LGPD: o sucesso de 2020 depende do que você plantou em 2019

"Inevitavelmente, 2020 bate à sua porta e a realidade do CEO no primeiro dia do ano é: ou ele se preparou para garantir uma governança capaz de atender os requisitos regulatórios ou pode colocar o seu negócio e de terceiros em risco, além de prejudicar a imagem de todo um ecossistema", destaca Patrícia Peck, advogada especialista em Direito Digital durante o Security Leaders São Paulo

Compartilhar:

Há cerca de 30 anos, o Brasil já caminha numa jornada de proteção de dados pessoais que culmina com a LGPD. Viemos da Constituição de 88 falando de privacidade, Código de Defesa do Consumidor, Decreto do Comércio Eletrônico, Marco Civil da Internet, LGPD, Cadastro Positivo e no mesmo período a Lei de Acesso à Informação, onde todos tratam o tema de privacidade. Apesar disso, muitas empresas ainda acreditam que a LGPD não vai pegar ou esperam o momento para uma possível postergação ou mecanismos que amenizem o rigor das multas. No entanto, a LGPD foi construída sob um arcabouço punitivo, com sanções e multas e, ainda que a ANPD não tenha sido constituída, todas as outras legislações tratam de proteção de dados.

 

A proximidade da entrada em vigor da LGPD também aumentou consideravelmente os ataques cibernéticos e após a sua entrada, certamente os criminosos digitais aumentarão o volume de extorsão das empresas, sabendo que o valor pedido pela brecha desvendada será com base nas multas que poderão ser aplicadas e o pior: a reputação de sua organização será abalada, uma vez que o atacante pode publicar a vulnerabilidade e vazar para a imprensa.

 

No Brasil, segundo estudo da Serasa, mais de 40% dos empresários não têm conhecimento sobre proteção de dados pessoais e, ainda, quem está mais preparado para a LGPD é setor financeiro, seguido por varejo, e outros setores. Isso por conta da lei 4658 do Banco Central, obrigando os bancos a se ajustarem às questões de cloud.

 

Um evento de vazamento de dados pessoais quando a LGPD estiver vigorando vai atrair uma das penalidades mais altas previsto na lei. Portanto, não é só administrar a crise, mas também pagar uma multa de R$ 50 milhões por evento. Obviamente está dentro de uma dozemetria dentro do artigo 52 que tem a ver com o porte da empresa. Se uma ANPD aplica uma multa, os titulares envolvidos no evento podem pleitear seus direitos de indenização e danos morais porque uma aplicação de multa dá direito de os envolvidos a requererem algo a receber, já que a multa é administrativa.

 

Como ficará a governança depois de agosto de 2020? A maioria das instituições vive um ecossistema de dados e geram um data lake e essa legislação pode enxergar uma estrutura individualizada, mas grupos econômicos. Para quem enxerga infraestrutura de TI, existem atualmente grupos que usam CSC (Centro de Serviços Compartilhados).

 

“Portanto, pode ter vários CNPJs, mas seu BackOffice em relação à infraestrutura acaba sendo as mesmas pessoas e até com contratos coletivos e globalizados. Portanto, quando se aplica a multa até R$ 50 milhões de multa da empresa ou do grupo pode trazer a empresa considerando o faturamento global do Grupo. Isso vira um alerta para como fazer modelagem de infraestrutura de TI e compartilhamento de dados com data lake em grupos de saúde, instituição de ensino, às vezes tem mantenedores religiosos, ou indústria que fabrica carro e envolve um ecossistema financeiro atrelado a essa organização”, explica Patrícia Peck, sócia da PG Advogados e especialista em direito digital.

 

Portanto, para fazer essa governança, limitação de responsabilidade, estruturação de políticas e contratos dentro do grupo, entre empresas – já que também deve estar dito – é fundamental ter transparência, ainda que a LGPD não exija uma lista de CNPJs de grupo econômico como a GDPR. Mas, devemos dizer que há um compartilhamento e bater as finalidades. Se não é feito um inventário, com matriz de finalidades que diga que a finalidade de um para o outro que é uniforme, no artigo 6º diz: “a empresa deve tratar dados para finalidade que tenha sido informada de forma explícita”.

 

“Vale lembrar que a nossa legislação foi escrita com uma série e palavrinhas que dão a conotação de fiscalização. Tanto que nos artigos 8º e 9º diz que deve dizer isso de forma clara e ostensiva, ou seja, informar todos os momentos de contato naquela interação”, alerta a advogada quando compara com um espaço construído com uma arquitetura de ponta, mas sem extintor de incêndio ou fora da validade. “Nesse sentido, a LGPD é uma legislação com sentido arrecadatório”.

