Quanto mais próximos do prazo para a entrada em vigor da LGPD, maior o temor dos CISOs sobre diversos aspectos: como será a atuação da ANPD (punitiva, corretiva, educativa, colaborativa), como o mercado (governo, empresas e instituições) trabalharão para orquestrar todo o ecossistema. Paralelamente, outras questões sobre o que focar no tratamento de resposta a incidentes, quais os pontos devem ser levados em consideração e como implementar essas políticas tiram o sono dos CISOs. E, ainda, como trabalhar a gestão de terceiros com responsabilidades compartilhadas.
O 10º Congresso Security Leaders São Paulo, reuniu especialistas que desmistificaram esses e outros aspectos, acenando para oportunidades ao invés do efeito punitivo da LGPD. Diferente da Sarbanes Oxley, voltada para tratar informações financeiras, o impacto da Lei Geral de Proteção de Dados requer uma grande transformação cultural no País, uma vez que a moeda do século XXI é o dado.
Inicialmente, Danilo Doneda, membro do Conselho de Proteção de Dados Pessoais pela Câmara dos Deputados, destaca que segurança da informação e proteção de dados são dois temas que cada vez mais caminharão juntos. Para ele, a tecnologia pode e deve minimizar os riscos, mas quem os identificará é a regulação num trabalho integrado. “A LGPD ainda precisa ser analisada sobre diferentes perspectivas, como o de notificação de titulares de incidência de segurança porque há incidentes que podem até aumentar o risco. Muito disso depende da ANPD e de como ela regulamentará o tema de Segurança da Informação. A demora pode ter consequências na sua constituição, mas ela não fará milagre”, declara. Diante disso, ele recomenda que as empresas sigam com o plano de implementação da LGPD porque a lei não irá incorrer em multas desnecessárias se o cidadão não for prejudicado.
A definição do corpo diretivo da ANPD já pode ser considerada no próximo ano, pois estamos muito próximos do recesso parlamentar e os diretores serão sabatinados pelo Senado. Em 2020, a sua formação só poderá ser definida a partir de fevereiro e restarão oito meses da entrada em vigor da LGPD. Além disso, a lei determina consultas públicas para regulamentação do corpo diretivo da autoridade. Portanto, se for feito em menos de seis meses é recorde.
Invariavelmente, o peso da responsabilidade, a pressão e a falta de esclarecimento também gera dúvidas como “será que posso ser preso quando houver um incidente da segurança?” Para Fabrício Mota Alves, advogado especialista em Direito Digital e sócio do escritório Garcia de Souza Advogados, o ponto mais relevante da discussão do processo legislativo é a necessidade de promover a tecnicidade na composição da diretoria da autoridade, uma vez a ANPD terá o papel de realizar a fiscalização, regulamentação e interpretação da lei.
Sérgio Galindo, presidente da Brasscom, observa que a tecnicidade da LGPD toca em vários aspectos distintos. “A lei de garantia de direitos fundamentais está presente no artigo 5º da Constituição. Na outra ponta, há demandas de análise de contratos internacionais para transferência dos dados, conhecimento de técnicas e tecnologias de Segurança da Informação capazes de proteger as informações dos cidadãos, além da capacidade de regular e avaliar as condutas para a aplicação de sanções. Por isso, esse órgão regulador precisa ser plural e eclético, com conhecimentos abrangentes a despeito dos problemas das grandes questões e deve buscar o apoio de outras entidades que entendam dos temas tratados”, comenta.
Atenção para a jornada: menos ansiedade, mais adrenalina positiva
Enquanto ainda há os que acreditam que a lei não vai pegar, outros vivem dias de estresse e perdem o sono só de imaginar qual será o papel da ANPD e como serão interpretados os diversos aspectos da Lei Geral de Proteção de Dados. A figura mental é de um paciente na mesa da cirurgia, precisando de sangue para sobreviver porque foi atropelado pela lei porque não atendeu todos os requisitos exigidos. Ou, antes mesmo de a LGPD entrar em vigor, a empresa – no desespero – não fez o básico.
O momento requer energia e acima de tudo sabedoria para observar os movimentos e também a presença de seus diversos atores em eventos, fóruns de debates e construção de grupos e/ou associação a órgãos que influenciarão na ANPD.
