“No futuro, todas as pessoas terão seus 15 minutos de anonimato”
O Sindicato das Agências de Propaganda do Estado Paraná (Sinapro/PR) realizou nesta quinta-feira (19/03) um webinar sobre a Lei Geral de Proteção de Dados (LGPD) com duas abordagens: jurídica e de TI. Participaram o advogado Gustavo Marinho e o especialista em TI Daniel Borges, que mostraram como as empresas, em especial as agências de propaganda, devem atuar para implementar e atender a legislação.
Acompanhado de forma remota por cerca de 30 agências filiadas, o webinar foi uma maneira positiva que o Sindicato encontrou de manter a sua programação e seguir as recomendações do Ministério da Saúde com foco na prevenção contra o coronavírus.
A previsão é que a LGPD entrará em vigor em agosto de 2020, após dois anos da sua promulgação. E sua implementação é considerada fundamental pelos dois profissionais neste momento em que o mundo lida com uma pandemia, as organizações estão se adaptando a uma realidade remota, que depende do que há de mais valioso nos dias de hoje: os dados.
Gustavo Marinho iniciou a sua fala fazendo um breve histórico sobre leis similares pelo mundo. Citou a principal norma europeia, General Data Protection Regulation (GDPR), de 2016, e a primeira lei de proteção de dado, que foi feita pela Alemanha. “A legislação alemã é protetiva do cidadão contra o Estado, resquícios da Segunda Guerra Mundial. Hoje a LGPD tem outro foco que são as empresas de Big Data, que têm acesso às informações das pessoas”, disse.
A evolução da regulamentação chegou a um momento em que, nos anos de 1980, o tratamento de dados pessoais por empresas provadas passou a chamar atenção dos estudiosos e legisladores. As mudanças tecnológicas, cientes mais atentos e exigentes e, especialmente, o risco do dano reputacional; fez com que os dados se tornassem ativos valiosos. “Os dados são o novo ouro dessa nova economia”, afirmou Marinho.
Adesão à LGPD
Segundo o Serasa Experian, 85% das empresas não estão adaptadas à Lei. Um setor que está à frente e em sua maioria já implementou as regras é o financeiro. Segundo Marinho não é à toa, “muitas dessas organizações que já se adaptaram a LGPD é por conta de uma exigência do mercado europeu. Para poder realizar transferência de dados internacionais, a Europa exige o mesmo padrão de transparência e proteção de dados”, explicou. Brevemente, o advogado mencionou que o poder público é o menos preparado nesta transição, com “pouquíssimas licitações realizadas”.
Os princípios da LGPD são liberdade, privacidade, finalidade e necessidade, prevenção, transparência e segurança. Seus objetivos são: garantir a proteção de dados, exigir das entidades públicas e privadas maior compromisso na sua gestão, exigir mecanismos para prevenção do uso inadequado e violação de privacidade, proteger dados obtidos dentro e fora da internet e garantir o tratamento e utilização para a finalidade anunciada ao seu titular.
Um dos principais pontos da LGPD é o consentimento para a obtenção dos dados, “deve ser livre, informado, expresso, prévio, por escrito ou por outro meio eletrônico comprovável”, explicou Marinho. E o mais importante: o consentimento deve se referir às finalidades determinadas, autorizações genéricas serão anuladas.
O advogado ainda comentou sobre os Direitos do titular dos dados, como a confirmação da existência do tratamento dos dados, a sua portabilidade, informações sobre não fornecer consentimento, sua revogação, reclamação à Autoridade Nacional, entre outros. Também, explicou sobre duas figuras muito importantes na LGPD, o Controlador (aquele que obtém os dados) e o Encarregado, PDO (aquele que trabalha com os dados).
O órgão que será responsável por fiscalizar e orientar o cumprimento da Lei é a Autoridade Nacional de Proteção de Dados (ANPD). Também, a instituição que receberá denúncias ou reclamações. Em se tratando de consequências jurídicas, há sanções administrativas, em que o item mais relevante é a multa de até 2% do faturamento da empresa no seu último exercício, limitado a R$ 50 milhões por infração.
“A Lei veio para proteger os dados”
Daniel Borges, profissional de Gestão de TI, falou sobre “O Impacto da LGPD na TI”. Logo no início, ele mostrou do que se trata a legislação, que foca na proteção dos dados pessoais, mas não de todos, respeitando o direito à privacidade.
Números mostrados em sua palestra dão conta de que 80% de aumento no número de pessoas afetadas por violações de dados de saúde de 2017 a 2019. As violações têm motivação financeira em 76% dos casos e 62% das violações externas em 2018 estavam envolvidas com crime organizado. “Na maioria das empresas a parte das seguranças das pastas é falha porque não há uma política de servidores restrita ou de acessos. Esta falta de organização documental pode trazer sérios prejuízos”, comentou.
Borges continuou apresentando números alarmantes, como que 93% dos malwares vêm dos e-mails, 27% das violações de dados são causadas por erros humanos, 78% foi o aumento de ataques na cadeia de suprimento, somente 3% das pastas das empresas são protegidas e hospitais gastam 64% a mais em publicidade nos dois anos após uma violação. Ainda, no mundo, o tempo para identificar e conter um vazamento de dados é de 279 dias. “O hacker pode entrar e mexer na sua rede sem que você note, quando perceber já é tarde. Por isso é fundamental o trabalho preventivo para não se ter apenas o corretivo”, disse.
A TI deve usar como premissa o CID da informação, que envolve: Confidencialidade, Integridade e Disponibilidade. “É o grau de acesso de uma informação, ela atualizada sem erros e a sua disponibilidade para o usuário e o sistema. Para o especialista, as ameaças geram os riscos, que devem ser tratados por medidas de segurança.
Um passo a passo de como fazer para implementar a LGPD nas empresas foi a parte final da palestra. Na sequência, Borges explicou que é preciso Planejamento e Gerenciamento de serviços, Diagnóstico do impacto da LGPD, Programa de governança em privacidade, Gestão dos direitos dos titulares, Gestão de resposta a incidentes e a violação de dados, Gestão de projeto e PDCA – melhoria contínua, durante e depois da implementação. “É fundamental a criação e revisão dos programas de Governança das empresas. A LGPD não se faz só com a TI ou só com o Jurídico. É a integração de todas as áreas da empresa”, finalizou.