LGPD completa 5 anos; estamos mais seguros com as novas regras?

Views: 131
0 0
Read Time:8 Minute, 7 Second

Há cinco anos, no dia 14 de agosto de 2018, era promulgada a Lei Geral de Proteção de Dados (LGPD). Com as penas e multas por descumprimento passando a valer apenas dois anos depois, em setembro de 2020, o conjunto de regras usava o exemplo internacional para entregar um apanhado de regulamentações para o uso de informações pessoais, assim como normas claras para que empresas e serviços lidem com incidentes de segurança e comprometimentos. Mas, tanto tempo depois, será que os cidadãos sentem que estão mais protegidos?

A resposta para isso vai além do sim e do não, principalmente diante de um cenário de ameaças digitais que se torna cada vez mais complexo. A entrada em vigor da LGPD em meio à pandemia da covid-19 trouxe consigo uma atenção maior à segurança, ao mesmo tempo em que o cenário de ameaças e ataques se tornava mais complexo do que nunca, em um efeito que persiste até os dias de hoje e, na visão de especialistas, é um dos elementos que faz com que os efeitos da legislação não sejam tão sentidos assim.

“Eu não diria que os cidadãos estão mais seguros, mas a privacidade [deles] está mais controlada”, afirma André Carneiro, diretor geral da Sophos no Brasil. De acordo com o executivo da empresa de cibersegurança, ainda há uma flexibilidade grande em relação à aplicação das regras, de acordo com o tamanho de cada organização, enquanto o cenário nacional ainda não é de maturidade em relação à proteção de dados, processos e até mesmo seus próprios funcionários.

Nem tudo foi perdido, porém, com Carneiro apontando que a LGPD ajudou as empresas a entenderem a real necessidade de controlar as informações dos usuários. “Houve certa euforia em termos de adequação [à legislação], principalmente entre empresas de grande porte, que começaram a investir em elementos de segurança que eram deixados de lado. Por outro lado, se esperava maior rigor, controle e punição, mas isso infelizmente não aconteceu.”

Um sinal dessa lentidão na adequação, que incluiria até mesmo os órgãos responsáveis por garantir que a LGPD esteja sendo cumprida, seria a demora na aplicação da primeira multa; ela chegou quase no aniversário da legislação, sendo aplicada em julho deste ano contra a Telekall Infoservice. A telecom capixaba foi penalizada em mais de R$ 14 mil, após uma denúncia de que ela oferecia listas de contatos de eleitores para envio de material político através do WhatsApp, sem autorização dos usuários.

“A despeito das regulações em vigor, vários relatos indicam que muitas empresas e instituições públicas ainda não se alinharam completamente às regras de tratamento de dados”, aponta Walter Calza Neto, advogado especialista em direito digital. “A LGPD foi criada para garantir direitos, mas sua eficácia também depende da vigilância e atuação da sociedade.”

Conscientização sobre privacidade em pequenos passos

Para Carneiro, o principal fator por trás da percebida demora na aplicação de regras da LGPD está em seu caráter “pouco investigativo”. “Ainda temos um número extremamente baixo de casos depois de cinco anos, o que faz com que a implementação e controle em relação às leis ainda apresentem muitas falhas”, explica, indicando um contraste com a GDPR (Regulação Geral de Proteção de Dados), conjunto de parâmetros da União Europeia que considera bem mais rígidos e assertivos.

Calza Neto, entretanto, aponta que longo tempo até a aplicação de sanções não deve ser confundido com inércia jurídica, mas sim, com a forma adotada pela ANPD (Agência Nacional de Proteção de Dados) na aplicação do conjunto regulatório. De acordo com o advogado, a abordagem da organização vai além de apenas penalizar, também envolvendo prerrogativas educacionais e de orientação.

Prova disso é que, mesmo tendo entrado em vigor há quase três anos, a LGPD tem regras diferentes para corporações de variados portes. O especialista aponta resoluções que ampliaram o prazo de adequação ou criaram normas mais flexíveis para micro e pequenas empresas, além de startups, ou princípios de dosimetria para aplicação de sanções de acordo com o porte das organizações como exemplos de adequação da legislação à realidade brasileira.

Cartilhas, normas e notas técnicas também foram publicadas pela agência, com foco nas particularidades de diferentes setores brasileiros. “Nesse sentido, a demora para emissão da primeira multa pode ser interpretada como um reflexo do compromisso da ANPD em estabelecer uma cultura de proteção de dados justa e equilibrada. A ideia é que, ao promover uma compreensão e internalização das normas, seria possível garantir aderência mais efetiva à lei, beneficiando toda a sociedade”, completa Calza Neto.

O advogado acrescenta ainda uma noção de que a conformidade com a legislação, para as empresas, não se tornou uma questão meramente legal, mas que também agrega valor à imagem da marca e sua relação com os clientes. “Ao demonstrar comprometimento com privacidade de dados, elas fortalecem a confiança do consumidor e criam um diferencial competitivo no mercado”, finaliza.

