

Entendimento Aprofundado da Resolução CD/ANPD nº 15/2024:

Definição de Incidente Relevante: entender o que a ANPD considera um “incidente de segurança que possa acarretar risco ou dano relevante para não incorrer em erros e acabar realizando comunicações desnecessárias. Novamente a figura de um DPO aqui é muito necessária; 

Conteúdo da Comunicação: informar à ANPD a descrição da natureza e categorias dos dados pessoais afetados, o número de titulares afetados, as medidas técnicas e de segurança utilizadas antes e após o incidente, e os motivos da demora caso a comunicação não tenha ocorrido no prazo.

Comunicação aos Titulares: deve ser em linguagem simples e de fácil entendimento, e de forma direta e individualizada, sempre que possível.

Aproveitamento e Adaptação dos Controles e Procedimentos Existentes da ICP-Brasil:

Segurança Lógica e Física: As ARs já possuem rigorosos controles de segurança lógica e controles de segurança física robustos, com níveis de acesso controlados e monitoramento por câmeras. Esses controles são fundamentais para prevenir incidentes e proteger dados.

Procedimentos de Log de Auditoria: já registram detalhadamente eventos de auditoria. Estes logs são essenciais para a detecção precoce, análise forense e reconstituição de processos em caso de incidente. 

Planos de Continuidade de Negócio (PCN): As ARs já mantêm e testam anualmente seus PCNs. Estes planos devem ser expandidos para incorporar os requisitos específicos de resposta a incidentes de dados pessoais da LGPD e da ANPD.

Implementação de Medidas Específicas para Resposta a Incidentes de Dados Pessoais:

Plano de Resposta a Incidentes de Dados Pessoais: Criar ou atualizar um plano que detalhe as etapas de detecção, análise, contenção, erradicação, recuperação e comunicação de incidentes de dados pessoais. Este plano deve focar na agilidade para cumprir o prazo de 72 horas.

Cadeia de Comunicação e Escalada Ágil: Dada a descentralização dos atendimentos e a multiplicidade de AGRs, é crucial que cada AGR saiba exatamente como identificar uma suspeita de incidente e a quem reportar imediatamente. Deve ser estabelecida uma estrutura de comunicação formalizada e testada que permita a rápida escalada da informação do AGR para a gestão da AR e, posteriormente, para a equipe responsável pela comunicação à ANPD e aos titulares. Embora as ARs utilizem protocolos de comunicação seguros (VPN, SSL) para encaminhar solicitações à AC, o fluxo interno de reporte de incidentes dos AGRs precisa ser ainda mais rápido e específico.

Capacidade de Avaliação Rápida de Risco: A equipe da AR deve ser capaz de avaliar rapidamente o “risco ou dano relevante” para os titulares, considerando a sensibilidade dos dados, a gravidade do incidente, o número de titulares afetados e as medidas de segurança aplicadas.

Modelos de Documentação e Comunicação: Desenvolver modelos padronizados para a comunicação interna do incidente e para a comunicação externa à ANPD e aos titulares, incluindo todas as informações exigidas pela Resolução.

Treinamento e Conscientização Contínuos dos AGRs e Pessoal:

Os AGRs e demais funcionários que manuseiam dados pessoais sensíveis (como biometria e documentos oficiais) já recebem treinamento em segurança e procedimentos. Este treinamento deve ser aprimorado para incluir a LGPD, os conceitos de dados pessoais e incidentes de segurança. A conscientização é a primeira linha de defesa para a detecção precoce de incidentes.

Reforçar a importância da privacidade e confidencialidade da informação pessoal, destacando a responsabilidade da AR pela divulgação indevida de informações confidenciais.

Riscos de não comunicar tempestivamente um incidente:

A não comunicação tempestiva de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares pode acarretar riscos para a AR, tais como:

Sanções Administrativas da ANPD:

A ANPD poderá instaurar um processo administrativo sancionatório. A LGPD em seu Art. 52, prevê sanções como, multas, publicização da infração e até mesmo bloqueio ou eliminação dos dados pessoais a que se refere a infração.

A não comunicação tempestiva ou a falha em adotar as medidas determinadas pela ANPD para mitigar ou reverter os prejuízos dentro dos prazos estabelecidos pode agravar as sanções impostas.

