Os Primeiros 9 Meses de Vida da LGPD
Ao buscar retratar os efeitos da pandemia COVID19 (https://revistapegn.globo.com/Opiniao-Empreendedora/noticia/2020/05/como-pandemia-aumenta-os-riscos-ciberneticos-e-como-empresas-podem-se-proteger.html), naquele momento que precedia o início da vigência da Lei Geral de Proteção de Dados Pessoais, o ideal imaginado era de que a digitalização forçada de grande parte da população, impulsionada pela necessidade do trabalho remoto, implicaria em esforços concentrados para um aumento no padrão de gestão da segurança da informação, assim como de governança corporativa para proteção dos dados pessoais.
A maior preocupação de então era esclarecer aos empresários e stakeholders que, para enfrentar os desafios cibernéticos, o esforço da empresa deveria ser coletivo, envolvendo colaboração global para buscar proteger empresas e pessoas – a segurança da informação como ferramenta à reputação – pois os cidadãos em geral anseiam por ver sua privacidade respeitada, e não invadida como se verifica repetidamente no noticiário (https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-de-223-milhoes-de-brasileiros-o-que-se-sabe-e-o-que-falta-saber.ghtml).
Mas o que temos visto nessa, podemos dizer, primeira infância da LGPD é que ainda não se verifica um esforço homogêneo das empresas para se adequar à norma ou mesmo para que se adotem medidas de segurança da informação compatíveis com as obrigações trazidas pela lei.
Nesse quesito, infelizmente, o abismo entre o nível de prontidão e aplicação de normas de governança das grandes empresas comparada às médias e pequenas só aumentou, fato provavelmente exacerbado pela crise trazida pela pandemia, que não só diminuiu a capacidade de investimento do empresário, mas também tornou mais penoso o processo de implementação de um sistema de gestão de segurança da informação, que depende sobremaneira do envolvimento de colaboradores internos e externos para a devida execução.
Parece ser esse o ponto de maior entrave para que os empresários possam buscar implementar uma efetiva governança corporativa para proteção de dados pessoais, porque, ao se tratar de um novo processo estruturante, é inevitável a necessidade de grande envolvimento de diversos colaboradores, e, principalmente, dos líderes e gestores, já que a eficácia de um programa de compliance implicará necessariamente na revisão de procedimentos de diversas áreas da empresa, com impacto em todos os processos rotineiros.
E essa é uma dificuldade enfrentada por consultores, por exemplo, quando uma empresa lhe solicita transformar, num passe de mágica, suas práticas rotineiras, sem uma análise adequada para torná-la condizente com os preceitos da LGPD.
Assim, para implementar um novo processo estruturante, que vise não só respeitar os parâmetros mínimos de adequação da LGPD, mas também salvaguardar a confiabilidade das informações em posse e propriedade das empresas, é preciso estar pronto para o desafio em todos os seus aspectos, inclusive organizacionais.
Como as Ameaças Cibernéticas e o Ambiente Empresarial tornam Impraticável Empreender sem um Sistema de Segurança da Informação
Os riscos cibernéticos são onipresentes, inclusive para sistemas com defesas sofisticadas. Há pouco se descobriu sobre um ataque bem sucedido ao poderoso Departamento de Segurança Norte-Americano, invasão que demorou meses para ser detectada, como reportado após admissão da extensão do incidente (https://edition.cnn.com/2020/12/14/politics/us-agencies-hack-solar-wind-russia/index.html).
Nesse episódio diversas empresas foram também objeto de invasão cibernética, vindo à tona vulnerabilidades em sistemas da SolarWinds Orion, que atua exclusivamente com segurança de sistemas de TI, assim como os ataques bem sucedidos contra a empresa FireEye , que fornece produtos e serviços de segurança cibernética para muitas das maiores empresas globais (https://edition.cnn.com/2020/12/17/politics/microsoft-hack-organizations/index.html).
O tempo transcorrido até que essas grandes empresas de segurança e o próprio Departamento de Estado Norte-Americano finalmente percebessem o ataque em andamento, deixa muito claro que não adianta fomentar a ilusão de que alguma medida exclusivamente técnica poderia tornar a segurança cibernética infalível, até porque a FireEye é grande especialista em segurança (https://edition.cnn.com/2020/12/08/tech/fireeye-cyberattack/index.html).
Aqui no Brasil a situação é ainda mais preocupante, pois não temos sequer uma cultura de segurança cibernética difundida e a maioria das empresas ainda não estão adequadamente preparadas para lidar com novas ameaças. Recentemente foi descoberto um vazamento que atingiu os dados de potencialmente todos os cidadãos brasileiros, inclusive de pessoas jurídicas e pessoas públicas (https://www.techtudo.com.br/noticias/2021/01/vazamento-pode-ter-exposto-cpf-de-quase-todos-os-brasileiros.ghtml).
Quanto a esse último caso relatado, cumpre ressaltar parte da matéria veiculada, de autoria de Marvin Costa, da TechTudo, mencionando “o lote de informações contém CPF, nome completo e data de nascimento de quase todos os brasileiros — na lista roubada há, inclusive, dados sensíveis de grandes autoridades do país”. Ou seja, a exposição dos brasileiros a novas ameaças cibernéticas é real, e ainda mais acentuada e emergencial.
