Lei Geral de Proteção de Dados: objetivo, requisitos e motivações

Por Felipe Dal Belo, advisory board member da Grant Thornton Brasil

Sancionada no dia 14 de agosto de 2018, a Lei Geral de Proteção de Dados1 torna-se mais do que uma lei de alcance federal com escopo de aplicação ao poder público e empresas do setor privado. Mas também um grande avanço ao Brasil no que se refere à uma legislação que define regras para o uso, proteção e transferência de dados pessoais coletados pelas empresas. Conhecida como Lei Geral de Proteção de Dados Pessoais (LGDP), os requisitos (dispostos em 60 artigos) foram criados como instrumento para fortalecer a privacidade dos consumidores.

Mais controle sobre as informações pessoais do cidadão brasileiro

• exige consentimento explícito para coleta e uso dos dados - tanto pelo poder público quanto pela iniciativa privada; e
• exige que as empresas apresentem opções para o usuário visualizar, corrigir e excluir seus dados.

Esta evolução de nossos mecanismos de controle teve como base e motivações: o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) da União Europeia, os constantes e recorrentes vazamentos de dados pessoais após inúmeros ataques cibernéticos aos bancos de dados de todos os tipos de organizações.

E por último motivo, não menos importante, é o fato de vivermos atualmente em uma economia cada vez mais baseada em dados (Big Data,  Internet das Coisas-IOT e inteligência artificial) que, por sua vez, observa-se uma tendência ascendente e veloz das organizações em geral tomarem decisões a partir dos dados gerados por inúmeras fontes (e-mails, mensagens, fotos, posts, transações, fluxos , etc.) enviados dos dispositivos de pessoas físicas.

Recordamos que dados pessoais por conceito é toda informação independente do formato e tipo que pode identificar uma pessoa física, como por exemplo: foto, número telefônico, dados residenciais, registro pessoal (RG, CPF, Passaporte) entre outros.

A lei entrará em vigor em agosto de 2020 e dentro dos primeiros 24 meses (período de adequação) as empresas deverão se adequar e repensar como esses dados serão tratados desde o momento da coleta das informações até a disposição final conforme definido pela lei. O regulamento é válido para todas as empresas que coletam, armazenam e tratam informações de clientes no Brasil, independentemente de seu segmento de atuação, porte ou faturamento.

Sobre sanções e multas, a lei é rigorosa no que se refere a punição sobre o descumprimento de seus requisitos.

Penalidades consideradas:

• Aos negócios que registram informações dos clientes sem sua autorização, ou que os repassem, armazenem sem necessidade comprovada, ou que tenham esses dados vazados de alguma forma, a multas diárias podem chegar em até R$ 50 milhões.

Como estar em conformidade:

• As organizações devem realizar uma análise de risco contextual de modo a identificar quais atividades em seus processos requerem uma adequação e ou implementação da Lei. O ambiente de negócio é fator determinante nesta avaliação inicial para que esta “fotografia” possa representar a realidade com um grau de distorção mínima possível. Deve-se considerar os processos, sistemas e ferramentas para avaliar como os dados pessoais de seus clientes/usuários são tratados, reforçando a proteção, com responsabilidade e transparência.

As seguintes premissas devem-se endereçadas para análise de riscos e contextualização do ambiente de negócios:

• Identifique onde, como e quando sua empresa faz a coleta de dados de seus clientes.
• Sua plataforma online possui “Termo de Uso e Termo de Confidencialidade” atualizados e transparentes?
• O cliente deve estar ciente e aceitar os termos.
• Como os dados são armazenados? Estão seguros?
• Contrate profissionais especialistas em Segurança da Informação para verificar a atualização de seus programas de antivírus, firewall, navegador e outras plataformas digitais que utiliza.
• Quem acessa os dados de seus clientes?
• Qualifique sua equipe para que todos estejam inteirados sobre os procedimentos de segurança.
• Os principais riscos de vazamentos de dados que sua empresa pode sofrer estão mapeados?

Contexto Global – Economia dos dados e sociedade digital:

Segundo uma publicação realizada pela revista Forbes no 1º trimestre de 20182, o volume de dados gerados pela população mundial é de 2.5 quintilhões de bytes diariamente.

Caminhando na direção da economia e na sociedade digital, de acordo com a pesquisa CIO Survey 20193 realizada pela Grant Thornton, a mesma registrou que atualmente 75% dos CIOs (Chief Information Officers) de todo mundo consideram que um dos aspectos que mais exige e ocupa suas agendas está em torno do planejamento, execução e monitoramento de mecanismos de segurança cibernética. Ainda neste detalhado e técnico levantamento, conclui-se que 83% dos líderes dos departamentos de tecnologia incrementaram seus investimentos e gastos em segurança digital.

Ambiente de negócios:

Dentro dos casos mais emblemáticos e recentes dos acontecimentos de ataque cibernético e sequestro de dados à grandes corporações e organizações públicas estão:

1. Marriott Hotels, 2018 – vazamento de +500 milhões de clientes⁴;
2. Uber, 2018 – acesso a mais de 57 mihões de dados pessoais⁵;
3. Under Armour, vazamento de mais de 150milhões de contas⁶; e
4. Parlamento alemão, 2019 - sequestro de dados de centenas de políticos⁷.

Considerações finais:

Casos como estes configuram claramente uma nova preocupação não somente no âmbito da privacidade do indivíduo, mas sobretudo em questões de segurança pública e internacional. Tal cenário vem influenciando não somente aos chefes de estados a se debruçarem cada vez mais sobre segurança digital, como também grandes e médias organizações vêm aumentando seus investimentos em capital humano e financeiro nas áreas de Tecnologia da Informação e Compliance. 

Estatística refletidas em um relatório publicado pela Spencer Stuart8 , afirma que 20% dos Conselheiros que ocupam as cadeiras dos Comitês da bolsa de valores S&P 500 em Nova York, possuem formação em tecnologia e ou passaram pela indústria de telecomunicações.

Por fim, observa-se também um elemento crucial na necessidade de uma reeducação de todos nós cidadãos do século 21 quanto ao uso destes dispositivos conectados a redes. Pois, chegou se a conclusão de que existe uma correlação direta das invasões a bancos de dados em geral devido ao inadequado ou mal-uso dos próprios usuários segundo o Cyber Crime Journal em 2018⁹.