(none) || (none)
UAI

Continue lendo os seus conteúdos favoritos.

Assine o Estado de Minas.

price

Estado de Minas

de R$ 9,90 por apenas

R$ 1,90

nos 2 primeiros meses

Utilizamos tecnologia e segurança do Google para fazer a assinatura.

Assine agora o Estado de Minas por R$ 9,90/mês. ASSINE AGORA >>

Publicidade

Estado de Minas DIREITO DIGITAL

Empresas estão despreparadas para proteger dados digitais

Pesquisa mostra que 58% das pequenas empresas não se adaptaram para cumprir lei de proteção das informações que entra em vigor em agosto


postado em 17/02/2020 04:00 / atualizado em 17/02/2020 09:06

(foto: Pixabay)
(foto: Pixabay)

Na era digital, o direito à privacidade quase nunca é respeitado. Dados pessoais são tratados como mercadorias, o que compromete a liberdade e o sossego dos usuários de quase todo o tipo de serviço.

Os brasileiros terão um importante aliado na defesa de informações sensíveis a partir de agosto, quando, em tese, a Lei Geral de Proteção de Dados (LGPD) entrará em vigor. Apesar de faltar menos de seis meses para a adequação à legislação, o Brasil não está preparado.
 
A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e fiscalizador criado apenas no papel, está longe de entrar em operação. Se o governo não dá exemplo, o setor privado não fica atrás. Levantamento realizado pela ICTS Protiviti, empresa de pesquisa de mercado, revela que 58% das pequenas empresas ainda não se adaptaram para cumprir a lei e, de acordo com estudo do Reclame Aqui, mais de 41% dos empreendedores desconhecem o que é a LGPD.
 
Não à toa, está em tramitação projeto de lei para adiar para 2022 a vigência da lei, explica a advogada especialista em direito digital Isabela Pompilio, sócia do TozziniFreire Advogados. “As maiores dificuldades das empresas na implementação da LGPD são, além da incorporação dos princípios da proteção de dados às suas missões e valores, o investimento, a amplitude e o prazo para implementação”, diz. Segundo ela, será necessária a formação de equipes especializadas em Direito e em segurança da informação e investimento tanto na segurança do sistema quanto na capacidade de armazenamento.
 
O esperado é que seja feita a classificação de todas as informações e o armazenamento de acordo com a sensibilidade dos dados, o que naturalmente impacta em toda a estrutura de pessoal, de funcionamento e financeira das empresas. A sócia do Felsberg Advogados Clarissa Luz, especializada em Proteção de Dados pela Universidade da Califórnia, destaca três pontos importantes. “A primeira questão traz necessidade de adequação de medidas técnicas e administrativas para manter proteção, evitar excesso de tratamentos que não estejam de acordo com o serviço prestado ao consumidor”, pontua.
 
Sem a autoridade regulatória em operação, a lei ainda especifica todos os detalhes de como é o procedimento de adequação. “Temos exemplos na União Europeia (UE), para direcionar métodos a serem adotados pelas empresas, contratos modelos, isso tudo já existe. No Brasil, não há nem a cultura nem as diretrizes, que só virão com a implementação da ANPD”, avaliou. Segundo Clarissa, é necessário que haja urgência por parte das empresas, porque modelos de negócios complexos têm dados mais sensíveis. “As companhias estão atrasadas. Se não começarem vai ser pior. Mesmo sem a lei, existem mais de 40 dispositivos que protegem os dados e já se tem registro de R$ 7 milhões em multas”, afirma.
 
Para o gerente de Tecnologia da Informação da BRQ, Alexandre Cunha, a dificuldade das pequenas e médias empresas é relacionada a custos, que podem ser menores com terceirização, enquanto a ineficiência do governo em consolidar a ANPD é ainda mais preocupante. “Para os negócios menores, adaptação representa aumento de custos. Mas, como têm dados de funcionários, clientes e fornecedores, é melhor estar preparado. Contratar um serviço terceirizado vai sair mais barato do que pagar multas”, diz.
 
Com relação ao atraso na implementação da autoridade nacional, Cunha considera um atestado de ineficiência do governo. “Se ocorrer, o adiamento vai nos colocar numa condição de desorganização, com impacto na reputação do país. O sistema de proteção já roda na União Europeia”, lembra. “Independentemente da lei ser prorrogada ou dessa indefinição pública da estrutura do órgão regulador, as empresas precisam se movimentar”, alerta.

Última hora

O especialista em compliance Pedro Henrique Costódio, sócio do Fenelon/Costódio Advogados, critica a cultura do brasileiro, de deixar tudo para última hora. “Embora tenha prazo para entrar em vigor em agosto, a lei foi aprovada em 2018. O início da discussão, no entanto, começou só no fim do ano passado”, assinala.

Para o setor privado, há um custo de implementação necessário, afirma. “Na área de consumo, há demanda por dados, para atingir um público-alvo. Sem proteção, é muito fácil obter esses dados na internet. As empresas vão ter de avaliar quais dados são tratados, fazer uma análise de eventuais furos desse tratamento para protegê-los”, destaca.
 
