Viver na era da transformação digital implica em muitos aspectos (da nossa vida), principalmente por que a maioria deles gira em torno da dados. Nossa realidade é consequência da abrangência imposta pela Internet, que dissemina e processa informações mais rapidamente assim como facilidade a obtenção de dados.
Não foi nenhuma surpresa que o mercado enxergasse nessas mudanças uma oportunidade e passasse a tratar dados, especialmente os pessoais, como uma nova classe de ativos econômicos, ou seja, um dos recursos mais valiosos da atualidade. Tanto que estima-se que, em 2020, 1,7 MB de dados serão gerados a cada segundo por pessoa, somando 147 Gb de informação por dia.
O valor atribuído a dados faz com que surja ao mesmo tempo uma preocupação com relação a segurança e o devido uso de tais dados. Isso levou a debates sobre a criação de leis para assegurar a proteção de dados pessoais. No Brasil tivemos a promulgação da Lei n° 13.709/2018, a Lei Geral de Proteção de Dados (LGPD) e posteriores modificações em 8 de julho de 2019.
Discutir sobre uma regulamentação de proteção de dados pessoas nos tempos atuais é essencial para segurança e a preservação da privacidade dos usuários. Mas se você pensa que este assunto é algo recente, alguns países além dos que formam a União Europeia já estão à frente do Brasil nesse quesito.
Na verdade, o Brasil é um dos países com a regulamentação mais atrasada na América Latina. No Chile, a legislação de proteção de dados foi decretada em 1999 e, no ano seguinte na Argentina. Colômbia e Uruguai também seguem apresentam avanços no que concerne a segurança da informação.
O que quero dizer é que independente do país de decreto, uma regulamentação de proteção de dados é uma necessidade e tendência global. E há motivos para isso. Segundo a Wired, uma das maiores violações de dados da história ocorreu este ano. Conhecida por “Coleção # 1” a invasão atingiu quase 800 milhões de emails e senhas, totalizando 2.692.818.238 linhas de milhares de fontes diferentes.
A invasão envolveu 772.904.997 endereços de email e mais de 21 milhões de senhas únicas, superando os vazamentos do Equifax e do Yahoo. E não pense que tais casos não são frequentes. Em 2018, o site Business Insider publicou uma lista contendo os 21 maiores episódios de violações revelados.
Se tudo correr como o planejado, a lei deve entrar em vigor em agosto de 2020. Seu objetivo é garantir a privacidade e a segurança dos dados dos usuários A LGPD tem como principal inspiração o Regulamento Geral sobre a Proteção de Dados. (GDPR), norma europeia que entrou em vigor em maio de 2018.
A LGPD propõe em seu texto formas de lidar com dados pessoais, através de normas que irão disciplinar como coletamos, armazenamos, processamos e utilizamos tais informações. É essencial que as empresas brasileiras aproveitem estes meses que antecedem a vigência da LGPD para se adequarem a essa nova realidade de segurança da informação, assim como o conhecerem as normas da legislação.
Os pontos em comum e as distinções
1. Definição de dados pessoais
Da mesma maneira que o GDPR, o novo regulamento de proteção de dados do Brasil, a LGPD, dispõe sobre a definição de dados pessoais para incluir todas as informações relacionadas a uma pessoa identificável e acrescenta restrições especiais referentes ao processamento de dados pessoais confidenciais como gênero, etnia, religião e biometria.
2. Escopos territoriais
Ambos os regulamentos possuem escopos territoriais semelhantes já que se aplicam a todas as empresas que oferecem bens ou serviços a titulares de dados na UE ou no Brasil, independentemente de sua localização. Porém, no caso do GDPR, a regulamentação inclui explicitamente organizações que não estão estabelecidas na UE, contanto que estas monitorem o comportamento dos indivíduos nela localizados. A LGPD não apresenta essa disposição.
3. Bases legais para o processamento de dados
Uma das maiores divergências entre as duas leis está na sua base legal para o processamento de dados. O GDPR inclui o consentimento explícito, desempenho contratual, tarefa pública, interesse vital, obrigação legal e interesse legítimo. Já a LGPD além de incluir as seis acrescenta outras quatro: estudos de um órgão de pesquisa, exercício de direitos em processos judiciais, proteção à saúde e proteção ao crédito.
