Na era digital, o direito à privacidade quase nunca é respeitado. Dados pessoais são tratados como mercadorias, o que compromete a liberdade e o sossego dos usuários de quase todo o tipo de serviço. Os brasileiros terão um importante aliado na defesa de informações sensíveis a partir de agosto, quando, em tese, a Lei Geral de Proteção de Dados (LGPD) entrará em vigor. Apesar de faltar menos de seis meses para a adequação à legislação, o Brasil não está preparado.

A Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador e fiscalizador criado apenas no papel, está longe de entrar em operação. Se o governo não dá exemplo, o setor privado não fica atrás. Levantamento realizado pela ICTS Protiviti, empresa de pesquisa de mercado, revela que 58% das pequenas empresas ainda não se adaptaram para cumprir a lei e, de acordo com estudo do Reclame Aqui, mais de 41% dos empreendedores desconhecem o que é a LGPD (ver quadro ao lado). 

Não à toa, está em tramitação na Câmara um projeto de lei de autoria do deputado Carlos Bezerra (MDB-MT), o PL nº 5762/2019, que prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte da LGPD. “As maiores dificuldades das empresas na implementação da LGPD são, além da incorporação dos princípios da proteção de dados às suas missões e valores, o investimento, a amplitude e o prazo para implementação”, destaca a advogada especialista em direito digital Isabela Pompilio, sócia do TozziniFreire Advogados. Segundo ela, será necessária a formação de equipes especializadas em direito e em segurança da informação e investimento tanto na segurança do sistema quanto na capacidade de armazenamento.

O esperado é que seja feita a classificação de todas as informações e o armazenamento de acordo com a sensibilidade dos dados, o que naturalmente impacta em toda a estrutura de pessoal, de funcionamento e financeira das empresas. A sócia do Felsberg Advogados Clarissa Luz, especializada em Proteção de Dados pela Universidade da Califórnia, destaca três pontos importantes. “A primeira questão traz necessidade de adequação de medidas técnicas e administrativas para manter proteção, evitar excesso de tratamentos que não estejam de acordo com o serviço prestado ao consumidor”, pontua.

Sem a autoridade regulatória em operação, a lei ainda especifica todos os detalhes de como é o procedimento de adequação. “Temos exemplos na União Europeia (UE), para direcionar métodos a serem adotados pelas empresas, contratos modelos, isso tudo já existe. No Brasil, não há nem a cultura nem as diretrizes, que só virão com a implementação da ANPD”, avaliou. Segundo Clarissa, é necessário que haja urgência por parte das empresas, porque modelos de negócios complexos têm dados mais sensíveis. “As companhias estão atrasadas. Se não começarem vai ser pior. Mesmo sem a lei, existem mais de 40 dispositivos que protegem os dados e já se tem registro de R$ 7 milhões em multas”, afirma.

Para o gerente de tecnologia da informação da BRQ, Alexandre Cunha, a dificuldade das pequenas e médias empresas é relacionada a custos, que podem ser menores com terceirização, enquanto a ineficiência do governo em consolidar a ANPD é ainda mais preocupante. “Para os negócios menores, adaptação representa aumento de custos. Mas, como têm dados de funcionários, clientes e fornecedores, é melhor estar preparado. Contratar um serviço terceirizado vai sair mais barato do que pagar multas”, diz.

Ineficiência

Com relação ao atraso na implementação da autoridade nacional, Cunha considera um atestado de ineficiência do governo. “Se ocorrer, o adiamento vai nos colocar numa condição de desorganização, com impacto na reputação do país. O sistema de proteção já roda na União Europeia”, lembra. “Independentemente da lei ser prorrogada ou dessa indefinição pública da estrutura do órgão regulador, as empresas precisam se movimentar”, alerta.

O especialista em compliance Pedro Henrique Costódio, sócio do Fenelon/Costódio Advogados, critica a cultura do brasileiro, de deixar tudo para última hora. “Embora tenha prazo para entrar em vigor em agosto, a lei foi aprovada em 2018. O início da discussão, no entanto, começou só no fim do ano passado”, assinala. Para o setor privado, há um custo de implementação necessário, afirma. “Na área de consumo, há demanda por dados, para atingir um público-alvo. Sem proteção, é muito fácil obter esses dados na internet. As empresas vão ter de avaliar quais serão tratados, fazer uma análise de eventuais furos para protegê-los”, destaca.

“Não se trata só da questão do consumidor. Num cenário extremo, uma pessoa em relação extraconjugal e vai num hotel, se os dados vazarem é um grande problema. Envolve proteção da honra. No caso de hospitais com prontuários médicos que são sigilosos, também é preciso ter o tratamento devido para evitar discriminação”, exemplifica. As penalidades para quem descumprir a lei vão desde advertência até multas de 2% do faturamento bruto da empresa limitada R$ 50 milhões por infração. “Não vejo possibilidade de prorrogação, porque tivemos dois anos para a adequação”, opina.

Para saber mais

Casos recentes revelaram a vulnerabilidade da segurança de sistemas digitais de grandes instituições, que precisariam dar mais explicações se a Lei Geral de Proteção de Dados já estivesse em vigor. No mês passado, um especialista descobriu que o site da Caixa Econômica Federal permitia o vazamento do token de sessão de usuários. A vulnerabilidade nessa chave dava acesso às informações como CPF, nome completo, conta e extrato do Fundo de Garantia do Tempo de Serviço (FGTS) e endereço. Na ocasião, a Caixa informou em nota que o problema foi corrigido. Em novembro de 2019, uma falha no sistema da Unimed expôs 18 milhões de beneficiários do plano de saúde. A empresa, também em nota, disse que “investe em tecnologias que garantam a segurança das operações e a proteção dos dados” e se comprometeu a “investigar qualquer suspeita de vazamentos ou ataques cibernéticos”.

Grandes provedores de serviços na nuvem também precisam se adaptar, sustenta Robson Andrade, diretor da Zadara, empresa de armazenamento com isolamento de dados. “Com relação às melhores práticas, fala-se de criptografia. Porém, a garantia tem de ser do cliente. Não adianta o datacenter ter a chave da criptografia, a chave tem de ser da empresa contratante. A lei diz isso claramente”, explica.

Crédito imagem: Reprodução

News Paraíba com Correio Braziliense