Lei Geral de Proteção de Dados: empresas têm até agosto para se adequar
A Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020, provoca uma corrida de empresas brasileiras em busca da adequação. A implementação da lei deve aumentar o nível de confiança para o fluxo de dados entre empresas europeias e brasileiras, uma vez em que os europeus podem levar em conta não só a semelhança entre as leis (LGPD e GDPR), mas também a importância do mercado brasileiro.
A LGPD, em termos gerais, é uma resposta para um problema de segurança da informação que tem sido alvo de preocupação de governos e empresários no mundo todo, já que de acordo com um informe do Fórum Municipal Econômico, realizado em Davos, na Suíça, este ano, as perdas financeiras em decorrência de crimes cibernéticos podem ultrapassar, até 2012, a casa dos US$1,5 trilhões de dólares. Para efeito de comparação, é aproximadamente o Produto Interno Bruto (PIB) do Brasil.
Leia também: Empresa petropolitana rompe fronteiras e conquista mercado com tecnologia contra crimes virtuais
O Brasil, assim como os demais países do cone sul, foram pressionados pelos europeus a adotarem medidas extremas na proteção dos dados pessoais (físicos e jurídicos) daqueles que utilizam transações comerciais via internet. Isto fez com que o país criasse normas para reforço da segurança da rede, já que a ação dos criminosos virtuais tem sido cada vez mais ousada e eficiente. Chegou a hora de dar um basta, e, assim buscar formas de combater essas ações que trazem prejuízos astronômicos, financeiros e na confiança no negócio.
Trocando em miúdos, a LGPD brasileira obriga as empresas a protegerem os dados de clientes e funcionários da ação de cyber criminosos, que atuam em brechas de segurança para roubar dados que podem ser usados das mais variadas formas: extorsão, sequestro, roubo financeiro ou até mesmo destruir a reputação de um indivíduo para os mais variados fins. Em agosto do ano que vem, caso alguém comprove que uma determinada empresa não cuidou adequadamente de seus dados, poderá recorrer a justiça para reparação financeira. Ou seja, mais uma dor de cabeça que vai além do campo financeiro.
No entanto, existe um departamento do governo que cuida exclusivamente de crimes virtuais: o Ministério Público Federal e Territórios (MPFT), que vem adotando ações antes mesmo da LGPD entrar em vigor. A instituição tem vários casos em que dados pessoais foram expostos por falha de segurança de quem deveria proteger suas informações pessoais. Um deles foi em fevereiro deste ano, quando o MPFT firmou um termo de ajuste de conduta (TAC) com a empresa Netshoes.
Em janeiro de 2018, diante do vazamento de 1.999.704 contas com informações de usuários cadastrados no site de compras da Netshoes, o MPFT pediu para que esta empresa fizesse contato com todos os clientes que foram prejudicados pela falha de segurança. De acordo com as investigações, nomes, número do CPF, endereço e demais detalhes pessoais foram expostos. A Netshoes, por sua vez, cumpriu a recomendação e como resultado do processo, tudo foi resolvido de forma consensual.
O caso da Netshoes não foi o único. O Banco Inter, a Sky Brasil e a rede hoteleira Starwood Hotels and Resorts também foram alvos de processos que andaram nas mãos da justiça brasileira. A questão é muito séria e a justiça já se pronunciou publicamente. No caso da rede de hotéis, o promotor de Justiça, Frederico Meinberg, disse que o incidente é grave. “Os dados expostos, como número de passaporte e informações sobre data de chegada e partida, permitem conhecer a movimentação de pessoas como diplomatas, adidos militares e de inteligência, negociadores, empresários, políticos e chefes de estado”, afirmou ele.
Empresa petropolitana tem a “vacina” e advogado vê lei como avanço
A ação cada vez mais ousada de bandidos que ficam atrás de um computador traz preocupação a todos. Afinal, quem nunca recebeu um e-mail de uma fatura cobrada sem os meios normais? Algo que parece simples, mas que muitas pessoas acabam se tornando vítimas de hackers que captam seus dados pessoais e sabem lá o que farão com aquilo. A Tribuna ouviu um especialista em redes de computadores e tecnologia Internet, o empresário e sócio da Future Tecnology, de Petrópolis, Airton Coelho Vieira Junior, bacharel em Ciência da Computação pela UCP, pós-graduado em Master of Technology In Computer Networks pela UFRJ e Mestre em informática pela UFRJ. Ele sabe tudo sobre as novas regras e vem fazendo consultas a muita gente sobre o assunto.
