Uma boa notícia: até agosto, o Brasil pode entrar no mapa – o mapa dos países do mundo e da América Latina que contam com uma lei semelhante à regulamentação europeia GDPR (General Data Protection Regulation). Chile, Colômbia, Costa Rica, Peru, Uruguai e Argentina já possuem leis que protegem a privacidade dos dados de seus cidadãos. Em plena transformação digital, negócios, aplicações missão crítica e dados navegam de modo fluido na nuvem, aterrissando onde exista um ambiente propício para a vida digital. É disso que trata a aprovação, no Senado, da Lei Geral de Proteção de Dados (LGPD).
Essa onda veio para ficar e não há como ignorá-la. Antes mesmo da aprovação, na Câmara e no Senado, da LGPD, o Banco Central emitiu a resolução Nº 4.658, de 26 de abril de 2018. O único tema dessa norma é a segurança cibernética e, em especial, os cuidados com os dados de correntistas e investidores.
De um jeito ou de outro, com a sanção, por parte da Presidência da República, do projeto de lei 53/2018, ou sem essa sanção, a era do controle dos usuários sobre seus próprios dados chegou.
Esta é uma ideia que ninguém pode bloquear, prender ou exilar.
A sociedade está reconhecendo um novo direito dos cidadãos: governos ou empresas podem tratar dados, mas o consumidor/usuário tem o direito de saber quais dados estão sendo coletados e com quem estão sendo compartilhados.
Seja por motivos pragmáticos, de negócios – muitos mercados globais já exigem que uma empresa seja compliant ao GDPR para que negociações aconteçam – seja por motivos éticos –, os dados pertencem as pessoas sobre os quais eles falam, o melhor é ver a possível aprovação da LGPD como um alerta para que a economia brasileira avance para essa nova era.
Como fazer isso?
O primeiro passo é analisar a vulnerabilidade da sua empresa à LGPD. Nessa etapa, identifica-se que dados a empresa possui e quais devem ser arquivados e protegidos. Isso inclui dados internos e externos (sobre clientes, fornecedores, parceiros e funcionários). Essa etapa do processo de se alinhar à nova Lei tenta montar um quadro que indica as áreas mais sensíveis e que teriam de ser endereçadas primeiramente. A criticidade do dado pode ser medida pelo grau de prejuízo causado em caso de violação ou exposição dessa informação.
A caminhada em direção à LGPD exige profundas mudanças na cultura da corporação.
Líderes como o CPD (Chief Privacy Officer), o CDO (Chief Data Officer) ou, então, profissionais das áreas de compliance e gestão de TI precisam alinhar-se entre si para realizar um mapeamento lúcido da empresa, de modo a identificar gaps e montar um roadmap de ações.
Parte dessas ações estão ligadas à aquisição e implementação de novas tecnologias para garantir a obediência à lei. Nessa jornada, é essencial entender o papel das aplicações missão crítica – os verdadeiros motores do negócio – e identificar, no mercado, as ofertas que efetivamente protegem os dados desses sistemas de ataques dos mais diversos tipos (ransomware, DDoS, phishing, etc.). Note que, hoje, 80% do orçamento de segurança de TI ainda está focado na segurança de rede, o perímetro tradicional da TI. A verdade, porém, é que o perímetro explodiu (nuvem e mobilidade explicam isso) e faz-se necessário defender os dados e as aplicações críticas a partir de outras premissas e outras soluções.
O mundo mudou e o Brasil está mudando também. O direito do cidadão sobre os dados que governos e empresas geram sobre ele é, hoje, um clamor planetário. As movimentações em relação à aprovação da LGPD são apenas os sinais mais visíveis de uma revolução mais profunda, e que veio para ficar.
* Ronaldo Vieira é gerente de desenvolvimento de negócios da F5 Networks Brasil