No tocante a esse ponto, é importante ao empreendedor brasileiro observar os sinais vindos do outro lado do Atlântico, a fim de se preparar para os efeitos não só das normas de proteção de dados pessoais na Europa – onde tais normas tiveram grande adesão – mas da evolução das normas corporativas de governança, que implicarão em regras mais estritas do ponto de vista da gestão da segurança da informação, com implicações de governança de outras áreas da empresa, como antitruste e livre concorrência.
Isso pode ser observado com clareza no caso da aquisição da empresa Fitbit por parte da Google, em que se reportou o compromisso de 10 anos sem que as informações possam ser usadas pela controladora para fins da atividade-fim da empresa (https://www.businessinsider.com/google-set-to-win-eu-approval-21-billion-fitbit-deal-2020-9).
Importante observar que mesmo com os compromissos assumidos pela empresa Alphabet Google, resta a clara preocupação do mercado, não só pela potencial utilização dos dados pessoais sensíveis, relativos à área da saúde, referentes a mais de 28 MM de pessoas, mas também à eventual dificuldade dos concorrentes desse mercado na utilização das plataformas operadas pela controladora, inclusive quanto ao acesso ao próprio sistema Android (https://www.bbc.com/news/technology-53647570).
Enquanto as ações dos órgãos da União Europeia vêm se intensificando, já que as empresas são vigiadas de forma efetiva pelo cumprimento do RGPD, no Brasil parece que aos poucos a vigência da LGPD esta introduzindo a mudança cultural necessária para que as autoridades e as empresas se obriguem a observar as normas de privacidade e proteção de dados, e isso foi demonstrado recentemente com o destaque ao público da possível mudança nas regras de consentimento do aplicativo WhatsApp, cuja integração com a plataforma do Facebook vem sendo bastante questionada.
Nesse caso foi discutido potencial aspecto antitruste (https://www.cnnbrasil.com.br/business/2021/01/13/whatsapp-muda-regras-de-privacidade-e-app-deixa-de-ser-o-mais-baixado-do-brasil), como vem ocorrendo na Europa, inclusive quanto à eficácia e validade de alterações nos termos de consentimento aos usuários, que sejam indispensáveis à utilização do próprio aplicativo, nos casos em que se considere plausível a caracterização de posição dominante no mercado da empresa, exatamente na mesma linha que as autoridades europeias vêm buscando aplicar.
Esses elementos, portanto, exigem do empresário brasileiro atenção imediata, e, mesmo que apenas se considerando riscos de segurança, devem ser levados em conta assim como as demandas regulatórias e de adequação de normas de compliance corporativo. Somada aos pontos delineados, devemos considerar a reputação das empresas.
Como Adiantar as Exigências Institucionais, Legais e Corporativas, com Base nos Precedentes dos Mercados Desenvolvidos, Poderá Garantir a Reputação da Empresa
Muito embora algumas empresas brasileiras tenham buscado se adequar ao Marco Civil da Internet após 2014, a verdade é que, no caso da LGPD, norma específica para o tratamento de dados pessoais, as exigências legais por serem mais complexas, dificultaram a sua aplicação. Assim os empresários em sua maioria ainda não conseguiram sequer mapear o que precisam colocar em prática para adequar seus negócios a tais demandas.
O recado é claro, não há tempo a perder, e quanto mais cedo os empresários trilharem o caminho da governança em segurança da informação e na proteção dos dados pessoais, menores serão as perdas e danos decorrentes da inobservância das normas legais e corporativas.
Quanto à reputação, principalmente nesse campo da privacidade e respeito aos dados pessoais, deve-se observar que não basta aos empresários de hoje serem cumpridores das leis, pois terão que demonstrar proatividade genuína na implementação de soluções que garantam segurança aos titulares dos dados pessoais.
Algumas medidas tomadas na Europa apontam justamente para esse futuro. Na Grã-Bretanha a Autoridade de Competição e Mercados (CMA) divulgou plano regulatório que determina que as empresas passarão a buscar “adaptar seu comportamento proativamente” (https://www.bbc.com/news/technology-55230704), como por exemplo para evitar que seu domínio em determinado mercado chegue a tal ponto que outros não consigam concorrer em iguais condições.
Tal Autoridade de Competição e Mercados (CMA) criará uma unidade apenas para cuidar da governança corporativa dos mercados digitais, deixando claro a todos stakeholders que essa questão passará a ser prioridade máxima, na medida em que quase a totalidade da humanidade se debruça nesse mundo digital.
Para que as empresas possam buscar aplicar os conceitos observados de forma proativa, deverão passar a fazer perguntas imediatamente sobre sua própria prontidão, para que tais dúvidas não sejam depois escancaradas em público, arrasando justamente a reputação tão duramente conquistada por uma marca ou empresa.Não faltam hoje em dia sugestões para os primeiros passos de um programa de governança (https://revistapegn.globo.com/Opiniao-Empreendedora/noticia/2019/07/10-pontos-fundamentais-que-sua-empresa-precisa-saber-sobre-protecao-de-dados.html), mas para garantir a reputação nesse cenário volátil, as empresas devem considerar que os usuários finais passaram a demandar padrões éticos e legais mais estritos, sendo vital estabelecer um sistema de segurança da informação eficaz, com mecanismos de governança apropriados ao volume e criticidade da informação tratada, e um plano claro de resposta e recuperação a incidentes. Afinal mesmo que monitoradas, as ameaças cibernéticas provavelmente vão afetar as empresas nos próximos anos, e a proatividade necessária para garantir a sua reputação demanda planejamento robusto e constante.
