BLOG


Como preparar os negócios para as novas leis de privacidade e proteção de dados pessoais


O recém projeto aprovado no Senado brasileiro e as regulações globais para coleta e processamento de informações pessoais, afetam diversos setores e seus processos de negócio, com desdobramentos em várias atividades.

Assim como empresas e profissionais de praticamente todas as áreas têm que se familiarizar com serviços online, alternativas de pagamento e o marketing digital, a proteção de dados acaba não sendo um tema restrito à TI. Além da forte interlocução entre os especialistas em Segurança de Dados e em Direito - comum nos projetos de compliance - a Lei de Proteção de Dados traz novos balizadores éticos e operacionais para diversas áreas, em especial: contact center, recursos humanos, marketing, provedores de serviços ou qualquer função que lide com dados “sensíveis e identificáveis”.

  • Em que condições posso coletar dados do cliente? 
  • Quais os limites para analisar esses dados? 
  • Como ficam os modelos de negócio sustentados em personalização a partir de processamento de dados pessoais? 
  • Até onde vai a responsabilidade dos provedores e dos proprietários dos dados e quais os riscos desconhecidos?


Embora as obrigações legais e as penalidades, nos termos do projeto aprovado no Senado, passem a vigorar a partir de 2020, muitas companhias já tiveram que se adequar à GDPR (regulação geral de proteção de dados, vigente na União Europeia desde maio) e se preparam para transição à uma economia de dados regulada.

No momento da redação deste artigo há pendências de regulamentação da Lei, por antagonismos entre o grupo de entidades civis e parlamentares que a promoveram e o Executivo. De qualquer forma, para efeito de planejamento empresarial, as diretrizes legais e as macrotendências já apontam algumas recomendações bem claras. 

Em paralelo ao movimento de organizações empresariais, associações profissionais, órgãos de defesa do consumidor e outras partes interessadas, algumas questões práticas já se colocam tanto aos executivos de estratégia, quanto os gestores de praticamente qualquer departamento.

Lei de Proteção de Dados e GDPR – diferenças, convergências, quem e como é afetado

Os princípios comuns à Lei de Proteção de Dados, à GDPR e a outras legislações semelhantes não se devem apenas ao aproveitamento de referências jurídicas, mas a razões de negócio bem práticas.

Operações como transferência de dados, deslocamento de carga entre data centers, ou prestação de serviços globais tendem a ficar restritas a países com legislações equiparáveis. A lei brasileira tem alguns critérios ligeiramente diferentes de proteção e é mais precisa em itens como definição de “dados anônimos”. Mas os princípios de finalidade, consentimento, responsabilidades e penalidades prevalecem. Vários mecanismos da Lei de Proteção de Dados complementam ou ratificam regras já existentes, como o Marco Civil da Internet ou regulações globais como o PCI.

Em termos de tecnologia e abordagens de segurança de dados, há muito o que ser aproveitado nas empresas de setores sujeitos a alguma regulação. Mas o marco legal também reforça a atenção de parceiros, clientes e consumidores à forma com que seus dados são tratados.

A percepção e intolerância a comunicações invasivas é o efeito mais festejado, que já ocupa os gestores das áreas: comercial, marketing e contact center com a revisão das políticas de trabalho sobre as bases de dados. Mas os desafios afetam a praticamente todos os segmentos.

“Gerenciamento granular do dado” pode parecer uma expressão técnica, mas muito clara em determinados contextos. Em um prontuário médico, por exemplo, o sanitarista deve poder visualizar os eventos reportados, o auditor poderia ver os custos do tratamento, a indústria farmacêutica poderia ter projeções de demanda, mas a identificação pessoal do paciente - nos termos da Lei - só pode ser acessível sob autorização ou em condições muito específicas que a justifiquem.

Na prática, cada organização terá que estabelecer critérios para cada pedaço da informação sobre as pessoas (funcionários, clientes, prospects, etc.) e restringir a exposição e o risco ao que é necessário para a prestação do serviço.

Dados pessoais, sensíveis e anônimos - o big data ético

Conforme o Projeto de Lei aprovado, são objeto de proteção “os dados processados ou coletados em território nacional, ou que sirvam para a oferta de bens e serviços no mercado brasileiro”. O conceito de “dado sensível” é bem abrangente e inclui metadados como: endereço IP, localização, além de informações claramente pessoais.

