A LGPD exige Tecnologia de Ponta!
Dra. Patricia Punder e Dr. Fabio David - Punder Advogados
A LGPD
exige Tecnologia de Ponta!
Quando
uma empresa resolve iniciar um programa de implementação de adequação a lei
geral de proteção de dados (“LGPD”), o foco deve ser sempre no tripé – pessoas,
processos e tecnologias. As pessoas gerenciam processos e tecnologias,
portanto, devem ser conscientizadas sobre a LGPD. Já os processos internos
devem ser mapeados visando o impacto de riscos na coleta, tratamento e
armazenamento de dados pessoais. E, finalmente, as tecnologias a serem
utilizadas pelas empresas devem servir para minimizar os riscos de vazamento,
invasão dos servidores ou serviços de nuvens, com o objetivo de preservar os
dados pessoais dos colaboradores, fornecedores e clientes.
Partindo
da premissa acima, acrescido do fato que estamos há menos de um mês da
Autoridade Nacional de Proteção de Dados (“ANPD”) iniciar efetivamente suas
atividades, temos a real situação de que muitas empresas, independentemente do
seu mercado e tamanho, ainda não se adequaram a LGPD. Muitas acreditam que
somente com uma política de privacidade no website corporativo, termo de
consentimento assinado pelos colaboradores e um comunicado interno seria o
suficiente para estar 100% em conformidade com a LGPD. Tristemente, estão
totalmente erradas por seguir por este caminho!
As
empresas e executivos que possuem o referido “mindset”, muitas vezes, acabam caindo no conto
dos provedores de serviços que “vendem” uma solução mágica (já vimos anúncios
do tipo: “Implementamos LGPD em 7 dias”). Apesar da ANPD ainda não estar
efetiva, já temos mais de 600 decisões na Justiça relacionadas a LGPD segundo
um grande veículo de comunicação em notícia datada de 04/07/2021. Ou seja, as
multas já estão acontecendo, sejam via Procon e Judiciário. Além da exposição
reputacional das denúncias realizadas no site “Reclame Aqui” sobre o
descumprimento das empresas em relação aos dados pessoais dos consumidores.
Considerando
a falta de tempo e a atual situação de pandemia, temos a geração de uma dupla
pressão sobre todas as empresas, que, infelizmente não estão levando muito a
sério a nova legislação, principalmente devido à crise econômica instalada no
Brasil que tem gerado demissões e cortes absurdos nos orçamentos de todas as
áreas das empresas indistintamente.
Outro
ponto que deve ser destacado, trata-se da existência de hackers cada vez mais
sofisticados se aproveitando que as empresas não estão investindo em tecnologia
de ponta para “atacar” os sistemas das empresas e solicitar “resgate” para
devolução do acesso aos sistemas ou dados ali armazenados. Tudo isso gera um
ciclo vicioso abrindo brechas para mais gastos em recuperação de dados, ao
invés de serem utilizados em investimentos em tecnologia de ponta.
Está
situação deveria elevar o nível de preocupação por parte das empresas devido a
atratividade/valor de mercado das suas respectivas quantidades e profundidade
nos dados que gerenciam, talvez porque ainda não estamos no cume dos vazamentos
de dados, sequestro de sistemas de gestão, roubo de acessos a câmeras de
segurança (150.000 acessos residenciais sendo comercializados) entre outros
tipos de ataques, mas é uma questão de tempo e tecnologias para chegarmos lá.
Toda esta
situação pode ser evitada ou extremamente minimizada com a escolha certa de
tecnologias que atendam as normas apresentadas pela LGPD. Usar as regras é
conceitos propostos pela LGPD para nos proteger e principalmente reduzir a
atratividade de hackers é a melhor das situações. Convidamos a todos vocês a
olharem pelo ponto de vista do hacker, com o intuito de analisar a atratividade
e dificuldade de seu sistema de tecnologia e segurança.
