Bruno Aghazarm (*)
As empresas só poderão estar em compliance com a lei, se a segurança da informação estiver executando as melhores práticas do mercado, trabalhando fortemente em prevenção e resiliência cibernética
A Lei Geral de Proteção de Dados Pessoais, já em vigor, vem trazendo dúvidas a muitos empresários e executivos de cargos elevados a respeito de sua real aplicabilidade e implementação. Isso porque seu escopo é amplo e atinge as corporações de maneira abrangente, em todas as suas áreas e departamentos.
Para alguns, esta Lei é apenas “mais uma” à qual as empresas deverão se adequar, no “jeitinho brasileiro de ser”, de modo apenas superficial e aparente. Ou seja, apesar de estar em vigor, muitos não farão questão de aderir a todo o escopo da LGPD, pois terão de dispender tempo, dinheiro e não um haverá retorno de rápida e fácil constatação. Para estes, a adequação à Lei será considerada apenas como perda financeira e mais uma invenção para onerar ainda mais o capital já investido, além de nada acrescentar em termos de valor agregado.
Outros, já conseguem ter uma visão mais clara e positiva, na qual observam a real finalidade preventiva e protetiva, com relação a dados pessoais particulares e até confidenciais, da pessoa natural, assim como no tratamento da informação, valoração da intelectualidade, intimidade e privacidade. Além disso, enxergam a necessidade de preservação da imagem da empresa, além de identificar a necessidade de investimento em segurança cibernética e da informação.
Certamente, é um progresso não só para o consumidor, mas também para toda a pessoa física e um alerta para as pessoas jurídicas, em termos de justiça e cuidado com informações e dados sigilosos que, se vazados, utilizados indevidamente ou de má-fé, possuirão consequências funestas para todos, de ordem pessoal, moral, patrimonial e na imagem através da exposição pública.
É correto afirmar que a insegurança atual vivida pelas empresas e instituições já está estabelecida e vem de longa data, mas o sequestro de dados para solicitação de resgate por hackers – desde o último dia 03 de novembro que ocorreu com o Superior Tribunal de Justiça, parando todo o acervo de processos do tribunal, além de bloquear o acesso às caixas de e-mail de ministros – é um caso gravíssimo e prova de que não sabemos nos proteger devidamente e não soubemos como impedir tal fato.
Outros casos apontam para o vazamento de nomes e documentos particulares para uso indevido em fraudes, mailings de marketing, dados corrompidos por hackers, propriedade intelectual furtada e vendida à concorrência, até outros inúmeros problemas de quebra de segurança cibernética, sendo que mais de cinco bilhões de logins e senhas já foram vazados na internet apenas em 2020. Estes dados foram divulgados pelo “dnfdrlab”, no dia 28/10/20, laboratório de segurança da Psafe, a partir do monitoramento em todo o mundo.
Isto posto, em face de tantas ocorrências, certamente estaremos navegando por mares mais seguros se a comunidade empresarial amadurecer com relação ao conceito de segurança da informação, aplicando-a devidamente e sem ‘caminhos curtos”.
Que fique claro para todos que não existe conformidade à Lei 13.709/18 se não se cumprirem os artigos que lá residem, como por exemplo, a “garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistema eletrônico(…)” – art. 11, inciso II, alínea “g”; que “o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes (…)”; – art. 44; que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”; art. 46 – e que “os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término” – art. – 47.
Como se vê, a lei é específica em segurança para a informação física, eletrônica e dados pessoais. Assim sendo, as empresas só poderão se adaptar e estar em compliance com a lei, se sua segurança da informação estiver executando as melhores práticas do mercado, trabalhando fortemente em prevenção e resiliência cibernética, proteção e correção imediata de vulnerabilidades, utilizando metodologias consagradas de análises e gestão de riscos corporativos e de tecnologia da informação, além de planos de continuidade de negócios, respeito à qualidade dos serviços, atendimento ao cliente etc.
A ética, o mercado, a lei e os bons costumes mandam isso. Vale dizer que não existe “meia solução’, mas podem existir planos para se alcançar a plena solução, de maneira programada, como fazem os países e culturas mais desenvolvidos, no comprometimento mútuo e correto de competência, moral e justiça, algo que grande parte da cultura brasileira ainda está longe em atingir. Deve haver visão ampla, corporativa e o já tão versado “ganha x ganha”.
As sanções administrativas da LGPD valem desde agosto de 2021 e não são amenas, mas buscam principalmente educar e ordenar as empresas que não cumprirem a Lei. Por esta razão, os empresários devem agilizar o processo de adequação à LGPD sem preconceitos e com uma visão positiva e futurista, sem esquecer que a responsabilidade civil perante a Justiça, frente a esta lei, já está sendo reconhecida e aplicada.
As empresas precisam de tempo para esta adequação imprescindível e irreversível no mercado brasileiro. É uma composição de respeito ao cidadão, proteção, fortalecimento de confiança entre consumidores e empresas, cidadãos e o governo, diminuição de fraudes, conscientização dos colaboradores, amadurecimento dos negócios, além da equiparação com o mercado externo e países do primeiro mundo, onde o respeito mútuo é fundamental.
(*) Consultor das áreas de segurança de dados e LGPD do Henneberg, Pereira e Linard Advogados. Pós-graduado e especialista em Direito Digital. Graduado em Engenharia Eletrônica e Direito.
Excelente visão, Caro Bruno. É o que todos nós, especialistas temos falado a mais de duas décadas. Infelizmente poucos empresários vêem isso com foco e determinação. Nós, da Wa2 desenvolvemos um modelo adequado para atender ao mercado, inclusive das pequenas empresas, com TUDO que a LGPD exige, a um custo bastante baixo. Nem assim vemos o mercado assentir como deveria. Mas continuamos acreditando e seguindo em frente com nossa verdade pois sabemos que estamos do lado certo “da força”