Dano Reputacional e Perda de Confiança:

A Resolução da ANPD enfatiza a importância de garantir que os agentes de tratamento atuem de forma transparente e estabeleçam uma relação de confiança com o titular. A falha em comunicar um incidente pode minar drasticamente a confiança dos titulares e do público em geral.

Aumento do Risco e Potencial de Maiores Danos aos Titulares:

Um dos objetivos da ANPD é a “proteção dos direitos dos titulares” e “assegurar as medidas necessárias para mitigar ou reverter os efeitos dos prejuízos gerados”. A comunicação tardia impede que os titulares dos dados afetados tomem medidas de autoproteção (como troca de senhas, monitoramento de contas, etc.) em tempo hábil. Essa falta de oportunidade para a autoproteção pode resultar em maiores riscos e danos aos titulares, o que, por sua vez, pode levar a uma avaliação mais severa e a sanções mais pesadas por parte da ANPD.

Fiscalização e Determinações da ANPD:

A ANPD tem o poder de fiscalizar as entidades integrantes da ICP-Brasil a qualquer tempo, sem aviso prévio. A ausência ou atraso na comunicação de um incidente certamente seria um fator negativo em qualquer auditoria ou fiscalização, podendo levar a determinações específicas para a correção de deficiências.

Em resumo, a preparação para a Resolução CD/ANPD nº 15/2024 exige das ARs uma integração da nova regulamentação com as já existentes práticas de segurança da ICP-Brasil. A não conformidade com a legislação expõe a AR a riscos legais, financeiros e reputacionais significativos, além de comprometer a proteção dos dados dos titulares.

Crypto ID: Como a AARB tem orientado suas associadas sobre essa nova exigência da ANPD? Há protocolos ou boas práticas que podem ser adotados pelas ARs para garantir conformidade e agilidade na resposta a incidentes?

Dra. Gisele Strey: A AARB está elaborando um guia orientativo abrangente. Este guia visa fornecer às ARs associadas as melhores práticas e protocolos para garantir a conformidade com as novas diretrizes e assegurar agilidade na resposta a eventuais incidentes. Adicionalmente, a AARB conta com o apoio de um parceiro especializado para complementar essa orientação.

Crypto ID: Por fim, olhando para o futuro da certificação digital no Brasil: Quais são os principais desafios que as ARs enfrentam hoje para manter a confiança da ICP-Brasil, especialmente diante da crescente demanda por atendimentos remotos e da evolução das tecnologias de identificação digital?

Dra. Gisele Strey: As ARs enfrentam desafios significativos para manter a confiança no sistema, frente a demanda crescente por atendimentos remotos e das mudanças constantes de tecnologia. Eu citaria alguns principais como: 

Adaptação dos requisitos de identificação presencial para modalidades remotas com segurança equivalente: o principal desafio é implementar e escalar esses atendimentos remotos mantendo o mesmo nível de rigor e confiança, sem comprometer a integridade e a prevenção a fraudes.  

Manutenção da segurança e integridade em um ambiente distribuído e tecnologicamente aberto: As ARs já operam sob controles de segurança física, procedimental e de pessoal bastante restritos, mas a expansão para atendimentos remotos significa que a “borda” de segurança se move para o ambiente do usuário. As ARs precisam garantir que a infraestrutura e as tecnologias utilizadas para o atendimento remoto sejam igualmente robustas e seguras.

Evolução e integração de novas tecnologias de identificação digital e a luta contra fraudes avançadas (deepfake e IA): A ICP-Brasil já emprega biometria (facial e impressões digitais) e verificação de dados em bases oficiais para identificação. No entanto, a evolução das tecnologias de identificação digital, como reconhecimento facial avançado e voz, apresenta um desafio, especialmente diante do crescente risco de fraudes de identidade impulsionadas por tecnologias como deepfake e o uso malicioso de inteligência artificial, que podem gerar identidades sintéticas ou manipular dados biométricos, exigindo mecanismos de detecção e prevenção cada vez mais sofisticados.