Airton dissertou longamente sobre o tema, que desperta preocupação por conta de que cada vez mais o mundo utiliza recursos tecnológicos para realizar transações financeiras, comerciais e até mesmo conversas reservadas. Sobre especificamente a LGPD, o empresário enumera três questões básicas: é uma lei que fala da proteção aos dados, que é observada pelo MPFT; que ela obriga as empresas a criarem uma “cultura de segurança” para que os dados continuem protegidos e, por fim, ficar atento as multas praticadas pela justiça em decorrência da falha de segurança.
Neste caso, por exemplo, citou um crime pouco divulgado, que é a extorsão virtual. Um criminoso “rouba” seus dados e depois pede o pagamento desse “sequestro”, cujos valores podem ultrapassar a casa dos milhões de reais. “Com a LGPD, as multas para aquelas empresas podem chegar até aos R$ 50 milhões, dependendo do tamanho do negócio e dos dados vazados. Com isso, creio que os criminosos podem se utilizar isso para pedir a liberação de dados sequestrados criminosamente. Vão querer extorquir cada vez mais. É preciso se proteger disso, de todas as formas. As empresas terão que se adequar, investir em segurança para a proteção de seus dados. Não tem jeito”, disse ele.
As consequências da LGPD vão além da simples instalação de antivírus. É bem mais do que isso, As novas regras vão mexer com a política interna das empresas, que o quanto antes irão se ajustar antecipadamente até a lei entrar em vigor. O fluxo de dados que envolvam a empresa e o seu departamento de contabilidade, por exemplo, receberão uma maior atenção. Até porque geram informações sobre funcionários e seus dados econômicos. No campo externo, haverá mais cuidado na hora da transação, sobretudo se ela for feita virtualmente. “A legislação é dura no que diz proteger os dados das empresas. Elas trafegam pela rede e qualquer incidente terá penas duras. Temos tido uma preocupação de explicar aos nossos clientes de formas como se deve proteger para evitar dados e perdas financeiras”, explicou o empresário, cuja demanda para o seu negócio aumentou muito nos últimos tempos e prevê um crescimento substancial nos próximos anos.
Os aspectos legais da LGPD são vistos, por outro lado, como um grande avanço para o Brasil, segundo Renato Gomes de Mattos Malafaia, que é advogado especializado em Direito Digital e Segurança da Informação no escritório Daniel Advogados. Para ele, o tema vai despertar a atenção dos brasileiros para a área da segurança da informação, não apenas para as empresas como a pessoa comum, que pode a qualquer momento ser vítima de hackers. Ele lembrou que dois países do continente – o Uruguai e a Argentina – já possuem uma legislação específica para este assunto, e que para os brasileiros a legislação que ainda entrará em vigor tem feito muitos negócios se apressarem para estar em dia com a proteção de seus dados.
“Na realidade, o mercado já está se adequa a essas novas regras. Até porque, o aspecto negativo que as empresas terão será a perda de oportunidades comerciais. Quem não tiver como garantir a segurança dos seus dados, certamente vai perder dinheiro com isso. O benefício, neste caso, está na parte reputacional, que certamente pode gerar mais oportunidades financeiras por conta da sua credibilidade no mercado”, frisou Renato malafaia, que é membro da Comissão Permanente de Estudos de Tecnologia e Informação do IASP – Instituto dos Advogados de São Paulo e membro da Comissão de Direito e Inteligência Artificial.
Transformar a adequação em algo positivo para a empresa é algo que está sendo feito. O advogado de São Paulo salientou que empresas já trabalham com o marketing associado à segurança e proteção de seus dados. E citou o exemplo da multinacional Apple, cuja ação publicitária, em andamento, associa à segurança virtual aos avanços tecnológicos da empresa mundialmente conhecida. “A LGPD tem como base a transparência, que é o princípio da lei de dados. Transformar essa adequação em uma ação de marketing tem sido muito eficiente no caso da Apple. Isto é uma bela oportunidade para que outras empresas sigam esse caminho para ganhar mais cliente e se consolidar no mercado”, finalizou Malafaia.
O que é a Lei Geral de Proteção de Dados?
Na Europa há muitos anos já se discute uma regulamentação sobre a captura e uso de dados pessoais e privacidade e em 2018 começou a vigorar o GDPR – General Data Protection Regulation (Regulamento Geral sobre a Proteção de Dados).
