0
A preocupação com a segurança dos dados não é algo novo. Estima-se um prejuízo de US$ 22 bilhões causado por Malweres, cujo crescimento multiplicou por 7 nos últimos 10 anos.
São quase 62 milhões de vítimas no Brasil e preocupa saber que demora, na média, 8 meses para se descobrir um ataque. Um verdadeiro pesadelo.
E não adianta fechar a empresa para o mundo externo, visto que 39% dos ataques ocorrem por ações de indivíduos internos à empresa. Aquele funcionário que achou legal baixar aquelas fotos de gatinhos ou clicar em um link não confiável.
A Lei Geral de Proteção de Dados (LGPD) vigora a partir de agosto de 2020 e vai tornar este assunto muito mais complicado
O problema não se restringe a proteger os sistemas e os acessos aos servidores. Numa palestra, ouvi o caso de funcionários de um Call Center que estavam roubando cadastros dos clientes para vender à concorrência. O método usado era tirar foto da tela com o Smartphone.
Seja por uma invasão, por um descuido, erro humano ou caso fortuito, toda e qualquer empresa está sujeita a ter dados vazados. Um roubo de um notebook ou de um celular basta para abrir uma porta para que isso ocorra.
Há uma nova tendência para a Cyber Security (segurança cibernética). As corporações agora terão que lidar com políticas que privilegiem o Privacy by Design By Default, um maior foco e atenção na questão da privacidade dos dados e das consequências de um possível vazamento.
As leis sempre nascem para dar resposta a algo que já ocorre na sociedade. Não raro, primeiro ocorre um problema de grande repercussão, para em seguida vir uma lei que trate da questão.
Foi assim que nasceu a lei da Carolina Dieckmann. A lei 12.737/12, foi criado em 2012 para tratar do crime de invasão de dispositivos e inclusão de códigos maliciosos. A lei foi motivada pela exposição de fotos íntimas da atriz que foram vazadas para rede. Você pode ver as fotos neste link! Brincadeira, óbvio que não se pode compartilhar esse tipo de material.
Snowden, Herói ou Traidor, filme de Oliver Stone
Em 2013, Edward Snowden, um ex-funcionário da CIA, desiludido com o mundo da inteligência secreta, vazou documentos sigilosos da NSA. Ele acreditava que o cidadão comum precisava saber a respeito das informações que o governo tem a seu respeito. O Snowden atualmente recebeu asilo da Rússia.
Este evento provocou várias regulações a respeito. Em 2014, no Brasil, nasce o marco civil da Internet. A lei 12.965/14.
O maior escândalo de vazamento de dados veio em 2018, com o evento da Cambridge Analityca, que vazou dados de milhares de usuários do Facebook. Estes dados foram usados para manipular o Brexit e as eleições americanas na ascensão de Trump ao poder.
A regulação começou forte na Europa. A GDPR da comunidade europeia é a inspiração que gerou no Brasil a LGDP, na lei 13.709/18.
Porque qualquer empresa que capture dados de pessoas físicas é responsável pela guarda e privacidade desses dados, entre outras coisas.
Um eventual vazamento terá consequências legais que podem chegar a 2% do faturamento da empresa.
O art. 52 prevê diversas sanções administrativas, vai de advertência, multa simples ou diária de até 2% do faturamento de uma empresa. A multa está limitada ao total de R$ 50.000.000,00. Um bom motivo para se preocupar a respeito.
Um amigo me disse que isso não seria nada tão traumático. Teria o mesmo impacto que os EPIs tiveram para a indústria, que acabou se adaptando às normas de segurança. O meu comentário foi que não é tão simples quanto ver se alguém está usando um capacete. Uma metáfora melhor seria que você precisa controlar se um funcionário está usando o capacete no banheiro!
Com o notebook, Smartphone, Home Office e todo um mundo de programas Cloud e mídias sociais, é muito mais complexo evitar um vazamento criminoso ou fortuito.
A The Economist colocou em matéria de capa, que os dados são ouro.
“The World´s most valuable resource”
“O recurso mais valioso do mundo”
Hoje os dados são o novo petróleo. Muitas empresas que não geram fluxo de caixa positivo valem bilhões pelo tamanho da comunidade que atingem, ou de forma mais prática, pela enorme quantidade de dados de consumidores que têm a disposição.
Não há almoço grátis, o uso é livre e o preço é a sua privacidade. As tuas informações em troca de fazer um Quiz, de usar um aplicativo, ou simplesmente baixar fotos de gatinhos.
Qualquer modelo de negócios é baseado em dados pessoais, e a lei não está bloqueando o uso, e sim criando limites, responsabilidade e punições.
