terça-feira, 9 de outubro de 2018

Multa de R$ 50 milhões por infração poderá ser paga por descumprimento à LGPD, alerta ASSESPRO-SP


Antes de atingir o caixa das empresas, a Lei Geral de Proteção de Dados deve aplicar advertência, pena de bloqueio, ou ainda suspensão e exclusão dos dados dos usuários regulares. Agência regulatória nacional foi vetada pelo presidente Temer e País ainda segue sem o órgão


Desde maio de 2016, quando foi aprovada a Lei Geral de Proteção de Dados europeia (GDPR), diversas empresas brasileiras, especialmente aquelas que são filiais estrangeiras ou possuem contato e realizam negócios com a Europa, já buscavam se enquadrar nas normas aprovadas no continente para coleta de dados de usuários. Em maio deste ano, foi finalizado o tempo de vacância para a entrada em vigência da lei europeia e, em agosto, o presidente Michel Temer sancionou a Lei 13.709/18, também chamada de Lei Geral de Proteção de Dados brasileira ou LGPD. Essas determinações levaram empresas de todos os segmentos a acessarem especialistas para a revisão de contratos e criação de normas internas coerentes com as novas exigências para tratamento de dados pessoais. O assunto deverá também entrar na pauta dos departamentos financeiros, de compliance e jurídicos de muitas empresas nos planejamentos para 2019, já que a aplicação da lei nacional poderá, em última instância, impor multas de até R$ 50 milhões de reais por infração ou de até 2% do lucro econômico da empresa no Brasil.

Embora a LGPD brasileira estabeleça regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais e imponha um alto padrão de proteção e penalidades significativas em caso de descumprimento, a lei não se aplica apenas às empresas de tecnologia ou informática, mas a toda e qualquer instituição que colete dados, seja no setor privado ou público. “Qualquer empresa que obtenha dados de pessoas físicas, sejam eles usuários, funcionários, clientes, parceiros, colaboradores ou fãs estão sujeitas à fiscalização e aplicação da lei. De um simples cadastro de um condomínio ao preenchimento de fichas para financiamento bancário ou solicitação de cartão de crédito, todos os sistemas deverão estar de acordo com a regulamentação. Até mesmo um administrador de página no Facebook poderá ser fiscalizado sobre a forma de coleta de dados”, informa o advogado Adriano Mendes, do escritório Assis e Mendes Advocacia, especializado nas causas de TI e que é consultor da ASSESPRO-SP (Associação das Empresas Brasileiras de Tecnologia da Informação - regional São Paulo) sobre o tema.

Além das penalizações financeiras em casos específicos, outros entraves econômicos podem ocorrer para empresas que descumprirem a lei: uma empresa que não está em compliance com a legislação deverá enfrentar problemas para ser parceira ou operadora de serviços de companhias mais sérias. Para fugir dos riscos, a recomendação é garantir que o desenvolvimento de qualquer aplicação que trate de dados pessoais leve a segurança como um princípio desde seu desenvolvimento. “É o que se chama de security by design. Desde o momento zero do processo, é necessário tomar cautelas técnicas e jurídicas para garantir que determinados serviços são seguros, do contrário, fica-se sujeito à lei”, explica Mendes.


LGPD na prática

A lei brasileira de proteção de dados previa uma autoridade de proteção, a exemplo do órgão existente na Europa e em outros países, com a função de orientar, opinar e fiscalizar as empresas. Porém, a Autoridade Nacional de Proteção de Dados (ANPD) foi vetada pelo presidente Temer na sanção da LGPD, por razões de orçamento e também por defender que este novo órgão do Executivo não poderia ser proposto pelo Legislativo. “Essa seria uma agência governamental como o CADE e a Anatel, cuja função é verificar a correta aplicação da lei e evitar desvios, com o imperativo de se tornar um único órgão centralizado para todo o país. Sem uma agência regulatória nacional, a lei de proteção de dados pode ser falha, uma vez que permitirá que o judiciário e a administração pública a interpretem livremente. A lei prevê uma uniformização e deve permitir que todos operem de formas igualitária em todo o território nacional”, afirma o advogado Adriano Mendes.

De acordo com a ASSESPRO-SP, a LGPD é necessária para o setor, porque além de proteger usuários, cria um padrão superior para que todas as empresas tenham as mesmas responsabilidades e encargos, além de facilitar as trocas comerciais internacionais. No entanto, a associação alerta para o fato de que os custos para adaptação podem ser altos e os cuidados com a proteção de dados precisam ser redobrados nesse cenário, afim de que prejuízos sejam evitados. O executivo de Segurança da Informação do Instituto de Inteligência Cibernética (iIC), instituição associada da ASSESPRO-SP e coordenadora do Comitê de Inteligência Cibernética criado neste ano, Marcelo Nagy, informa que, para afastar o perigo iminente de extorsão por parte de cibercriminosos e mesmo multas ou riscos à imagem, é necessário tomar medidas práticas, como avaliações das estruturas e aplicações por um teste de intrusão. “Caso apresentem alguma vulnerabilidade, precisarão ser corrigidas através de mitigação de riscos em equipamentos, sistemas operacionais, renovação de políticas de segurança e também na correção e modernização de aplicativos, mobilizando programadores e analistas de sistemas de diversas linguagens”, explica Nagy.

Aos empresários, o especialista sugere eventualmente aumentar ou criar um fundo de investimento em ciber segurança na sua empresa, além de manter um responsável pela segurança computacional, que passa a ser uma função tão importante das empresas como a de um contador ou um diretor financeiro, pois o risco é grande. “É aconselhável procurar um seguro contra crimes cibernéticos, modalidade de proteção oferecida por cada vez mais seguradoras”, recomenda Nagy.

Com o intuito de esclarecer e apoiar as empresas associadas e o mercado, a ASSESPRO vem preparando diversas ações, como palestras de explicação sobre a LGPD, a exemplo do evento Ecossistema Ciber 2018, ocorrido em 03 de outubro numa parceria com o IEL São Paulo, e prevê o lançamento de um guia com orientações para as empresas. As ações referentes ao assunto e o grupo de trabalho criado pela ASSESPRO para lidar com as questões ligadas à LGPD estão sendo conduzidos pela regional São Paulo da associação. Às empresas do segmento de TIC e de outros ramos interessadas em participar ou contribuir com as ações da ASSESPRO-SP sobre o assunto, a associação deixa seus canais e contatos abertos para colaborações.

A LGPD brasileira entrará em vigor em fevereiro de 2020, dando às empresas brasileiras mais de um ano para adaptação.








Nenhum comentário:

Postar um comentário