Realizar
um furto virtual fácil com muito retorno, é uma situação ideal e muito
atrativa. Realizar um furto virtual difícil e com alto retorno é somente
atrativo. Agora, realizar um furto virtual complexo e com baixo retorno, não é
nada atrativo. Ou seja, diminuir o número (profundidade) de dados é
interessante para a empresa, pois dificultar o trabalho do hacker é um dever de
todas as empresas perante seus colaboradores, clientes, fornecedores e
sociedade em geral. Sem tal prática, pode-se perder totalmente a credibilidade
junto ao mercado.
No ano de
2016, um ataque DDoS foi realizado através de 50.000 câmeras para travar o
servidor de uma empresa. Um vírus foi instalado nas câmeras que estavam
direcionadas ao servidor da empresa e as câmeras começaram a exigir um nível de
processamento do equipamento não imaginado. Por exemplo, um cano de água com
50.000 pequenos canos enviando água para esta tubulação principal, irá saturar
o cano principal, formar um gargalo e travar a operação. Este fato e outros
posteriores, infelizmente não foram suficientes para trazer a preocupação de
TI, SI e Segurança se integrarem, vale monitorar a evolução das tecnologias e
suas adequações a LGPD.
Muitas
empresas acabam buscando segurança em tecnologias não confiáveis e baratas,
pois não pensam em investir neste momento de crise. Assumem literalmente o
risco para si próprias e toda a sociedade. Os custos da utilização de
tecnologias de ponta podem parecer caros em um primeiro momento, mas elas
acabam sendo um investimento diferenciado e, inclusive, uma estratégia da
empresa, que pode utilizar dessa informação para fazer marketing positivo em
relação a sua preocupação com a tecnologia e a segurança. Além disso, o
investimento realizado será diluído a longo prazo. Então, as empresas não
perdem, mas somente ganham atuando de forma proativa por meio desses
investimentos.
Conexões
protegidas, senhas complexas, acesso físico protegido, criptografia e softwares
seguros testados são algumas dessas necessidades e deveres das empresas que são
atendidas pelas tecnologias de ponta que se atualizam, investem, criam startups
de softwares para proteção e em sua maioria altamente categorizadas no NIST
(Instituto Nacional de Padrões e Tecnologia do Governo Americano), valendo uma
visita no NVD (Base de Dados Nacional de Vulnerabilidades). No caso de câmeras
de segurança, o IPVM ajuda a entender o mercado trazendo tecnicamente o parecer
pontual para equipamentos.
Se sua
empresa considera que segurança de dados é um gasto desnecessário ou caro
demais, imagine as consequências de não ter a proteção adequada ou não ter
qualquer tipo de proteção. Trata-se do mesmo que comprar um bom cobertor, mas
se esquecer de verificar o tamanho do mesmo em relação a cama, sendo que no
final o cobertor fica curto demais e você dorme com os pés descobertos e
gelados.
Patricia
Punder, advogada é compliance officer com
experiência internacional. Professora de Compliance no pós-MBA da USFSCAR e LEC
– Legal Ethics and Compliance (SP). Uma das autoras do “Manual de Compliance”,
lançado pela LEC em 2019 e Compliance – além do Manual 2020.
Com
sólida experiência no Brasil e na América Latina, Patricia tem expertise na
implementação de Programas de Governança e Compliance, LGPD, ESG, treinamentos;
análise estratégica de avaliação e gestão de riscos, gestão na condução de
crises de reputação corporativa e investigações envolvendo o DOJ (Department of
Justice), SEC (Securities and Exchange Comission), AGU, CADE e TCU (Brasil).
Fabio
David
DPO, Sec
DPO e Gestor de Segurança Patrimonial, experiência governamental e corporativa
em segurança, formado em Administração pela UAM, MBA pela FIA em Riscos de
Fraude e Compliance e Especializado em LGPD pela Data Privacy Brasil. Realiza
consultoria e projetos de segurança condominial, corporativa e, adequação de
LGPD e Compliance.
Nenhum comentário