LGPD: Como não deixar na gaveta?
Ouvir sobre vazamento de dados virou uma rotina. Há quem diga que o mais importante é perguntar quando e não se vai acontecer, afinal nenhuma solução é 100% segura. Na semana passada, o Banco Central comunicou a ocorrência do primeiro vazamento de dados de chaves PIX. Segundo a instituição, houve falhas pontuais no sistema do banco que guardava informações cadastrais, que não dão margem à movimentação de recursos e acesso às contas. Já o estudo Fast Facts, da Trend Micro, mostra que o Brasil assumiu, em julho, o 5º lugar no ranking de países mais afetados por ransomware, com 4,8% dos ataques globais. A lista é liderada pelos Estados Unidos, com 26,5%, seguidos por China, Índia e Alemanha. O Brasil também é o principal alvo de hackers que usam arquivos como isca, com 63,9% dos bloqueios desse tipo, seguido de longe pela Índia (13,5%), Indonésia, África do Sul e Itália.
Os números acendem o sinal vermelho das empresas que ainda não investem em políticas de prevenção a ataques cibernéticos. Se mesmo as instituições com políticas rígidas de segurança não estão imunes a vazamentos, imagine aquelas que ainda estão avaliando o que fazer. É bom que acelerem o ritmo de adequações tecnológicas para se preservarem, pois além do risco de macular a reputação em caso de falhas, as companhias devem estar cada vez mais atentas às implicações da Lei Geral de Proteção de Dados (LGPD), que passou a aplicar multas oficialmente em agosto deste ano.
A lei deixa claro que quem responde por uma violação de segurança, como um vazamento de dados, são os agentes de tratamento – o controlador e o operador, ou seja, pessoas que estão envolvidas no tratamento de dados pessoais. De acordo com o artigo 46 da LGPD, esses profissionais devem adotar medidas de segurança – técnicas e administrativas – aptas a proteger os dados pessoais, principalmente de acessos não autorizados e de situações acidentais ou ilícitas. Caso essas ações não sejam implementadas e isso leve à violação da segurança, o controlador e o operador deverão responder pelos danos causados.
A LGPD veio reforçar que, antes de usar a internet, uma determinada pessoa é dona de seus dados e tem, amparada na lei, o direito de que sejam preservados. Porém, as indefinições quanto às penalizações, os prazos “elásticos” para fiscalização e autuação acabam não ajudando na implementação da nova legislação de forma plena.
Apesar da possibilidade de autuação, algumas empresas começaram a visitar (ou revisitar) esse tema agora. A impressão é que trabalham como se tivessem um prazo maior para terminar as avaliações que já deveriam estar concluídas neste momento, como, por exemplo, o mapeamento dos dados. Por conta das mudanças significativas e de todos os desafios encontrados nos últimos 18 meses, acentuados pela pandemia e seu impacto financeiro em diversos setores, certamente o cumprimento à LGPD teve pouquíssima prioridade. Além disso, tenho a impressão de que muitos contam com a “sorte”, uma vez que a Autoridade Nacional de Proteção de Dados (ANPD) não terá braços suficientes para fiscalizar todo o mercado e, por isso, apostam que o risco de serem autuados seja menor, pois a fiscalização será menos frequente.
Caso os consumidores não se engajem para cobrar uma atuação firme das corporações em relação à privacidade e segurança dos dados, corremos o risco de a LGPD ficar na gaveta, mesmo que teoricamente esteja em vigor há dois meses. É necessário que haja uma educação forte e ampla da sociedade, pois somente com a pressão dela as empresas passarão a tomar ações mais efetivas. Individualmente, as pessoas podem ter força reduzida para pressionar uma grande organização, mas se todos estiverem alinhados, entendendo seus direitos e pressionando as organizações por mudanças, certamente este item passará a ter relevância e prioridade internamente.
Neste momento, as empresas multinacionais que se adequaram à General Data Protection Regulation (GDPR) saem em vantagem, já que boa parte desse trabalho já foi feita para atender à legislação europeia. Mas, independentemente do grau de maturidade da empresa na adoção de ferramentas aderentes à legislação brasileira, é imprescindível que a segurança dos dados se torne uma prioridade para os CEOs.
Uma pesquisa feita pela Fundação Dom Cabral (FDC) revelou que, das 207 empresas entrevistadas, 40% reconheceram não estarem plenamente adequadas à legislação. De acordo com o levantamento, os conselhos de 86% das corporações dizem ter conhecimento da LGPD e de seu impacto nos negócios, mas apenas 46% deles se reconhecem como responsáveis por sua implementação.
Para encontrar a melhor forma de se adequar à legislação e mitigar riscos, será fundamental entender os desafios existentes e traçar alternativas para superá-los. As empresas precisam se conscientizar da importância de promover transformações na cultura organizacional, investindo na revisão de processos, na adoção de novas ferramentas tecnológicas, no treinamento e orientação das equipes e na definição dos protocolos que garantam a todos o direito de manterem suas informações em segurança. Com agilidade na adequação às normas da LGPD e transparência na relação com clientes/usuários, certamente as instituições serão vistas pelo mercado como mais confiáveis e competitivas.