A Lei Geral de Proteção de Dados Pessoais (LGPD), criada em 14 de agosto de 2018, entrou em vigor em setembro de 2020. De lá para cá, virou uma das leis mais faladas no Brasil dos últimos 30 anos — desde o CDC, o Código de Defesa do Consumidor. A LGPD obriga todas as empresas a investirem em segurança da informação por meio de medidas técnica e administrativas capazes de proteger os dados pessoais de todas as empresas que coletam nome, RG, CPF, endereços, telefone etc. Entretanto, com o fim da pandemia, diversos setores estão com demandas represadas. Espera-se que 2023 seja um ano de muito consumo e aumento da conectividade (devido ao uso massivo do 5G e expansão da Inteligência Artificial); por consequência, essa combinação é o cenário perfeito para o aumento dos ataques cibernéticos. Entre os antídotos estão as leis que protegem dados pessoais. Desse modo, confira abaixo os seis motivos que farão de 2023 o ano da LGPD!
1. O Brasil é o 7º país mais digitalizado do mundo
Conforme dados do Banco Mundial, no relatório do GovTech Maturity Index 2020, o Brasil passou a integrar os dez países mais digitalizados do mundo, estando na sétima posição. Isso significa que diversos serviços (como solicitação de passaporte, RG, CPF, certidões, atestados, consultas de multas, CNH, comprovantes), que antes poderiam ser solicitados somente presencialmente em órgãos oficiais ou cartórios, hoje são possíveis via internet. Obviamente que isso é um grande avanço para o Brasil, sendo o único país em desenvolvimento presente nesse grupo. Entretanto, também traz novos problemas: uma vez que os dados pessoais estão mais presentes na internet, isso atrai cada vez mais ataques cibernéticos. A LGPD colabora fazendo com que as empresas aumentem suas medidas técnicas de segurança da informação (Art. 46 – LGPD), protegendo, assim, os dados expostos na internet.
2. Aumento dos ataques cibernéticos em 700%
Dados divulgados pela empresa de cibersegurança ESET apontaram que, durante a pandemia, houve um aumento de 700% o número de ataques cibernéticos em comparação a 2019. Não é de se espantar esse aumento, pois antes os usuários acessavam os sistemas das empresas pela rede corporativa, que dispõem de mais controles técnicos de segurança (como roteadores, firewall e servidores de redes robustos), em comparação com as redes residenciais. Devido ao home office sem planejamento, muitos colaboradores passaram a usar o mesmo computador que antes era para diversão (que muitas vezes estão contaminados com vírus) para então acessar os sistemas corporativos. Ou seja, através dos acessos residenciais contaminados, diversos servidores das empresas foram comprometidos, colaborando diretamente para o aumento dos ataques cibernéticos. Entretanto, o fator preocupante é o intervalo entre o ataque hacker e a empresa ter a ciência. Esse tempo gira entre 6 e 36 meses, utilizado a favor dos cibercriminosos para dificultar a segurança investigativa (forense), por exemplo, através da sobreposição de LOGs. Para esse caso, a LGPD colabora, fazendo com que as empresas também observem os acessos residenciais (Privacy By Design – Art. 6º, §2º da LGPD) no escopo da proteção do ciclo de vida dos dados, ou seja, desde a concepção até o término do tratamento dos dados.
3. A LGPD é requisito para entrada na OCDE
A Organização para a Cooperação e Desenvolvimento Econômico (OCDE) é o grupo de países desenvolvidos que favorecem o comércio entre si através de incentivos fiscais e livre circulação. O Brasil almeja entrar para esse grupo “de países ricos” e já iniciou o processo de adesão devido a diversos benefícios, entre eles: a) ter mais credibilidade junto a investidores internacionais; b) possibilidade de aumento do PIB; c) acesso a mercados internacionais com os quais o Brasil ainda não possui acordos econômicos. Entretanto, para entrada na OCDE, o Brasil necessita cumprir diversos requisitos, entre eles ter uma Lei de Proteção de Dados Pessoais operante e capaz de colaborar com a privacidade das novas pessoas que passarão a ter seus dados pessoais em posse do governo ou empresas brasileiras. É o que aponta Paulo Emerson, bacharel em direito, especialista em privacidade e representante da Associação Nacional dos Profissionais de Privacidade de Dados da regional do Distrito Federal (ANPPD-DF). Em outras palavras, um estrangeiro necessita da garantia de que sua privacidade será preservada ao realizar negócios no Brasil. Desse modo, a LGPD colabora, por meio do art. 50, para atender aos requisitos de “governança”, ao qual o país já atendeu 34 dos 70 instrumentos. Porém, quanto mais o avançar da adesão na OCDE, o Brasil também será cobrado por outros países para que esses requisitos, em específico a LGPD, seja praticada e aplicada em sua totalidade no país. Assim como já ocorre com o meio ambiente, se preparem para cobranças internacionais sobre a LGPD.