4. Regulamento de proteção de dados
Para começar, diferente da GDPR, na LGPD certas informações confidenciais adentram a classificação de “dados pessoais” quando são utilizadas para a criação de perfis. Normalmente, tais dados se encontram isentos dos requisitos do regulamento. Porém, de acordo com o artigo 12 eles podem ser considerados dados pessoais “aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.”
No caso da GDPR, as empresas com sede ou atuando na União Europeia tinham 2 anos de de preparo e adequação aos requisitos , já as organizações brasileiras tiveram pouco mais de um ano e meio para se preparar, desde o anúncio de aprovação da Lei e sua entrada em vigor.
5. Detalhamento no documento
Algumas das diferenças talvez mais marcantes está no fato de que a lei brasileira apresenta menos descrições e não possui uma introdução explicativa contendo as diretrizes para que seja realizada a interpretação da LGPD. Isso provavelmente torna a implementação da regulamentação da lei mais desafiadora.
6. Comunicação
A lei brasileira também é mais permissiva que a europeia e deixa algumas questões em aberto, como o prazo das notificações obrigatórias de violação de dados: a LGPD estabelece que a comunicação deve ser feita em “prazo razoável”, já a GDPR estipula exatas 72 horas. Infelizmente algumas das previsões da GDPR nem sequer possuem equivalentes na LGDP. O que torna mais forte o questionamento da real eficácia da lei brasileira e se ela conseguirá de fato passar pelos desafios jurídicos e técnicos.
7. Quem está sujeito
Um última divergência que acho válido mencionar é que órgãos públicos também estarão sujeitos à LGPD, ou seja, terão de se adequar às novas medidas, para não seguirem o exemplo da Cambridge Analytica, o famoso caso em que a rede social Facebook foi multada em US$ 5 bilhões (cerca de R$ 19 bilhões). Uma punição por violar, continuamente, os termos de acordo firmado em 2011 com a FTC (Comissão Federal de Comércio) dos EUA, sobre a proteção das informações de privacidade dos usuários da rede.
A necessidade de estar em conformidade com a LGPD
O intervalo de tempo restante até que a LGPD finalmente entre em vigor é curto, mas precisa ser o suficiente para que as empresas consigam se adaptar às novas regras de armazenamento, uso e proteção de dados. O processo em si é repleto de desafios, tanto técnicos quanto jurídicos, como engajar a mudança de cultura na organização, integrar os requisitos da LGPD aos processos existentes, realizar um levantamento do volume e fluxo de dados e identificar riscos.
Diferentes setores terão de buscar a conformidade com a nova regulamentação, mas provavelmente é a área de tecnologia que será mais afetada com a LGPD. Afinal por trabalharem com dados, muitas dessas empresas terão de repensar e reestruturar suas políticas e procedimentos para se tornarem mais compatíveis com a LGPD.
Pense na quantidade crescente de dados sendo produzida diariamente, especialmente os dados pessoais que vem sendo utilizados, coletados e processados por empresas de tecnologia. Não é difícil de imaginar o consentimento do usuário como um dos maiores desafios da LGPD para as empresas do setor.
A partir daí vemos a importância de estruturar sistemas de segurança da informação confiáveis. A chegada ofIcial da LGPD de certa forma obrigará todas as empresas a investirem em setores que talvez antes não recebessem a devida atenção. Para prevenir e detectar a violação de dados, você pode tomar diferentes medidas como novas políticas de privacidade, criptografia (mascaramento de dados), gerenciamento de vulnerabilidades, automação e orquestração de segurança e ferramentas DLP (prevenção contra perda de dados).
Se você quer saber mais sobre Governança de APIs, se cadastre no API Playbook e tenha acesso à entrevistas, video-aulas e materiais voltados ao ciclo de vida de APIs.
Este artigo foi escrito por David Ruiz e publicado originalmente em Prensa.li.