 

Por isso, quando se pensa em data lake, Patrícia Peck , recomenda:

1. Analisar a origem da base de dados – legitimidade e o destino da base, que é a finalidade de uso e hoje ela começa a segregar.

2. A partir daí, do ponto de vista de cientista de dados, começa a ter uma modelagem estratégica, ou seja, uma base primária denominada previce risk – que é como um bagaço de laranja, com a base mais próxima dos dados titulares e a base –  e a secundária – que é depois de passar por alguns filtros, com machine learning, que é o conhecimento aprendido.

3. Guarde isso ao longo do tempo, que é segredo de cofre, conhecimento do cliente.

 

Isso é uma visão estratégica da LGPD. “Tanto que quando é uma das primeiras perguntas quando sentamos com uma diretoria de uma organização: qual é a nossa estratégia de dados. A lei tem uma parte burocrática. Como está o controle de acesso? Ela não pergunta sobre fator duplo de autenticação. A legislação fala sobre aplicar melhor práticas técnicas e administrativas para proteção de dados pessoais”, explica quando lembra que para cada setor é um cenário distinto.

 

Como dado é o atual petróleo do mundo, já inflacionou o valor pedido para o sequestro de dados. Na Europa houve um aumento de 300% no resgate de dados pessoais, levando em conta a GDPR porque uma das ameaças atuais, que é a extorsão, diz “me paga, senão eu conto”. Conto o que? Que há uma indisponibilidade de dados. Isso pode atrair para o Brasil, assim como tem ocorrido na União Europeia. “Ainda não temos uma cultura digital e cibernética a altura par ao impacto da legislação de dados pessoais”.

 

Também há relação de medida e o porte da empresa. Esse item deve ser avaliado, bem como a responsabilidade do controlador que é objetiva e solidária com os terceirizados. Na hora que se faz a seleção da sua rede de terceirizados, não importa se será um corretor ou até alguém que realiza excursão escolar, qualquer um deles que vazar dados, a culpa é do controlador e ele terá gerar evidência de culpa exclusiva do terceiro no artigo 43 da lei para conseguir afastar a responsabilidade do controlador. Também cai sobre o controlador, segundo o artigo 48, o dever de report para reportar para a ANPD o evento de violação com dado relevante para os titulares.

 

“Portanto, é essencial gerar um relatório de estudos de cenários de situações e análises para tomar medidas imediatas, desde as primeira 24 horas e até 5 dias. Quanto mais a medida for efetivada, maior o risco de afetar a imagem e reputação da corporação se for vazado para a imprensa, sem que a autoridade tenha conhecimento a respeito da violação”, comenta o Detran do Rio Grande do Norte, com vazamento de 70 milhões de vazamento de dados de brasileiros. “Nossa legislação não trouxe uma multa peculiar se for uma instituição pública, mas de economia mista, responderá com multa”. Quando os dados os dados de um terceirizado, as marcas expostas são de responsabilidade do controlador. Portanto, quem responde é o grupo, seja um incidente interno movido por um funcionário, ou para os fornecedores.

 

Na União Europeia é quase impossível não pagar multa se houver violação. Vazamento em geral acompanha multa. Na Hungria um banco pagou uma multa de 1560 Euros porque enviou um SMS de cobrança indevida. “Esse tipo de situação que não necessariamente é um vazamento, mas um problema de qualidade de dados, que é enviar uma informação errada ou para a pessoa errada, enviando a cobrança indevida, na nossa legislação recai sobre multa no perfil de judicialização do Brasil é enquadrado no Código do Consumidor e Dano Moral”. No artigo 6º da LGPD, que trata do princípio da qualidade da certeza da informação e de sua acurácia, trata sobre esse tipo de caso.

 

Outro banco na Bulgária recebeu uma multa de mais de 500 Euros porque um estudante recebeu uma propaganda da instituição, que não provou a origem da base de dados dela para enviar a publicidade ao aluno. “No caso, não foi provado de onde veio o dado, tratando nesse caso da legitimidade”. Também na Bulgária outra multa de 500 Euros foi enviado uma cobrança para o vizinho, como se ele fosse exposto o cliente de uma cobrança enviada para terceiros. Portanto, existe a recorrência e reincidência.

 

 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...