4. A Proteção de Dados Pessoais entrou para a Constituição Federal
A Proposta de Emenda Constitucional Nº 17 (PEC-17) foi aprovada e transformada na Emenda Constitucional 115/2022 em fevereiro de 2022, que inseriu a proteção de dados na Constituição Federal. Isso significa que a LGPD passa a ser regida unicamente pelo governo federal, que terá que dar prioridade ao tema, independentemente de partido político ou governo vigente. Também traz a necessidade de maior fiscalização, com interpretação da lei cabível à Suprema Corte (o STF), pois os casos de descumprimento da LGPD passam a ser inconstitucionais, ferindo a Carta Magna brasileira. Outro ponto importante é a hierarquia que a LGPD passou a ter sobre outras leis. Agora na CF, a prioridade é superior em comparação com leis municipais, estaduais ou gerais que se refiram ao tema. Indiretamente, a segurança da informação também passou a ser constitucional. Um grande ganho para o Brasil, figurando no rol dos países com regulamentações específicas em segurança cibernética.
5. Ataques cibernéticos estão entre os principais riscos do mundo
Uma tendência mundial apontada pelo Relatório Global Risk Report 2021 e apresentada anualmente no Fórum Econômico Mundial é o aumento de ataques cibernéticos como um dos principais riscos que podem impactar os países nos próximos anos. Cada vez mais empresas e governos possibilitam acessos aos seus sistemas e dados de modo online. Ou seja, eles estão mais suscetíveis de conexão não autorizadas, provocando desde sequestro de dados — em que são exigidas quantias altíssimas de resgates (ransomware) — até ataques que causem indisponibilidade nas redes ou sistemas (DDoS). Imagine o caos gerado se as polícias perdessem o acesso os sistemas de câmeras que monitoram as cidades ou rádios de comunicação entre os policiais?! Também o impacto humanitário se houvesse um ataque cibernético industrial ao sistema que controla as comportas de uma usina hidrelétrica, disparando um comando para abri-las sem um planejamento ou aviso adequado às comunidades ribeirinhas? Ou ainda, em viés financeiro, um ataque que alteraria os valores nos sistemas bancários, liberando ou negando créditos? Para esses e outros casos, a LGPD, colabora com a exigência da adoção dos controles de segurança da informação, que, além de protegerem os dados pessoais, exigem que as empresas adotem medidas de proteção de dados de modo “preventivo” (art. 6º, VIII – LGPD), capazes de evitar ataques cibernéticos.
Fraude a dados é um alto risco global específico
Da mesma forma aos ataques cibernéticos, fraude a dados, também figura entre os maiores riscos que podem impactar os países até 2030, apontado desde 2019 no Relatório Global Risk Report 2019, entretanto, fraude a dados, sendo um risco bem mais específicos a favorecer as violações de dados pessoais. Imagine os impactos se as empresas ou o governo de um país inteiro tivesse os dados pessoais de sua população roubados, alterados ou perdidos?! Ou pior, os nomes dos pacientes de um hospital serem trocados em seus prontuários com medicação?! Todos esses são exemplos onde fraude a dados pessoais podem impactar diretamente um país, e por esses e outros motivos, os países se comprometeram a incentivar ações que visem diminuir os riscos de fraude a dados. Para isso, a LGPD, contribui diretamente sendo a lei nacional que rege essa temática específica, alinhada com as leis internacionais de mesmo objetivo.
Conforme observado, 2023 tem tudo para ser o ano em que diversas empresas iniciarão suas adequações à Lei Geral de Proteção de Dados Pessoais (LGPD). Para o Dr. João Machado, advogado, especialista em proteção de dados e CEO da LTI Consultoria, o primeiro passo são as empresas contratarem um DPO (Data Protection Officer), chamado em português de Encarregado pela Proteção de Dados Pessoais, para avaliar o que sua empresa já possui, e assim te passar as orientações necessárias para proteger os dados pessoais. Você pode consultar quem são os profissionais de privacidade disponíveis no seu estado na Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD).
Quer se aprofundar no assunto, tem alguma dúvida, comentário ou quer compartilhar sua experiência nesse tema? Escreva para mim no Instagram: @davisalvesphd.
Jovem pan