Artigo publicado no site Law Innovation
Bruno Aghazarm é consultor das áreas de segurança de dados e LGPD do Henneberg, Pereira e Linard Advogados. Pós-graduado e especialista em Direito Digital. Graduado em Engenharia Eletrônica e Direito.
A Lei Geral de Proteção de Dados Pessoais, já em vigor, vem trazendo dúvidas a muitos empresários e executivos de cargos elevados a respeito de sua real aplicabilidade e implementação. Isso porque seu escopo é amplo e atinge as corporações de maneira abrangente, em todas as suas áreas e departamentos.
Para alguns, esta Lei é apenas “mais uma” à qual as empresas deverão se adequar, no “jeitinho brasileiro de ser”, de modo apenas superficial e aparente. Ou seja, apesar de estar em vigor, muitos não farão questão de aderir a todo o escopo da LGPD, pois dispender-se-á tempo, dinheiro e não um haverá retorno de rápida e fácil constatação. Para estes, a adequação à Lei será considerada apenas como perda financeira e mais uma invenção para onerar ainda mais o capital já investido, além de nada acrescentar em termos de valor agregado.
Outros, já conseguem ter uma visão mais clara e positiva, onde observam a real finalidade preventiva e protetiva, com relação a dados pessoais particulares e até confidenciais, da pessoa natural, assim como no tratamento da informação, valoração da intelectualidade, intimidade e privacidade. Além disso, enxergam a necessidade de preservação da imagem da empresa, além de identificar a necessidade de investimento em segurança cibernética e da informação.
Certamente, é um progresso não só para o consumidor, mas também para toda a pessoa física e um alerta para as pessoas jurídicas, em termos de justiça e cuidado com informações e dados sigilosos que, se vazados, utilizados indevidamente ou de má-fé, possuirão consequências funestas para todos, de ordem pessoal, moral, patrimonial e na imagem através da exposição pública.
É correto afirmar que a insegurança atual vivida pelas empresas e Instituições já está estabelecida e vem de longa data, mas o sequestro de dados para solicitação de resgate por hackers, desde o dia 03/11/20, que ocorre com o Superior Tribunal de Justiça, parando todo o acervo de processos do tribunal, além de bloquear o acesso às caixas de e-mail de ministros é um caso gravíssimo e prova de que não sabemos nos proteger devidamente e não soubemos como impedir tal fato.
Outros casos apontam para o vazamento de nomes e documentos particulares para uso indevido em fraudes, mailings de marketing, dados corrompidos por hackers, propriedade intelectual furtada e vendida à concorrência, até outros inúmeros problemas de quebra de segurança cibernética, sendo que mais de cinco bilhões de logins e senhas já foram vazados na Internet apenas em 2020. Estes dados foram divulgados pelo “dnfdrlab”, no dia 28/10/20, laboratório de segurança da Psafe, a partir do monitoramento em todo o mundo.
Isto posto, face a tantas ocorrências, certamente estaremos navegando por mares mais seguros se a comunidade empresarial amadurecer com relação ao conceito de segurança da informação, aplicando-a devidamente e sem ‘caminhos curtos”.
Que fique claro para todos que não existe conformidade à Lei 13.709/18 se não se cumprirem os artigos que lá residem, como por exemplo, a “garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistema eletrônico(…)” – art. 11, inciso II, alínea “g”; que “o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes (…)” – art. 44; que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito” –art. 46 – e que “os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término” – art. – 47.
Como se vê, a lei é específica em segurança para a informação física, eletrônica e dados pessoais. Assim sendo, as empresas só poderão adaptar-se e estar em compliance com a lei, se sua segurança da informação estiver executando as melhores práticas do mercado, trabalhando fortemente em prevenção e resiliência cibernética, proteção e correção imediata de vulnerabilidades, utilizando metodologias consagradas de análises e gestão de riscos corporativos e de tecnologia da informação, além de planos de continuidade de negócios, respeito à qualidade dos serviços, atendimento ao cliente etc.
A ética, o mercado, a lei e os bons costumes mandam isso. Vale dizer que não existe “meia solução’, mas podem existir planos para alcançar-se a plena solução, de maneira programada, como fazem os países e culturas mais desenvolvidos, no comprometimento mútuo e correto de competência, moral e justiça, algo que grande parte da cultura brasileira ainda está longe em atingir.
Deve haver visão ampla, corporativa e o já tão versado “ganha x ganha”.
As sanções administrativas da LGPD passarão a valer a partir de agosto de 2021 e não serão amenas, mas buscarão, principalmente, educar e ordenar as empresas que não cumprirem a Lei. Por esta razão, os empresários devem agilizar o processo de adequação à LGPD sem preconceitos e com uma visão positiva e futurista, sem esquecer que a responsabilidade civil perante a Justiça, frente a esta Lei, já está sendo reconhecida e aplicada.
As empresas precisam de tempo para esta adequação imprescindível e irreversível no mercado brasileiro. É uma composição de respeito ao cidadão, proteção, fortalecimento de confiança entre consumidores e empresas, cidadãos e o governo, diminuição de fraudes, conscientização dos colaboradores, amadurecimento dos negócios, além da equiparação com o mercado externo e países do primeiro mundo, onde o respeito mútuo é fundamental.