No dia 14 de agosto deste ano, a Lei Geral de Proteção de Dados (LGPD) foi sancionada pelo presidente Michel Temer. Desde então, o tema tem sido amplamente debatido, especialmente sobre como será sua efetividade com o veto à criação da Autoridade Nacional de Proteção de Dados (ANPD). Segundo Flavia Mitri, diretora de Privacidade do Uber para América Latina, a ausência de uma agência fiscalizadora deixa uma lacuna aberta dificultando o processo de adequação à nova Lei.
Durante o talk show de abertura da 9ª edição do Congresso Nacional Security Leaders, Flavia enfatizou o papel de destaque que uma agência reguladora teria. De acordo com a especialista, a LGPD foi criada com lacunas propositais que viriam a ser preenchidas pela ANPD. “Sem a agência, um dos principais desafios é que o Judiciário não está preparado para fazer uma análise tão técnica da nova regulamentação”, explicou.
Apesar do veto, Michel Temer não descartou a tratativa do tema por meio de um novo Projeto de Lei posteriormente. Ainda há chances dessa agência ser criada por meio uma determinação de uma medida provisória neste ano. Caso não seja, caberá ao presidente eleito estabelecer como o assunto será tratado a partir do próximo ano. Segundo Flavia, a orientação é que, quando criada, os agentes indicados tenham qualificação técnica para fazer análises específicas no que diz respeito às questões envolvendo proteção de dados.
Assista o talk show abaixo:
Destaque internacional
“O fato de o Brasil regulamentar a privacidade de dados pessoais é um processo irreversível global de colocar ênfase sobre como as organizações podem coletar e manipular as informações dos usuários”, disse. Para a executiva do Uber, a nova legislação não tem o objetivo de frear o avanço tecnológico e da inovação, mas propor uma “cautela muito maior no processamento dos dados e gerar mais transparência para o titular dessas informações”.
Segundo Mitri, ainda há muitas dúvidas em relação a quais empresas a LGPD impactará. “Há quem ache que ela é mais aplicável para empresas de tecnologia ou internet. Isso é um erro. A Lei é para qualquer entidade, pública ou privada, que manipula dados pessoais”, enfatiza. A nova legislação tem abrangência extraterritorial, ou seja, qualquer organização que realize tratamento de dados no Brasil ou que ofereça bens e serviços no País.
Ao que tudo indica, a nova Lei fará com que toda organização pense mais antes de coletar dados. “Com a vigência da LGPD, toda e qualquer coleta de dado precisa atingir uma finalidade específica daquele produto ou serviço que está sendo oferecido”, esclarece Flavia. Esse cuidado com tudo que será armazenado exigirá um investimento pesado em segurança para prevenir vazamento de dados, já que a Lei exige que as instituições reportem publicamente quando algum incidente de segurança ocorrer.
Em 2016, quando dois hackers encontraram uma vulnerabilidade no sistema do Uber, a GDPR ainda não estava em vigor. Na ocasião, os responsáveis por essa ação tentaram extorquir a empresa exigindo uma grande recompensa por descobrir e reportar a brecha para a empresa. Se não fossem pagos, eles iriam expor dados de milhões de usuários na dark web. A companhia pagou um valor abaixo do pedido e as informações, então, vazaram. No entanto, a companhia ocultou o caso durante um ano e meio até que viesse à tona.
“Foi lamentável”, frisou Flavia. A executiva afirmou que foi um grande erro não ter reportado o caso e que o incidente resultou na troca de toda a gestão da empresa. Apesar disso, a executiva disse que foi um grande aprendizado. “O Uber não tinha um playbook indicando tudo o que deveria ser feito quando houvesse uma vulnerabilidade no sistema ou um apontamento de uma falha de segurança. Hoje, se algo acontecer novamente, a empresa está preparada para comunicar tanto ao titular dos dados quanto às autoridades responsáveis. Esse tipo de conduta nunca mais será tolerado”, frisou.
Quem deve ser o encarregado?
O reporte a um incidente cibernético deverá ser feito pelo que a LGPD chama de encarregado, uma figura muito similar ao Data Protection Officer (DPO), da GPDR. Será ele o principal elo de comunicação entre o titular do dado, a Autoridade e a empresa detentora da informação. Na opinião da executiva do Uber, esse profissional deve ser um profissional técnico e não um advogado, por exemplo.
No Brasil, muito se discute se cabe ao líder de Segurança assumir esse papel. A maior controvérsia, no entanto, diz respeito a possíveis conflitos de interesses já que caberá a ele reportar e estar a frente da remediação do problema. O mais indicado é que ele tenha uma atuação independente na companhia para que possa avaliar, discordar e ter liberdade de atuação.
Segundo Pedro Fleury, diretor de TI da Webmotors, é compreensível que a Segurança tenha um protagonismo nesse momento junto ao jurídico. No entanto, sua empresa trabalha com modelo de células autônomas de trabalho onde cada uma é responsável por parte do desenvolvimento do software. Um time foi criado especificamente para tratamento de dados. “Na Webmotors, o DPO não está abaixo do time de Segurança, nem de arquitetura de aplicações e desenvolvimento técnico. É um organismo segregado justamente para ter essa isenção e autonomia para tomada de decisões”, explica.
Para ele, a LGPD veio para trazer também mais transparência em todas as áreas das organizações. “Terá de ser feito um trabalho para mostrar o que está acontecendo na empresa, quais informações estão trafegando, como estão circulando. Acredito que o primeiro passo seja mapear tudo isso é discutir como será feito o trabalho dali em diante”, acrescenta.
Por conta desse trabalho, Fleury acredita que o prazo é bem agressivo considerando todo o espectro de ações que precisam ser tomadas para a empresa estar em conformidade, desde questões envolvendo arquitetura de informações, data mapping e classificação. “A LGPD exige uma série de projetos bem estruturais dentro das organizações, principalmente no que diz respeito à governança”, ressalta.
Prevista para entrar em vigor em fevereiro de 2020, o maior desafio da LGPD será àquelas organizações que não têm em seu DNA a preocupação na forma como coletam e armazenam dados. A Lei traz uma mudança completa para instituições que não têm isso no radar. Para quem já se adequou à GDPR, o caminho está praticamente trilhado, basta fazer algumas adaptações. “Caso contrário, o prazo é curto e pouco realista para quem não começou esse processo de adequação”, resume Flavia.