Como o GDPR afeta o cotidiano dos brasileiros?

Na data de 25 de maio de 2018 a União Europeia promulgou o GDPR (General Data Protection Regulation) que criou um novo regime de proteção de dados e privacidade, especialmente depois de diversos escândalos mundiais de vazamento de dados, como o caso da Cambridge Analytica e denúncias de uso de fake news para influenciar na eleição americana.

Enfim, tudo isso parece muito distante da realidade dos brasileiros e descolado do nosso ambiente de preocupações, no entanto, isso não é verdade por uma série de fatores e motivos.

O primeiro motivo é bem simples, se você utiliza algum serviço online deve ter recebido em um curto espaço de tempo uma enxurrada de e-mails de alteração de termos de uso e política de privacidade, ou seja, a forma como você interage com esses serviços mudou bastante, mesmo que não tenha percebido. Porém, isso tudo isso parece distante, quais são os efeitos para você como prestador de serviço e como profissional?

O GDPR impacta diretamente as relações de serviço e comerciais entre empresas, por meio de um mecanismo bastante inteligente. O Direito, de modo geral, é restrito ao território, ou seja, uma lei de um país só pode ser aplicada em seu território, se você está fora dessa área não poderá ser penalizado, o que chamamos de “princípio da territorialidade”.

No entanto, o problema aqui é que bastaria às empresas sair do território da União Europeia para fugir da aplicação da lei, o que esvaziaria seu propósito. Diante desse cenário o GDPR foi construído para ser aplicado na cadeia como um todo, da seguinte forma, imagine que uma empresa europeia contrate uma empresa brasileira e essa empresa brasileira viole o GDPR, caso isso acontece a autoridade europeia não irá multar e penalizar a empresa brasileira (por estrar fora de seu território), mas irá penalizar a empresa europeia pela violação promovida por empresa que contratou, pois como contratante possui a obrigação de garantir que toda a cadeia que possuí acesso aos dados cumpra com o GDPR.

 Ao proceder dessa forma a União Europeia garante que o GDPR será cumprido, mesmo fora de seu território, ou seja, de certa forma o GDPR se tornou uma legislação “mundial”, pois todo aquele que possui acesso a dados de cidadãos, empresas e/ou governos europeus está sujeito a ele, por exemplo, subsidiárias de multinacionais europeias, prestadores de serviços diversos (agências de marketing, etc…) estão todos os sujeitos à essa legislação. Por outro lado, é utilizado o poder econômico das empresas europeias para que esta “incentivem” seus prestadores de serviços e fornecedores a se adequarem à GDPR.

Em síntese, mesmo que aparentemente invisível o GDPR impacta diretamente a vida da maioria dos brasileiros, isso sem contar com um “detalhe”, que poucos meses depois da aprovação do GDPR foi criada legislação brasileira bastante similar (a LGPD) ao regramento europeu.

Os próximos anos serão de acomodação e fiscalização crescente no setor, de certa forma só agora o público e as legislações perceberam a relevância de temas como proteção de dados, segurança da informação e privacidade.

Dito tudo isso, a legislação brasileira (LGPD) entrará em vigor em fevereiro de 2020, e a maioria das empresas ainda não está ciente desse fato e pouco preparada para se adequar, expondo-se assim a riscos e multas financeiras rigorosos em caso de descumprimento, tudo com o intuito de “forçar” o mercado a ser mais zeloso e criterioso com os dados que possui, afinal de contas a privacidade dos titulares dos dados dependerá da qualidade da segurança do controle pelos agentes que armazenam e/ou coletam dados pessoais e sensíveis.

Advogado Autor do Comentário: Luciano Del Monaco

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”

LGPD e a segurança da informação

LGPD e a segurança da informação

O tema de segurança da informação é algo que sempre foi bastante restrito à esfera técnica, sendo um universo dominado pelos profissionais de TI e a infinidade de termos como hackerscrackersscript kidswhite e black hat, etc… Enfim, é possível ter a impressão de a segurança da informação é um assunto obscuro e só relevante para os profissionais diretamente envolvidos no assunto. Nesse sentido seria uma espécie de “guerra secreta” entre profissionais de segurança e hackers (e todas suas variantes) na qual os “civis” teriam pouco ou nenhum interferência e/ou interesse no assunto.

No entanto a situação não é essa, muito pelo contrário, com o aumento exponencial de utilização de dados, inteligência de mercado (e todas as tendências e usos de big data) a quantidade de dados aumento bastante, bem como a sua difusão. Os dados deixaram de ser restritos à grandes empresas (e seus servidores e mainframes) para se tornar algo relativamente comum e “espalhada por aí”. E, consequentemente, o mau uso de dados, vazamentos e toda sorte de uso indevido se tornou algo comum e divulgado na mídia.

Em síntese, de um assunto obscuro e “secreto” a segurança da informação passou a dominar a mídia, incluindo casos de grande repercussão (como a interferência em eleições nos EUA e no Brexit).

Diante desse cenário é compreensível a movimentação de grupos organizados para uma regulação e punição de condutas indevidas, e o Brasil seguiu essa tendência mundial ao criar o Marco Civil da Internet, que trazia várias previsões e diretrizes sobre o uso da internet.

Contudo, o principal ponto falho (e bastante criticado) do Marco Civil era a ausência de disposições específicas sobre a segurança da informação e proteção de privacidade, pois embora existisse um padrão de “boas práticas” do mercado inexistia qualquer obrigação legal específica de segurança da informação e, sem esse tipo de obrigação, não é possível se falar em proteção da privacidade. De fato, sem a segurança da informação não é possível que exista privacidade, se a informação está guardada indevidamente o que impediria qualquer um de violá-la e, posteriormente, utilizá-la como bem entendesse? Aliás, sem a obrigação de segurança seria até conveniente para as empresas que suas informações fossem “roubadas” por terceiros para que estes fizessem outros usos que a empresa não poderia realizar.

A LGDP (Lei Geral de Proteção de Dados Pessoais) foi criada exatamente com a intenção de proteger os dados individuais, com um foco grande em privacidade, contudo, um ponto normalmente ignorado é que a LGDP também disciplinou a questão de segurança da informação, tornando-a uma obrigação específica, proteger os dados que armazena (coleta) não é mais apenas um meio de proteger seus clientes, mas uma obrigação específica, que possui uma finalidade em si mesma.

LGPD e a segurança da informação

Por exemplo, o artigo 6 da LGDP, que estabelece os princípios básicos da utilização e tratamento de dados prevê a segurança de dados como um de seus pilares, da seguinte forma:

“ VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Além disso, não se trata apenas de um princípio, mas de uma obrigação (prevista no artigo 46) e, ainda mais, um dos elementos que será considerado pela Autoridade Nacional de Proteção de Dados em caso de sanção administrativa, que calculará eventual pena com base em diversos fatores, entre eles, a adoção de mecanismos de segurança de informação (artigo 52, inciso VIII):

“VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;”

Em síntese, o tema de segurança de dados se tornou um objeto regulado pela LGDP, tornando-se assim uma obrigação jurídica própria, em relação a qual são associadas multas e penalidades específicas em caso de descumprimento, tudo com o intuito de “forçar” o mercado a ser mais zeloso e criterioso com os dados que possui, afinal de contas a privacidade dos titulares dos dados dependerá da qualidade da segurança do controle pelos agentes que armazenam e/ou coletam dados pessoais e sensíveis.

Advogado Autor do Comentário: Luciano Del Monaco

“Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.”
“If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.”