Enquanto a ideia é que essa conscientização funcionou do ponto de vista corporativo, os usuários ainda seguem ao relento quando o assunto é a segurança dos próprios dados. Na visão do especialista da Sophos, a LGPD foi efetivamente feliz em criar uma doutrina a ser seguida, mas deixou a desejar na conscientização dos cidadãos, principalmente no que toca a aplicação de novas tecnologias pelos cibercriminosos.

“Vivemos uma ameaça digital constante o tempo inteiro, mas as pessoas não têm ferramentas e o conhecimento necessário para entenderem isso”, afirma Carneiro. Na visão dele, a maior prova disso é o fato de que praticamente todos os brasileiros já tiveram pelo menos um registro de seus dados pessoais vazados, mas muitos nem imaginam isso e, pior ainda, não sabem exatamente o que fazer para evitar que isso aconteça ou se proteger de comprometimentos já ocorridos.

Normas e o caminho para evolução (dos dois lados)

Na visão do executivo, a obtenção de um patamar de proteção absolutamente completo é impossível, enquanto chegar o mais próximo possível disso se torna mais complexo sem normas claras e, principalmente, informação. Mais um ponto para a LGPD, que na visão de Carneiro, ajudou a lançar luz para um cenário de ameaças que se torna ainda maior a cada dia. “A segurança sempre esteve acima das legislações, ela existe desde que se criaram os primeiros sistemas. Mas [as normas] ajudam a identificar os problemas”, explica.

Nesse ensejo, o conjunto de regras do governo brasileiro atinge diretamente o que o especialista considera uma das principais fraquezas do cenário atual de proteção digital, que é a pluralidade de sistemas e ferramentas, bem como um gerenciamento ineficaz de todos estes sinais. A maior carência atual do mercado, para ele, é a falta de sinergia, que dificulta a identificação e disseminação de um ataque cibernético.

Estamos em uma nova era da cibersegurança, em que estão surgindo cada vez mais soluções que ajudam as empresas a gerenciarem o risco. Entretanto, o uso [dessas tecnologias] ainda é insignificante e está na casa das centenas de empresas, quando deveria ser generalizado”, aponta Carneiro. Com isso, afirma, as companhias se tornam cada vez mais reféns de um cenário de ameaças altamente complexo.

Os bandidos chegam a, inclusive, usar a própria LGPD como fator de extorsão após a realização de um ataque, ameaçando denunciar falhas em sistemas internos ou o comprometimento de dados como forma de obter maiores ganhos financeiros. É o que explica números da própria Sophos que colocam o Brasil como o maior pagador de resgates de ransomware no mundo, com 55% das empresas atingidas em 2022 tendo negociado com os bandidos.

Na visão dele, os cidadãos estão sempre suscetíveis a terem os seus dados vazados, já que erros acontecem o tempo todo, em escala global. “Na minha visão, a LGPD não aumenta a segurança em si, mas ajudou a mostrar o tamanho do problema e a necessidade de auditoria, controle e verificações constantes, que ajudam na proteção contra tais incidentes”, completa.

O que fazer ao perceber uma violação da LGPD?

“Enquanto [as regras] foram um passo significativo na direção certa, a efetiva proteção de dados no Brasil requer uma combinação de conformidade empresarial, evolução contínua em cibersegurança e conscientização pública”, aponta Calza Neto. Na visão do advogado, além de conhecerem as melhores práticas de proteção digital, os cidadãos também podem agir para que a Lei Geral de Proteção de Dados seja cumprida.

O advogado indica o contato com empresas ou instituições que estejam violando as normas como o primeiro passo em caso de irregularidades. Segundo Calza Neto, todas devem ter um Oficial de Proteção de Dados (DPO, na sigla em inglês, que é responsável por acolher e resolver reclamações e dúvidas sobre o tratamento de informações, cujo contato deve estar disponível em sites oficiais, em seções relacionadas à privacidade.

Manter registros de comunicações e contatos por e-mails, mensagens de texto ou chamadas telefônicas também ajudam na comprovação de negligência ou inação. Isso vale tanto para o contato com o DPO quanto para a escalada da questão à ANPD, o passo seguinte caso o cidadão identifique falta de transparência ou cooperação por parte de uma organização.

“É fundamental conhecer seus direitos enquanto titular de dados e como as empresas devem tratar suas informações. Assim, se criam cidadãos proativos e atentos em relação à proteção dos próprios dados”, finaliza o advogado, indicando a busca por cursos e materiais online sobre o assunto.

Serviços como o Have I Been Pwned ajudam os usuários a ficarem sabendo se seus dados vazaram a partir de serviços de todo o mundo. Além disso, a atenção no acesso a sites e no download de aplicativos também ajuda a proteger os próprios dados pessoais; o mesmo também vale para pedidos de informação por telefone ou mensagem de texto, com cadastros somente devendo ser feitos em domínios legítimos e reconhecidos.

FONTE: CANAL TECH

POSTS RELACIONADOS