Possivelmente devido à contribuição das associações profissionais, o texto traz forte proteção do direito individual, sem engessar a tecnologia nem os modelos de negócios baseados em ciência de dados.

Em relação a dados anonimizados, o PL impõe a garantia de que não possam ser revertidos, para identificação do dado original, com “os meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Ou seja, a personalização de serviços, as análises estatísticas e outras formas de alavancar os dados não precisam ser descartadas, desde que as informações não sejam pessoalmente identificáveis.

Novos procedimentos de coleta, transferência e governança dos dados – o dilema do mailing e dos cadastros

Os princípios de Finalidade e Consentimento norteiam tanto a GDPR quanto a lei brasileira. Em resumo, torna-se ilegal o uso ou a transferência de dados pessoais para fins que não forem expressamente autorizados pelo cidadão.

“O consentimento deverá se referir a finalidades determinadas, sendo nulas as autorizações genéricas para o tratamento de dados pessoais”, explicita o inciso 4º do artigo 8.

“O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado”, diz o inciso seguinte.

Um efeito imediato da aplicação da Lei seria premiar áreas que já se preocupam com uma relação transparente com o cliente, de forma a varrer do mercado os “data brokers” com práticas predatórias, que sorteiam torradeira para ter um mailing de vítimas de abuso informacional. Na prática, várias empresas têm neste momento que rever as condições de captação de contatos, inclusive os procedimentos de terceiros que tenham feito a coleta.

Uma vez que o destinatário tenha manifestado com clareza sua concordância, o “me esquece” agora não se resume ao opt-out. Além da opção de não receber mais chamadas ou e-mail, deve ser possível também solicitar sua exclusão da base de dados.

Dados em nuvem e transferências internacionais

Embora tenha passado de 25 a 65 artigos, entre o projeto de 2012 e o substitutivo agora aprovado, a lei não entra em detalhes sobre localização e soberania de dados. O próprio artigo 3º, que tipifica os dados sob proteção, deixa claro que a aplicação é “independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”.

Os artigos que tratam da transferência internacional de dados são relativamente flexíveis, desde que cumpridas as regras de finalidade e consentimento, não há restrições gerais ao armazenamento ou tratamento fora do país. Entretanto, deixam a cargo do “órgão competente” ratificar legislações nacionais, códigos de conduta de corporações globais e outros critérios para regular as transferências internacionais.

Normalmente, há três critérios de definição de soberania de dados: físico (onde o dado está armazenado); por jurisdição (o poder da autoridade nacional sobre o site em que está o dado); e soberania lógica (quem encripta, acessa e gerencia).

É fato que a GDPR e leis semelhantes estimulam os provedores globais a investir em data centers locais, mas as regras baseadas em localização física tendem ao desuso, como ilustra a Resolução 4568 do Banco Central do Brasil (que regula a contratação de nuvens pelas instituições financeiras), aprovada em abril deste ano.

Em resumo, a tendência do auditor ou dos certificadores de compliance é olhar a proteção da informação em si mesma. Independentemente de estar no servidor da empresa, na nuvem ou trafegando pela rede. O que importa é assegurar que o dado só possa ser visualizado, transferido ou alterado conforme as diretrizes gerais.

Responsabilidade dos provedores, dos proprietários dos dados e os riscos desconhecidos

As leis de proteção de dados não entram em detalhes sobre infraestrutura e arquitetura tecnológica, até porque comprometeria sua longevidade. As questões de segurança e compliance, assim como a distribuição de responsabilidades, são peculiares em cada caso. Mas vale mencionar como ponto de partida um esclarecimento da AWS, que diferencia “segurança da nuvem” e “segurança na nuvem”.

Hospedar os servidores que contêm os dados e as aplicações críticas na nuvem pode simplificar. As ofertas de IaaS (infraestrutura como serviço) da Amazon ou da Microsoft incluem opções de segmentação de servidores ou de tráfego que aceleram o compliance a várias regulações setoriais (tecnicamente mais detalhadas que a legislação). Mas tudo isso é meio; o responsável pela segurança é quem responde pelos riscos de cada negócio. Administração de usuários, classificação de informações e a segurança dos dados críticos é um compromisso seu com seu cliente. Os contratos com provedores, ainda que tenham os data centers mais robustos do mundo, não prescindem de consultoria, integração e serviços gerenciados, para alinhar o extenso leque de serviços de TI aos objetivos de cada organização.