As pessoas estão mais preocupadas com este tema. Pesquisas apontam que a grande maioria dos consumidores não compraria num e-commerce se tiver dúvidas a respeito da segurança de suas informações. Ninguém gostaria de ter os dados de seu cartão de crédito vazados.
Foi criada no Brasil a ANPD, Agência Nacional de Proteção de Dados. Ela vai cuidar da regulamentação da nova lei.
Há uma PEC no congresso que prevê que a proteção de dados pessoais vire um direito fundamental. Se isso ocorrer será oportuno, porque leva para a esfera federal, e cria um único ordenamento jurídico a respeito.
Na ausência disso, aplica-se aquela frase pessimista: “Não há nada tão ruim que não possa piorar”. Já há estados querendo criar a agência estadual de proteção de dados, e não vou estranhar se algum município não achar que precisa de sua aplicação local.
Quanto mais legislação a respeito pior. Vide o inferno que é o recolhimento de tributos para atendermos a regras federais, estaduais e municipais.
E nasce um novo profissional: o DPO, Data Protetor Office, ou simplesmente o responsável pela proteção de dados de terceiros. Este pode ser um funcionário que acumule esta função ou alguém exclusivo para a função. Não vou estranhar se as grandes corporações não tiverem que criar departamentos ou equipes multidisciplinares para tratar isso.
Armazenar dados é algo cada vez mais barato, de forma que a maioria das organizações retém muita informação de terceiros em seus computadores. Não há hoje uma preocupação em eliminar o que não é mais útil, porque o custo de sanear é maior do que simplesmente largar isso lá.
A mentalidade vai mudar.
De “Coleta massiva de dados” para “Coleta mínima e justificável”.
Ou como diz o anuncio da iapp.org:
Can´t protect it? Don´t Collect it!
Não pode protegê-lo, não colete!
Agora tem que se olhar para o binômio: Necessidade / Proporcionalidade, ou seja, se você realmente precisa das informações que está coletando, e se o uso delas é justificado em relação ao serviço / oferta que está sendo adquirido.
Antes era comum dizer que mesmo que não esteja usando um dado, deixa ele lá, agora isso virou um risco.
A LGPD se preocupa em proteger e defender a pessoa física. As informações de pessoa jurídica não fazem parte da lei.
O dono do dado não é a empresa. O titular da informação tem o direito a ficar anônimo, ter os seus dados protegidos, saber quais informações uma empresa possui a seu respeito e para que finalidade os dados são utilizados.
Vai haver a necessidade de alteração em contratos que deixem claro:
Um dado pessoal passa a ser radioativo, logo é necessário mapear todo o caminho de um dado pela empresa e ter a capacidade de detectar o responsável por um eventual vazamento.
O titular ainda tem o direito de pedir que eliminem suas informações assim que concluído o uso, salvo disposições legais e fiscais a respeito.
A empresa terá que estabelecer processos, ferramentas e soluções legais como políticas, documentação e treinamento dos funcionários.
Os dados pessoais são um risco, os dados anônimos não. Evitar usar o nome e dados pessoais do cliente em relatórios analíticos, por exemplo. Você precisa mesmo do nome do cliente no relatório?
Dados consolidados não geram problema porque eles não identificam a pessoa.
Aprenda com o escândalo da Odebrecht, que na sua famosa planilha de propinas não identificava o envolvido na corrupção. Eles usavam apelidos: o Italiano, o amigo, a amante, e por aí vai.
A empresa pode capturar e guardar o dado para um uso comprovadamente necessário à atividade fim. Uma vez encerrada a atividade, esse dado pode ser armazenado para atender a questões legais e fiscais, pelo tempo requerido pela legislação.
Qualquer coisa depois disso já é um risco que tem que ser medido e controlado.
Entende-se por dado pessoal tudo o que pode identificar o indivíduo: IP de acesso, localização geográfica, nome, RG, CPF e suas características, comportamentos e histórico. Obviamente se a identidade é protegida, as demais informações não constituem problema, porque não tem como serem ligadas a alguém.
As pessoas já vendem hoje os seus dados pessoais, talvez só não se deem conta disso. A maioria permite o uso de seus dados quando aceita as condições do contrato de uso de um aplicativo como o Facebook.
No cotidiano, damos o CPF na farmácia para ganhar desconto ou no caixa do supermercado para ganharmos pontos num programa de milhagem.
O que a farmácia não te conta, é que além de te dar um desconto, o registro de teu consumo poderá ser enviado para empresas de convênio médico, fabricantes de medicamentos, etc.
No final das contas isso não nos prejudica se for usado de boa-fé. Um fabricante de remédios precisa saber se aumenta a compra de determinado princípio ativo para calibrar melhor sua estratégia. Isso não gera mal algum. Outra coisa é esse tipo de informação servir para criar um dossiê que identifique indivíduos com doenças sérias, e isso vire uma barreira de entrada para que o mesmo seja aceito num plano de saúde, ou o impeça de ser um candidato viável para uma oportunidade de emprego.