“Não se trata só da questão do consumidor. Num cenário extremo, uma pessoa em relação extraconjugal e vai num hotel, se os dados vazarem é um grande problema. Envolve proteção da honra, no caso de hospitais com prontuários médicos que são sigilosos e precisam ter tratamento devido. Se a pessoa tem alguma doença, pode gerar discriminação”, exemplifica. As penalidades para quem descumprir a lei, diz o especialista, vão desde advertência até multas de 2% do faturamento bruto da empresa limitada R$ 50 milhões por infração. “Não vejo possibilidade de prorrogação, porque tivemos dois anos para a adequação”, opina.
 
Grandes provedores de serviços na nuvem também precisam se adaptar, sustenta Robson Andrade, diretor da Zadara, empresa de armazenamento com isolamento de dados. “Com relação às melhores práticas, fala-se de criptografia. Porém, a garantia tem de ser do cliente. Não adianta o datacenter ter a chave da criptografia, a chave tem de ser da empresa contratante. A lei diz isso claramente”, explica. No caso de armazenamento na nuvem, os dados ficam todos no mesmo lugar. “Para assegurar a proteção, é necessário um isolamento físico dos dados. Para provar que o dado vazou, precisa ver onde ele está. Se está junto com outros, não dá nem para fazer perícia”, justifica.
 
Por conta dessa complexidade, Andrade estima que quase 80% das empresas, incluindo as grandes, que detém dados mais sensíveis, ainda não se movimentaram para se adequar à lei. “Se for olhar no funil, quem gera dado não é a pequena empresa. São as administradoras de cartão de crédito, seguradoras, planos de saúde, bancos. Cerca de 50 grandes empresas detêm 30% do volume de dados do Brasil”, sustenta. O diretor diz, ainda, que o Brasil assinou um tratado com a UE. “Se o prazo para vigorar for dilatado, o tratado é interrompido”, aponta.
 
Softwares para monitoramento

A especialista em direito digital Isabela Pompilio explica que, para se adaptarem, as empresas têm no mercado a oferta de diversos softwares que garantem monitoramento e gestão dos dados, com base nas diretrizes da LGPD. “Tendo em vista que há oferta de ferramentas para todos os setores, os custos de implementação poderão variar a depender do porte da companhia, suas necessidades e cultura organizacional”, diz.
 
A lei também prevê a criação de um Comitê de Segurança dentro das empresas, bem como a designação de um Encarregado de Proteção de Dados, que seria a figura do chamado de Data Protection Officer (DPO) na GDPR (lei da UE). “O ideal é que esse profissional, que poderá ser terceirizado, tenha conhecimento jurídico, de segurança de informação e de governança, uma vez que será responsável por supervisionar a estratégia usada na preservação de dados e colocá-la em prática”, defende.
 
Segundo Isabela, não há determinação de prazo específico para o armazenamento dos dados pessoais, sejam eles sensíveis ou não. “A ausência de fixação de prazo determinado se explica em razão das diversas finalidades que cada empresa pode emprestar aos dados que possui. O término do tratamento dos dados pessoais ocorrerá principalmente quando for verificada que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada”, explica.
 
É preciso considerar ainda que reconhecimento facial e biometria são dados que devem ser protegidos, com exceções relacionadas ao uso com fins exclusivos de segurança pública, atividades de investigação, de repressão de infrações penais. “Podemos enquadrar os dados biométricos, compreendidos aqueles utilizados para o reconhecimento facial, como dados pessoais sensíveis, que geram maior exigência quanto ao seu tratamento”, diz.
 
A advogada explica, ainda, que, caso as empresas sejam vítimas de hackers, poderão se defender em procedimento administrativo com oportunidade de ampla defesa, de acordo com as peculiaridades do caso concreto. “A comprovação de adoção prévia de política de boas práticas e governança, bem como a adoção de medidas de segurança, técnicas e administrativas passível de proteger os dados pessoais que detém também são primordiais em sua defesa.”
 
A Presidência da República, responsável pela criação da Autoridade Nacional de Proteção de Dados, afirmou que a competência sobre o tema é da Casa Civil. Procurada, a assessoria de imprensa da pasta informou que estava atendendo à solicitação, mas não respondeu até o fechamento desta edição. (SK)
 
Memória: sistemas vulneráveis

Às vésperas da Lei Geral de Proteção de Dados entrar em vigor, recentes casos revelaram a vulnerabilidade dos sistemas digitais de grandes instituições. No mês passado, um especialista descobriu que o site da Caixa permitia o vazamento do token de sessão de usuários. A vulnerabilidade dava acesso a informações como CPF, nome completo, empresa associada, carteira de trabalho, conta FGTS, número PIS/Pasep, data de admissão e extrato bancário do FGTS, além de endereço residencial completo. Na ocasião, a Caixa informou em nota que o problema foi corrigido. Em novembro do ano passado, uma falha no sistema da Unimed expôs 18 milhões de beneficiários do plano de saúde. Os dados vazados incluíam fichas cadastrais completas de pacientes, acessos a logins médicos, planilhas financeiras, além de dados sensíveis, como exames, certidões de óbito e até imagens de raio X. A Unimed, à ocasião, também em nota, afirmou que “investe em tecnologias que garantam a segurança das operações e a proteção dos dados” e se comprometeu a “investigar qualquer suspeita de vazamentos ou ataques cibernéticos”. Com a LGPD em vigor, as duas instituições teriam de dar muito mais do que explicações por meio de notas.


receba nossa newsletter

Comece o dia com as notícias selecionadas pelo nosso editor

Cadastro realizado com sucesso!

*Para comentar, faça seu login ou assine

Publicidade

(none) || (none)