No caso de aplicações em SaaS (software como serviço), como Salesforce ou Office 365, pode ser interessante rever os contratos e aproveitar alguns serviços opcionais, como DLP (prevenção a vazamentos de dados) e anti-malware. Contudo, essas proteções funcionam dentro do perímetro do provedor. Não há configuração de segurança que resista a um roubo de credenciais ou a um funcionário autorizado comprometido. As organizações, portanto, continuam a ter que gerenciar todo o ciclo dos dados.

Os serviços hospedados e as aplicações homologadas estão longe de ser o maior problema. A facilidade com que departamentos e usuários “implementam” aplicações por conta própria resulta em áreas de sombra (por isso a expressão shadow IT) onde dados críticos fogem do controle. Se houver a possibilidade de alguém anotar uma informação pessoal em um pedaço de papel, ou deixar o arquivo exposto na Internet, não dá para deixá-lo saber nada sobre a vida dos clientes.

Prejuízos potenciais e riscos internos – multa, reputação e adaptação do cibercrime

Além de responder pelos danos de vazamentos ou uso indevido de dados, entre as penalidades previstas da LPD, está uma multa de até 2% da receita bruta anual da organização.

É obrigatória a notificação de incidentes de vazamento ou violação ao “órgão competente”, que determinará ou não a comunicação pública aos titulares dos dados e outras partes interessadas. O artigo seguinte, contudo, admite uma atenuação de eventuais sanções, caso a organização tenha demonstrado intenção com boas práticas e planos de ação auditados, de minimizar os danos.

A experiência ensina que ao resolver os problemas com ratos é preciso não descuidar das pulgas. Ou seja, toda grande solução traz pequenos novos problemas. Foi assim no segmento de pagamentos – à medida que a rápida migração para cartões com chip comprimiu a clonagem física (o skiming ou chupa-cabra), a fraude foi para o e-commerce. De forma análoga, um movimento bem-sucedido de proteção das bases de dados será uma vitória decisiva, mas que já nos obriga a antever os flancos a serem explorados pelo cibercrime.

A abrangência da LPD ao longo das organizações vai estender a questão dos dados a diversos níveis. A clareza em relação aos riscos também não é mais restrita aos tecnólogos. Certamente, descuidos ainda hoje comuns, como exposição de dados críticos aos ataques mais primários, muito em breve vão inviabilizar os negócios.

Uma das contrapartidas previsíveis desse amadurecimento das empresas, infelizmente, deve ser a proliferação de tentativas de aliciamento de funcionários ou usuários com acessos privilegiados. É claro que a maioria de seus colaboradores e parceiros não é eticamente vulnerável, mas a possibilidade de exceções à essa regra, assim como violações involuntárias, é um dos riscos que já devem ser antecipados.

Para que tanto dado?

Apesar de o Brasil estar relativamente atrasado na definição do marco legal, as questões de ética e privacidade de dados são novas em todo o mundo. A economia dos dados deste início de século, de certa forma, lembra o que ocorreu com a indústria alimentícia na Revolução Industrial até a consolidação das leis sanitárias. Está todo mundo aprendendo.

Segundo o estudo Confiança na Segurança de Dados, feito pela Gemalto com milhares de clientes no mundo, 68% admitem algum gap com a GDPR e 46% não garantem saber onde todos seus dados sensíveis estão armazenados. Outra revelação interessante é que 65% dizem que coletam dados sem saber para que servirão.

Nesse aspecto, de definição de escopo e minimização de risco, a experiência com serviços financeiros e com a indústria de pagamentos tem muito do que se aproveitar.

Neste artigo procuramos compartilhar algumas discussões, que vão ao encontro dos questionamentos práticos despertados com as novas regulamentações e toda atenção a ética e privacidade. Ao longo dos últimos anos, esse tem sido um dos eixos do desenvolvimento do portfólio de soluções e da estratégia de serviços da First Tech. Para tirar suas dúvidas e saber mais sobre o impacto dos novos requisitos de compliance e privacidade em sua organização, marque uma conversa com um de nossos consultores.

Por Vanderlei Campos