O impacto mais óbvio é no controle de acesso. Antes quanto mais acesso à informação melhor, agora não. O mais correto é limitar o acesso a informações pessoais ao mínimo de pessoas necessário. Isso inclui além de cadastros, os relatórios.
Os fornecedores terão que investir em criptografia de dados sensíveis, mas como já frisamos o maior risco não é o da invasão do sistema e sim no seu uso.
Outro impacto é a integração entre os diversos sistemas. Os dados pessoais estão espalhados por vários sistemas. Até o processo de integração precisará ser revisto para não expor esses dados de forma desnecessária em arquivos de integração, que não raro, não eliminam o dado após o uso.
Como a lei se aplica unicamente para dados de pessoa física, podemos pensar num primeiro momento que o TMS de um operador de transporte que lida somente com B2B não seria afetado. Isto não é verdadeiro.
Os usuários do sistema são pessoas físicas. Não raro, eles estão ligados a perfil de um funcionário, que é pessoa física.
Da mesma forma, o TMS tem que lidar com cadastro de motoristas. Dependendo do uso, lá tem dados que identificam o motorista e, portanto, tem que ser gerenciados.
E obviamente se o transporte envolver remetentes ou destinatários pessoas físicas, que é comum no e-commerce, aí então é mais sensível.
Em caso de vazamento de dados, cabe a empresa notificar os envolvidos e acionar um plano de contingência para a redução de riscos.
A comprovação que a empresa tem processos, documentação e fez treinamentos, e consegue demonstrar os esforços feitos para evitar o problema, serão um atenuante para evitar ou mitigar uma multa.
Há um olhar que pode ser positivo sobre tudo isso que será o maior controle daqueles que fizerem a lição de casa. Estes poderão vir a se diferenciar, mas no geral, aumenta a responsabilidade das empresas, que terão que engessar mais alguns pontos. Isso traz novos custos e novos riscos.
Não é o caso de entrar em pânico e sim o de adotar as medidas possíveis e razoáveis. Lembre-se, a lei vigora a partir de agosto de 2020. Ainda está em tempo de agir.
O conhecimento que estou dividindo neste post foi em grande parte obtido num excelente evento promovido pela M2G.
Agradeço ao Edgar Parente pelo evento. Destaco também os palestrantes que mandaram muito bem:
Paulo Fernando A. Melo, vice presidente da ANBC.
Ana Paula Bialer, da BFA - Bialer Falsetti Associados.
Rony Vainzof, da Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.
Sérgio Rago, consultor em Operações e Experiência do Consumidor.
#ANBC #birôsdecrédito #flashsafe #proteçãodedados #cadastropositivo #entendaonovoCP #direito #legislação #LGDP #TMS
Nuno Figueiredo
Engenheiro Eletrônico formado pela Mauá, MBA em Gestão Empresarial pela FGV, é um dos fundadores da Signa, onde atua desde 95. Entre outros defeitos, jogou rúgbi na faculdade, pratica boxe e torce pelo Palmeiras.
Foto: CSO online
0
Ultimos comentários
Uma mulher decidiu passar por uma rua escura para ir a uma festa. Estava de saia curta e decotão. Foi estuprada. Em seguida, deve ser multada porque não tomou cuidado... Mulheres estupradas e empresas invadidas por hackers são vítimas. Não podem ser culpabilizadas nem multadas. A culpa e a sanção devem cair sobre o criminoso. Além do mais, a lei começa com o pressuposto de que os dados são das pessoas. A conclusão lógica deveria ser que as pessoas podem escolher o que fazer com eles, incluindo-se aqui decidir em quais sistemas de terceiros colocá-los, e que riscos correr com eles. Não podemos proibir sistemas de dizerem que vão coletar todos os dados possíveis e vendê-los. Não podemos obrigar sistemas a dizerem o que farão com quais dados. Se um sistema não diz quais dados coleta e o que fará com eles, é uma decisão pessoal usar ou não o sistema. Se as pessoas valorizarem a privacidade, aparecerão livremente fornecedores de sistemas que suprirão essa demanda, explicando quais dados coletam e o que fazem com eles. E se uma empresa mentir? Será processada por fraude. O mundo está cada vez mais maluco. Inverte-se vítima e criminoso. As pessoas se acham no direito de determinar a conduta de todos os outros em tudo. O controlismo estatal via democracia absolutista invadiram a cabeça de quase todos. O direito à diversidade de pensamento e ação acabou. Todas as decisões de âmbito pessoal estão sendo reguladas ou proibidas. É a barbárie. É o fim do respeito ao indivíduo. É o fim da civilização humana.