Marcel Leonardi, especialista em direito digital da Pinheiro Neto Advogados, alerta sobre o prazo da instauração da ANPD. “Lembrando que não é necessariamente uma ilusão o papel da ANPD, mas a aplicação da lei e acontecerá de maneira simultânea em todos os seus aspectos”. Ele lembra que na GDPR existia uma preocupação além do beabá da lei, mas fasear a sua implementação por meio de um misto de consultas públicas e temas seletivos a serem discutidos e aprofundados. “Espera-se uma atuação messiânica da ANPD e não é isso que as autoridades de proteção de dados de sucesso realizaram. Portanto, a própria autoridade terá um cronograma”.
Pablo Cerdeira, Head da FGV, acredita que o ideal que as empresas tivessem mais adrenalina positiva e propositiva para melhorar a sociedade. “Sempre trabalhei com grandes volumes de dados. Atuei no Conselho Nacional de Justiça (Justiça em Números), Supremo em Números, na Prefeitura do Rio fui responsável pelo escritório de inteligência de dados. Todos esses projetos usaram dados propositivos para reduzir tempo de julgamento de processo. Quando fizemos o primeiro relatório do Supremo em Números, embasamos uma PEC que propunha a redução dos processos na segunda instância. Na prefeitura do Rio, reduzimos os casos de dengue em 98% de um ano para o outro. Dado é o ativo para administração pública, empresas”, ilustra.
Portanto, segundo Cerdeira, a LGPD pode ter papel muito positivo para separar o joio do trigo, como ferramenta de empresas que tenham um bom tratamento de dados para ela, consumidores e sociedade. “Para isso, temos que olhar a ANPD e a LGPD como ferramenta para estabelecer um mercado mais competitivo e saudável”.
Como CISO, Pedro Nuno, da BS2, afirma que é preciso repensar a profecia do caos. “Precisamos desmistificar alguns pontos porque tem gente que ainda não entendeu o momento e a oportunidade com a LGPD, que é uma jornada. Por isso, ao invés de puxar a corda para trás a solução é contribuir e trocar experiências”.
Linha de defasa de SI x governança
A partir da LGPD, auditoria, RH, jurídico, compliance, segurança da informação e outros atores devem fazer uma convergência para obter uma visão única e implementar a LGPD. Nuno diz que há empresas que não querem nem se envolver. Mas há organizações que já estão tratando o assunto e existe um conflito de quem é o dono do projeto.
No entanto, Alves acredita que a gestão do possível deve ser feita. Devemos ter um plano de ação para implementação da legislação e o primeiro ponto a se considerar é o objetivo da lei. Também deve ser observada a matriz de outras legislações de proteção de dados nacionais e internacionais, levando em consideração as normativas de cada setor e país. Nesse espectro, as leis setoriais precisam dialogar com a LGPD, uma vez que temos uma lei muito moderna de proteção de dados que traz visões que nenhuma outra trouxe. O próprio marco civil não tem a maturidade técnica comparado com a LGPD. Dessa maneira, é necessário considerar onde a empresa está inserida no ecossistema”.
Na Brasscom, por exemplo, foi criado um grupo temático de governança de dados e, segundo Galindo, há uma avidez na troca de informação. Para ele, embora concorde que não devemos fazer a apologia do caos, é necessário ter senso de urgência.
“Algumas características importantes devem ser consideradas: é uma mudança cultura porque precisa impactar toda a organização com um enfoque diferente. Além disso, um dos papeis da ANPD é o trabalho de comunicação com a sociedade para que ela seja informada e mais segura”. Galindo destaca três etapas para a jornada de adequação:
- Levantamento de informação – onde estão os dados, quais os níveis de proteção, há um consentimento dado no passado ou não, ou seja, um processo de duo diligence orientado a dado.
- Governança é o centro da mudança cultural – estabeleça um código de conduta e informe aos seus profissionais como deve se comportar e para quem ele deve informar caso haja incidente.
- Preparação técnica – a SI deve identificar gaps e trazer novas tecnologias.
Quem lidera? Se não partir do CEO, isso não vai acontecer. A operacionalização acontecerá naturalmente por conta do encarregado, ou seja, o DPO que será responsável por governança, cultura organizacional, risco, entre outros aspectos. Mas de forma colaborativa. Na opinião de Galindo, a atuação será feita em paralelo. É uma jornada de experimentação, uma vez que o tratamento de dados deve ser algo contínuo.
Quem é mais impactado na jornada da LGPD
Leonardi acredita que há vários estágios distintos de maturidade. Já há um consenso que não é algo de uma área exclusiva e isso varia muito de sistema para sistema e de recurso interno (dinheiro, pessoas e processos). Há empresas que contam com profissionais de excelência para fazer as recomendações de classificação de dados. Mas também existem temas na LGPD extremamente complexos do ponto de vista jurídico, mas simples de implementar, ou o contrário (juridicamente simples e complexo tecnicamente). “Por isso, todos os atores devem ser chamados para a mesa para conversar entre si”.
