Antes de atingir o
caixa das empresas, a Lei Geral de Proteção de Dados deve aplicar advertência,
pena de bloqueio, ou ainda suspensão e exclusão dos dados dos usuários
regulares. Agência regulatória nacional foi vetada pelo presidente Temer e País
ainda segue sem o órgão
Desde maio de 2016, quando foi aprovada a Lei Geral
de Proteção de Dados europeia (GDPR), diversas empresas brasileiras,
especialmente aquelas que são filiais estrangeiras ou possuem contato e
realizam negócios com a Europa, já buscavam se enquadrar nas normas aprovadas
no continente para coleta de dados de usuários. Em maio deste ano, foi
finalizado o tempo de vacância para a entrada em vigência da lei europeia e, em
agosto, o presidente Michel Temer sancionou a Lei 13.709/18, também chamada de
Lei Geral de Proteção de Dados brasileira ou LGPD. Essas determinações levaram
empresas de todos os segmentos a acessarem especialistas para a revisão de
contratos e criação de normas internas coerentes com as novas exigências para
tratamento de dados pessoais. O assunto deverá também entrar na pauta dos
departamentos financeiros, de compliance e jurídicos de muitas empresas
nos planejamentos para 2019, já que a aplicação da lei nacional poderá, em
última instância, impor multas de até R$ 50 milhões de reais por infração ou de
até 2% do lucro econômico da empresa no Brasil.
Embora a LGPD brasileira estabeleça regras claras
sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais e
imponha um alto padrão de proteção e penalidades significativas em caso de
descumprimento, a lei não se aplica apenas às empresas de tecnologia ou
informática, mas a toda e qualquer instituição que colete dados, seja no setor
privado ou público. “Qualquer empresa que obtenha dados de pessoas físicas,
sejam eles usuários, funcionários, clientes, parceiros, colaboradores ou fãs
estão sujeitas à fiscalização e aplicação da lei. De um simples cadastro de um
condomínio ao preenchimento de fichas para financiamento bancário ou
solicitação de cartão de crédito, todos os sistemas deverão estar de acordo com
a regulamentação. Até mesmo um administrador de página no Facebook poderá ser fiscalizado
sobre a forma de coleta de dados”, informa o advogado Adriano Mendes, do
escritório Assis e Mendes Advocacia, especializado nas causas de TI e que é
consultor da ASSESPRO-SP (Associação das Empresas Brasileiras de Tecnologia da
Informação - regional São Paulo) sobre o tema.
Além das penalizações financeiras em casos
específicos, outros entraves econômicos podem ocorrer para empresas que
descumprirem a lei: uma empresa que não está em compliance com a
legislação deverá enfrentar problemas para ser parceira ou operadora de
serviços de companhias mais sérias. Para fugir dos riscos, a recomendação é
garantir que o desenvolvimento de qualquer aplicação que trate de dados
pessoais leve a segurança como um princípio desde seu desenvolvimento. “É o que
se chama de security by design. Desde o momento zero do processo, é
necessário tomar cautelas técnicas e jurídicas para garantir que determinados
serviços são seguros, do contrário, fica-se sujeito à lei”, explica Mendes.
LGPD na prática
A lei brasileira de proteção de dados previa uma
autoridade de proteção, a exemplo do órgão existente na Europa e em outros
países, com a função de orientar, opinar e fiscalizar as empresas. Porém,
a Autoridade Nacional de Proteção de Dados (ANPD) foi vetada pelo
presidente Temer na sanção da LGPD, por razões de orçamento e também por
defender que este novo órgão do Executivo não poderia ser proposto pelo
Legislativo. “Essa seria uma agência governamental como o CADE e a Anatel, cuja
função é verificar a correta aplicação da lei e evitar desvios, com o
imperativo de se tornar um único órgão centralizado para todo o país. Sem uma
agência regulatória nacional, a lei de proteção de dados pode ser falha, uma
vez que permitirá que o judiciário e a administração pública a interpretem
livremente. A lei prevê uma uniformização e deve permitir que todos operem de
formas igualitária em todo o território nacional”, afirma o advogado Adriano
Mendes.
De acordo com a ASSESPRO-SP, a LGPD é necessária
para o setor, porque além de proteger usuários, cria um padrão superior para
que todas as empresas tenham as mesmas responsabilidades e encargos, além de
facilitar as trocas comerciais internacionais. No entanto, a associação alerta
para o fato de que os custos para adaptação podem ser altos e os cuidados com a
proteção de dados precisam ser redobrados nesse cenário, afim de que prejuízos
sejam evitados. O executivo de Segurança da Informação do Instituto de
Inteligência Cibernética (iIC), instituição associada da ASSESPRO-SP e coordenadora
do Comitê de Inteligência Cibernética criado neste ano, Marcelo Nagy, informa
que, para afastar o perigo iminente de extorsão por parte de cibercriminosos e
mesmo multas ou riscos à imagem, é necessário tomar medidas práticas, como
avaliações das estruturas e aplicações por um teste de intrusão. “Caso
apresentem alguma vulnerabilidade, precisarão ser corrigidas através de
mitigação de riscos em equipamentos, sistemas operacionais, renovação de
políticas de segurança e também na correção e modernização de aplicativos,
mobilizando programadores e analistas de sistemas de diversas linguagens”,
explica Nagy.
Aos empresários, o especialista sugere
eventualmente aumentar ou criar um fundo de investimento em ciber segurança na
sua empresa, além de manter um responsável pela segurança computacional, que
passa a ser uma função tão importante das empresas como a de um contador ou um
diretor financeiro, pois o risco é grande. “É aconselhável procurar um seguro
contra crimes cibernéticos, modalidade de proteção oferecida por cada vez mais
seguradoras”, recomenda Nagy.
Com o intuito de esclarecer e apoiar as empresas
associadas e o mercado, a ASSESPRO vem preparando diversas ações, como
palestras de explicação sobre a LGPD, a exemplo do evento Ecossistema Ciber
2018, ocorrido em 03 de outubro numa parceria com o IEL São Paulo, e prevê o
lançamento de um guia com orientações para as empresas. As ações referentes ao
assunto e o grupo de trabalho criado pela ASSESPRO para lidar com as questões
ligadas à LGPD estão sendo conduzidos pela regional São Paulo da associação. Às
empresas do segmento de TIC e de outros ramos interessadas em participar ou
contribuir com as ações da ASSESPRO-SP sobre o assunto, a associação deixa seus
canais e contatos abertos para colaborações.
A LGPD brasileira entrará em vigor em fevereiro de
2020, dando às empresas brasileiras mais de um ano para adaptação.
Fonte: www.assespro-sp.org.br
Nenhum comentário:
Postar um comentário