No Brasil, após anos de discussão e pressão da EU, foi sancionada em agosto de 2018 a lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados, ou LGPD. Em dezembro de 2018 foi publicada uma MP que propôs alterações na Lei e mais recentemente foi aprovada esta MP garantindo assim a criação de uma Autoridade Nacional de Proteção de Dados e que a partir de agosto de 2020 passará a vigorar as sanções previstas na referida Lei.
Estas novas regras chegaram em um momento de grande debate sobre a segurança dos dados pessoais, cibercrimes e violação de privacidade, como a invasão de celulares e especialmente após os escândalos como o da Cambridge Analytica, que envolveu o Facebook com a venda de dados pessoais de seus usuários.
Afinal, o que é a LGPD?
No arcabouço jurídico brasileiro existem várias Leis e normas que tratam de cadastro de dados pessoais, como o próprio Código de Processo Civil, o Código de Defesa ao Consumidor, o Marco Civil da Internet, a Lei de Acesso a Informação entre outras.
Em resumo, a LGPD compilou um conjunto de regras que determinam práticas que devem ser seguidas por uma organização ou empresa em relação à coleta, armazenamento e utilização de dados pessoais de um cidadão.
A aplicação da Lei se aplica a qualquer empresa ou organização, independente do regime jurídico (público ou privado), tamanho e, também, área de atuação, pois todas as empresas possuem pelo menos colaboradores e, portanto, possuem dados pessoais que serão capturados de alguma forma e devem ser portando tratados de acordo com a nova Lei.
O que muda no meu negócio com a nova Lei?
Apesar de já estar sancionada, a LGPD só entra em vigor em agosto de 2020. Esse prazo foi concedido as empresas e organizações, seja pública ou privada, para que tome providencias para se adequar à nova legislação.
Para o negócio que lida com dados pessoais de qualquer tipo, será preciso investir tecnologia que atenda a todos os requisitos da lei, além de novas práticas de segurança de dados. Atualmente, o Ministério Publico vem atuando afim de garantir os direitos dos indivíduos que tem dados pessoais “vazados” por ataques de hackers, mas a LGPD será fiscalizada pela Autoridade Nacional de Proteção de Dados (ANPD), uma nova autarquia criada a partir da MP aprovada recentemente e, esta autarquia quem regulará as regras para fiscalização e, também, aplicação das sanções previstas na Lei.
Caso uma empresa ou organização não cumpra a Lei, como por exemplo, capturar dados sem uma base legal, não proteger de forma adequada os dados pessoais capturados e tratados e ocorra um vazamento desses dados, ou até mesmo qualquer situação que comprometa os dados pessoais capturados e tratados, a ANPD poderá avaliar e pedir a aplicação de uma sanção prevista na Lei. Portanto, é importante destacar que uma infração a Lei não somente relacionado com os vazamentos de dados como temos vistos ultimamente, mas qualquer infração às normas previstas na Lei, podem trazer alguma sanção efetiva.
Por onde começar?
A primeira pergunta que fica é: o que as empresas devem fazer para começar esta adequação para atender a esta nova Lei?
Para atender a LGPD, é importante que a empresa deverá implementar e seguir novas regras e procedimento de segurança para o controle sobre os dados pessoais que são capturados e tratados. Consideramos que atender a esta nova legislação é uma jornada que passa, primeiramente, por uma série de avaliações (assessments) que identificam quais dados pessoais a empresa captura e trata, como estes dados são capturados e tratados e, efetivamente, quais os processos e politicas existem no entorno dessas capturas e quais tecnologias são utilizadas para proteger estes dados e, por fim, como a empresa estará pronta para responder qualquer incidente de segurança que afete de uma forma ou de outra os dados pessoais.
A recomendação é a implementação de um “Programa de proteção e privacidade de dados pessoais” de forma mais ampla que contemple a LGPD e outras possíveis normas especificas como a GDPR para empresas que atuam com qualquer empresa da EU ou empresas do mercado financeiro especificamente.
Portanto, o primeiro passo é saber como a empresa ou organização está do ponto de vista de dados pessoais em termos de politicas, procedimentos, normas, tecnologia e, também, capacitação e treinamento em segurança de uma forma geral, definir um Plano de Trabalho para a implementação do Programa que recomendará um conjunto de projetos a serem desenvolvidos e implementados para garantir a adequação à Lei.