Capacitação e conscientização do pessoal: com o aprimoramento de métodos de identificação remota, é crucial garantir que os AGRs estejam plenamente capacitados para lidar com as especificidades e os riscos inerentes a essa modalidade. O treinamento deve ser atualizado para cobrir a detecção de fraudes em ambientes digitais, o manuseio seguro de informações coletadas remotamente e a aplicação dos procedimentos em um contexto não presencial, garantindo que o fator humano continue sendo um pilar de confiança e não uma vulnerabilidade.

Em suma, o futuro da certificação digital exige que as ARs equilibrem a inovação e a conveniência dos serviços remotos com a manutenção dos princípios de segurança, integridade e autenticidade que são a base da confiança da ICP-Brasil.

Crypto ID: Para encerrar, considerando o cenário regulatório atual que envolve não apenas a ICP-Brasil, mas também legislações como a LGPD e as resoluções da ANPD: Que recomendações a senhora daria aos gestores das Autoridades de Registro para que mantenham suas operações em conformidade com todas essas exigências legais e normativas? Há práticas ou políticas que deveriam ser adotadas com urgência?

Dra. Gisele Strey: As ARs precisam adotar uma abordagem estratégica e integrada para garantir a conformidade, a segurança e a continuidade de suas operações. Algumas recomendações e práticas que deveriam ser tomadas: 

1. Implementação de um Programa de Privacidade e Proteção de Dados pessoais.

2. Desenvolvimento e Teste de Plano de Resposta a Incidentes.

3. Implementar melhores práticas de  Segurança da Informação e Confidencialidade.

4. Realizar vigilância Contra Fraudes Tecnológicas Avançadas (Deepfake e IA): investir em tecnologias de identificação digital capazes de detectar manipulações avançadas.

5. Manter Segurança de Pessoal e Treinamento Contínuo: Capacitação Intensiva em Proteção de Dados e Detecção de Fraudes Digitais. 

6. Manter uma Segurança Lógica e de Rede Rigorosa.

7. Realizar a gestão da Continuidade do Negócio: Manter e testar anualmente o Plano de Continuidade de Negócios (PCN). 

Ao focar nessas recomendações e práticas, as Autoridades de Registro poderão não apenas cumprir as exigências regulatórias, mas também reforçar a confiança em seus serviços e na própria ICP-Brasil, em um ambiente digital cada vez mais complexo e propenso a ciberataques e incidentes de dados. A proatividade e a adaptação contínua a este cenário regulatório em evolução são essenciais.

Sobre a autora:

Dra. Gisele Strey é Executiva Jurídica e de Compliance especialista em ICP-Brasil, privacidade e conformidade regulatória. Com mais de 15 anos de experiência nas áreas de compliance e segurança da informação voltadas a certificação digital, atualmente, exerce o cargo de Gerente de Compliance na Safeweb, e também é Diretora Jurídica da Safecomply, empresa do Grupo Safepar, onde lidera projetos voltados à proteção de dados e conformidade com normas nacionais e internacionais.

Além disso, é membro da Comissão de Direito e Tecnologia da Informação (CDTI) e da Comissão Especial de Proteção de Dados e Privacidade (CEPDP) ambas da OAB/RS, e tambem é Diretora na AARB (Associação das Autoridades de Registro do Brasil), atuando na articulação institucional e no fortalecimento da infraestrutura de confiança da ICP-Brasil.

Reconhecida por sua capacidade analítica e visão estratégica, Gisele liderou auditorias, programas de adequação à LGPD e projetos de alta complexidade em ambientes regulados. Sua atuação conecta o jurídico e compliance à estratégia de negócios, promovendo inovação, segurança e sustentabilidade corporativa.

Segurança de dados e LGPD: o papel do certificado digital ICP-Brasil

Sem Autoridades de Registro (ARs) não conseguimos massificar o certificado digital, diz diretora da AARB

Notificações do GOV.BR sobre certificados digitais: respostas esclarecem novas dúvidas

ITI institui grupo de trabalho para revisar normas de identificação na ICP-Brasil

ANPD estabelece prazo de 72 horas para notificação de incidentes com dados pessoais — Presidente da AARB faz alerta as ARs

ID Talk são entrevistas que geram insights poderosos e soluções práticas para você tomar decisões estratégicas e liderar o futuro. Assistindo ou lendo você descobre o que há de mais inovador em tecnologia. Você vai gostar muito!

Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!