Os provedores regionais de acesso à internet e serviços de telecomunicações devem começar a se preparar para atender ao que estabelece a Lei de Proteção dos Dados, sancionada ontem, 14, pelo presidente da República. Embora como a maioria seja pequenas e médias empresas que não usam os dados dos clientes para criar novos produtos, como as grandes operadoras, que trabalham com grandes massas de dados, mesmo assim os provedores, alertam os especialistas, não podem deixar para a última hora para adequar seus processos internos à nova Lei, que entra em vigor em 18 meses.
Segundo Maurício Fiss, sócio-diretor da consultoria Protiviti, com presença em 20 países, as obrigações das pequenas e médias empresas que guardam dados dos clientes frente à Lei da Proteção de Dados, que regulamenta o uso, a proteção e a transferência de dados pessoais, são menores do que a das grandes empresas, que além de os armazenarem, tratam os dados, e também respondem por dados dos clientes dos clientes. Mas, alerta ele, essas obrigações exigem atenção por parte dos comandos das empresas aos seus processos internos em relação à proteção e segurança dos dados. “Vai ser preciso mudar a cultura de compliance”, disse ele em debate sobre o tema no Encontro Provedores Regionais realizado ontem, 14, em Niterói (RJ), pela Bit Social.
Para isso, sua consultoria, que trabalhou junto a várias empresas para adequação de seus processos à Lei de Proteção de Dados europeia, GPDR, que entrou em vigor em julho deste ano, recomenda quatro passos:
1 – Saber onde estão, em sua empresa, os dados do cliente ou dos clientes do cliente;
2 – Análise do estado atual. Onde se encontram esses dados? Estão no servidor, na nuvem, há uma parte deles no micro de algum funcionário por algum motivo?
3 – Resultado da análise – qual é o nível atual de proteção desses dados e dos processos utilizados?
4 – Roteiro de conformidade e relatório de suporte.
Henrique Faulhaber, integrante do Conselho do Comitê Gestor da Internet (CGI) onde representa as empresas do segmento de TI, acrescenta outro ponto que considera fundamental para as empresas atenderem à nova Lei e também se protegerem de usos indevidos de dados de clientes por terceiros, especialmente vazamentos por ataques: a adequação dos contratos com clientes. “Todos os contratos vão ter que ser modificados para atender à Lei de Proteção dos Dados. O dado é do cliente, o seu uso tem que ser consentido. E o contrato tem que prever claramente o serviço a ser prestado e qual o nível dada pela empresa para que não venha a ser responsabilizada por falha de segurança não coberta pelo contrato”, explica.
Faulhaber, também presente ao debate, diz que a questão da segurança na rede, que já é uma preocupação central para os provedores pela natureza de seu negócio, vai ter que ser ainda mais acurada, com requisitos técnicos mais rigorosos. Ele também chama a atenção para a necessidade de melhoria da governança interna nas empresas. “A pior coisa para uma empresa é acontecer algo errado, como um vazamento de dados, e ela nem saber o que deveria ter sido feito para evitar o problema”, alerta.
Se o problema das pequenas e médias empresas está circunscrito a proteger os dados dos clientes em seus servidores para que permaneçam invioláveis, no médio prazo, com o avanço da tecnologia, o desafio será muito maior. Fiss lembra que o armazenamento em nuvem deverá ser dominante em 2030 e que a Internet das Coisas (IoT) vai conectar bilhões de dispositivos à rede, muitos com dados do cliente, abrindo novos pontos de falha. E apresentou dados evolutivos para mostrar que quanto mais dispositivos conectados, mais dados vazados. Ou seja, diz ele, a segurança vai ter que estar no centro das preocupações da empresa.
O que diz a Lei
Como esperado, a nova Lei foi sancionada com veto do Executivo à criação da autoridade de fiscalização. O argumento para barrar essa agência foi de vício de iniciativa, uma vez que a criação do órgão regulador precisaria ser realizada por meio de uma iniciativa do Poder Executivo, e não por meio de lei aprovada pelo Congresso Nacional. O presidente Michel Temer prometeu enviar ao Parlamento um projeto de lei com texto “muito semelhante” aos artigos da lei vetados, que tratam da autoridade nacional.
O presidente da República vetou também parte das sanções previstas no texto, como a suspensão do funcionamento de bancos de dados ou da atividade de tratamento, além de alguns dispositivos relacionados ao tratamento de dados pelo Poder Público, como requisitos para o uso compartilhado de informações de cidadãos. Os vetos foram solicitados pelo Banco Central, Controladoria Geral da União e ministérios do Planejamento, da Fazenda, da Segurança Pública, da Justiça e da Ciência, Tecnologia, Inovações e Comunicações.
Em resumo, a Lei de Proteção de Dados estabelece que:
– Todo tratamento de dados pessoais feito no Brasil em “meios digitais” ou fora dele;
– Conceitua dado pessoal (informação relacionada à pessoa natural identificada ou identificável), dado sensível (em geral, aqueles que podem ser usados para causar dano ao titular, como dados sobre raça/etnia, religião, sexualidade, opinião política, genéticos e biométricos) e dado anônimo (pessoais, relativos a um titular que não possa ser identificado);
– Uma empresa ou órgão público só poderá fazê-lo se tiver o consentimento do titular dos dados;
– O titular pode retirar seu consentimento, pedir a exclusão ou a portabilidade dos seus dados pessoais. Ele deve ser informado sobre por que um órgão público ou empresa está pedindo suas informações pessoais (princípio da finalidade), os quais devem ser limitados ao mínimo necessário para atingir o propósito informado (princípio da necessidade);
– A lei cobra que órgãos públicos organizem dados de forma que eles sejam “interoperáveis” e “estruturados”, com o objetivo de torná-los padronizados e acessíveis. Qualquer empresa ou órgão público envolvido no tratamento de dados pessoais deve ser responsabilizado em caso de violação à lei. Em caso de vazamento ou qualquer outra falha de segurança que possa ter comprometido os dados pessoais sob sua responsabilidade, o “órgão competente” deve ser comunicado dentro de um prazo razoável;
– Multa diária de até 2% do faturamento, com limite de R$ 50 milhões;
– Justiça que tem a obrigação de “zelar pela proteção dos dados pessoais”, garantir o respeito à lei, fiscalizar e aplicar sanções e atender solicitações de titulares de dados.
No Comment