A Lei de Proteção de Dados e uma verdade inconveniente para as empresas

O projeto que institui o marco legal para proteção de dados pessoais no Brasil certamente é um avanço e uma vitória dos usuários. Porém, traz uma verdade inconveniente para empresas que se valem dessas informações como uma das bases dos seus negócios e da geração de capital.

Inspirada na ação que levou a prática do Regulamento Geral sobre a Proteção de Dados (GDPR), instituído em maio pela União Europeia, o PLC 53/2018 irá impor um desafio para toda organização que realize a coleta, armazenamento e tratamento de dados, obtidos de forma eletrônica, em áudio, imagem e impressa. Embora alguns dos 65 artigos presentes no PLC possam ser vetados, a futura lei deveria, se já não está, sendo motivo de reflexão e ação rápida por parte das empresas que serão atingidas em cheio pela regulamentação, em especial as de marketing digital e entidades públicas.

Ainda que as regras só entrem em vigor em 2020, será necessário um planejamento a partir de agora sobre como será garantida a proteção dos dados e a sua não transferência (intencional ou equivocada). Isso porque esse processo demanda tempo e dinheiro para ser organizado e colocado em prática. Atualmente, parte das empresas confia aos fornecedores de tecnologia que utilizam — sejam softwares para comércio, gestão ou qualquer outro tipo de serviço que lide com dados pessoais e sensíveis dos usuários — o armazenamento desse tipo de informação, sem saber onde e como são armazenadas, o que geralmente ocorre na nuvem.

Embora essa confiança no fornecedor seja necessária e permita que os donos do negócio foquem suas energias no que realmente importa — suas entregas, satisfação dos usuários e, consequentemente, monetizar — mantê-la cegamente pode sair caro. Caso haja alguma falha e transferência acidental ou ilícita das informações, a multa pode chegar até 2% do faturamento do negócio. E certamente o fornecedor não será atingido com isso, a não ser que passem a valer cláusulas contratuais específicas sobre, na aquisição do software ou serviço equivalente.

Outro fator será se de fato a autarquia a ser criada para fiscalizar as empresas agirá de forma eficiente, o que apenas será visto na prática. E ainda não dá para saber se haverá condições para avaliar, enquadrar e executar a lei. A exemplo do Marco Civil da Internet (Lei n. 12.965/14), existem questões inerentes à tecnologia que podem ser utilizadas para minimizar ou anular os impactos de um processo, especialmente no que diz respeito às evidências que, em boa parte de posse do próprio fornecedor ou fabricante, são passíveis de manipulação e por consequência fragilidade da lei.

De qualquer forma, não é por conta de tais fatores que não é preciso pensar a respeito. A intenção, aqui, foi mostrar que para as empresas ainda que seja fácil usar uma tecnologia de terceiros capaz de fazer com que se mantenham de acordo com a lei, é perigoso optar exclusivamente por essa facilidade. 

Mais prudente seria, além de utilizá-la, criar internamente um departamento ou equipe multidisciplinar (formada por especialistas em questões jurídicas e de segurança) para pensar em conjunto questões relacionadas à segurança das informações que possuem, e exigir dos fornecedores, em contrato, meios de evitar que sejam penalizados, caso haja um sequestro de informação por ransomwares ou violação e transferência, ainda que acidental, dessas informações. 

(*) Cassio Brodbeck é especialista em segurança virtual corporativa e CEO da OSTEC Business Security