A lei que nos protege (e aos nossos dados)

A Internet passou a ter seu uso disseminado na década de 1990. Foi uma mudança tão disruptiva quanto o uso da energia elétrica no início do Século XX. Mudou a forma de pessoas e empresas se comunicarem e interagirem. Fica difícil, hoje, imaginar, como pudemos viver tantos anos sem ela. Com o seu uso, vieram, naturalmente, as ameaças. Uma delas foi o roubo de dados pessoais e profissionais. Inicialmente com fins mais ingênuos, e depois, com fins criminosos.

Atualmente existem vários aplicativos, alguns muito úteis, que pedem nossos dados pessoais para nos dar acesso aos mesmos. Esses dados muitas vezes são compartilhados ou vendidos sem a nossa autorização na maioria das vezes. 50 milhões de perfis do Facebook foram roubados, ou vendidos dizem alguns, e entregues a uma empresa chamada Cambridge Analytica. Foram usados para prever o voto e influenciar os eleitores americanos na eleição presidencial de 2016 e os eleitores ingleses no plebiscito do Reino Unido sobre o Brexit no mesmo ano.

A preocupação com a proteção dos dados pessoais e empresariais começou junto com a popularização da internet. Alguns exemplos nos Estados Unidos são a Lei de Transparência de Seguros de Saúde (HIPAA, na sigla em inglês), de 1996, e a Lei de Privacidade (Privacy Act) que define as diretrizes para a captura, armazenamento, uso e divulgação de dados por agências federais. Esse país tem cerca de 20 leis federais específicas por setor de privacidade ou leis de segurança de dados e centenas de leis estaduais.

A União Europeia seguiu por outro caminho. Preferiu a Regulamento Geral sobre a Proteção de Dados, cuja sigla é GDPR, das iniciais em inglês. Foi promulgada em abril de 2016 e entrou em vigor em maio de 2018. Desta data até dezembro de 2018, 71.000 casos foram notificados. As multas são de 2% a 4% do faturamento global da empresa ou 20 milhões de euros. O que for maior.

Os Estados Unidos, observando o que os europeus fizeram, iniciaram as discussões para ter uma lei geral também. O Senador Ron Wyden (democrata do Oregon) apresentou um projeto de lei em novembro de 2018 prevendo pesadas sanções para empresas que violarem a privacidade dos usuários de seus produtos e serviços. A lei, que recebeu o nome de Consumer Data Protection Act é bem menos rigorosa do que a europeia. Será somente aplicável a empresas com faturamento superior a 50 milhões de dólares e com mais de um milhão de usuários.

Alguns países da América Latina também já criaram suas leis de proteção de dados. Chile em 1999 e Argentina em 2000.

Aqui no Brasil, a nossa Lei Geral de Proteção de Dados (LGPD) foi promulgada em agosto de 2018 e entrará em vigor em agosto de 2020. Baseia-se na Lei europeia e estabelece sansões pesadas para empresas que a desrespeitarem. R$50 milhões ou 2% do faturamento bruto por evento. Embora discutida por vários anos e já promulgada, há opiniões divergentes dentro do atual governo sobre o excesso de regulamentação que ela traz, que vai contra a agenda liberal que elegeu o novo mandatário.

Achamos que o assunto está longe de estar esgotado, mas podemos chegar a algumas conclusões. A lei, como promulgada ou flexibilizada, vai melhorar a governança dos dados das empresas. Mas, ao contrário do que ocorreu com o ‘bug’ do ano 2000, os grandes beneficiados pela necessidade de aderência de todas as empresas brasileiras à LGPD serão os escritórios de advocacia e as consultorias, e não as empresas de TI.

As práticas para se adequar à lei compreendem processos e o uso de tecnologias de informação bastante conhecidas, como fazer backup regularmente e testá-lo, usar equipamentos e softwares de segurança como firewalls, antispam, e uma série de outras  ferramentas de segurança mais conhecidas como “sopa de letrinhas” (IPS, WAF, DLP, CASB, SIEM, VPN, NAC..). Todas são tecnologias largamente testadas e usadas pelas grandes empresas. Já as empresas médias e pequenas não as utilizam corretamente, por falta de recursos ou de conhecimentos.

Aí reside a grande oportunidade para os canais de TI especializados em segurança. A primeira oportunidade seria uma consultoria para analisar as brechas das empresas para adequarem-se à nova lei. Como resultado dessa análise a revenda pode sugerir a compra das soluções acima citadas para utilização na rede interna ou contratar os serviços de um SOC (Security Operations Center). Essas empresas instalam e operam os produtos de segurança remotamente, cobrando como serviço.

Independentemente de leis, é uma boa prática de governança proteger os dados dos clientes, funcionários, fornecedores e parceiros. Da mesma forma que devemos fazer o bem. Não porque a lei manda, mas porque é o correto!

Sergio Basilio é Diretor Comercial da Westcon Brasil