Muitas empresas contrataram uma assessoria jurídica e gastaram fortunas e ao voltar para a empresa não fizeram a lição de casa para entender a cultura da empresa e a parte técnica. Para questões que rodam em ambiente interno, outras coisas em ambiente externo, há parceiros envolvidos, assim como terceiros que salvam dados em nome de terceiros. Por isso, é muito complexo entregar tudo isso para um advogado acreditando que só isso vai resolver o problema. Cerdeira acredita que o jurídico está avançando mais rápido no entendimento da lei, obrigando cláusulas em contratos de terceiros, mas só isso não basta. “É necessário reunir todos para orquestrar os processos. Se não tiver trabalhando junto, vai falhar. Se houver um elo fraco, vai romper”.
Em casos de vazamento, Nuno afirma que não está claro o critério para todas as empresas. Por isso, é importante definir parâmetros porque pode ser que para mim é importante divulgar, para outros não interessa. O vazamento de dados é relativo. Algumas vezes um incidente não gerou um vazamento de dados, o que não impacta na gestão de dados.
Cerdeira concorda. “Os critérios vão depender da regulação e é importante a articulação entre as empresas para dialogar com a autoridade. Quando tratamos de extremos é fácil, no caso de grandes vazamentos. Por outro lado, há muita coisa porque a maioria dos problemas não é passível de definir os critérios a serem adotados. Encontrar um meio termo, por exemplo, para autorização e consentimento terá que ser definido com diálogo entre usar um pop up ou 40 páginas informando o que será feito com os dados pessoais das pessoas”.
As grandes empresas não demonstraram alto nível de preocupação com as multas porque isso acontece nas outras legislações. Houve um desagrado maior como as intervenções de suspensão de banco de dados. Infelizmente, apesar do pleito do setor, foram rejeitados pelo parlamento. É natural para as empresas que trabalham com alguma atividade de risco, a aplicação de multa.
Ecossistema – efeito dominó
Hoje, o processo de transformação digital gerou uma grande preocupação com o ecossistema e esse aspecto é um fator determinante para entender como organizar do ponto de vista da LGPD.
Diante disso, Leonardi diz que todos devem ter preocupação mínima com gestão de terceiro porque ninguém quer importar um problema alheio. “A LGPD revela um cenário onde você pode ter feito todo trabalho de adequação, mas se há um terceiro envolvido tratando dado junto com a empresa, se ele não tem critérios de obediência, pode impactar diretamente no negócio da organização. A maioria das empresas já tem contratos compliance com a LGPD”.
Também é necessário atentar para até onde você pode exigir do seu parceiro. “Uma empresa da Alemanha puniu o parceiro que submetia o parceiro a auditoria e ele teve problema com vazamento e ele nunca auditou e a autoridade puniu a companhia que tinha relação com esse parceiro porque não houve a preocupação, embora estivesse definido no contrato. A dureza da lei é mais voltada para o mercado, que exigirá que todos estejam em conformidade e isso será diferencial de mercado na concorrência”, ilustra Leonardi.
“O que temos que observar é quais são os riscos que decorrem da gestão de terceiros que você vai implementar na sua empresa. Uma companhia aérea americana processou uma empresa de chat boat das Filipinas, que criou uma solução de compra e venda de passagens aéreas junto ao consumidor. De repente, essa empresa sofreu uma invasão e milhões de informações dos clientes da companhia aérea foram vazadas e ela sofreu com diversas multas e gastou milhões de dólares com uma perícia cibernética, que constatou que a falha foi no chat boat e o fornecedor demorou cinco meses para informar que foi invadida. Continuando a investigação, foram identificados brechas como uso de senhas fáceis. Essa grande empresa americana, com contratos complexos e bem redigidos co previsões de auditorias e foi identificado um pequeno pedaço de sua estrutura terceirizada sofreu ataques graves”.
No Brasil, isso também será possível porque há penalidade administrativa, que vão muito além da multa. Imagine um bloqueio de uma base de dados, a suspensão de uma atividade. Tudo isso deve ser levado em consideração para a gestão de terceiro par descobrir como evitar esse tipo de cenário. Muitas vezes é melhor descartar o risco, deixando para trás determinados parceiros. Hoje você tem LGPD, Procom e Marco Civil.