Jeferson Propheta (*)
Finalmente foi sancionada a lei geral de proteção de dados no Brasil.
Esta é a primeira lei brasileira que se assemelha aos padrões de leis internacionais, bem próximo ao que já foi implementado anos antes nos Estados Unidos e, recentemente, na Europa. Para as empresas, as principais mudanças são referentes a coleta e uso de dados pessoais e também a segurança desses dados.
Com a nova lei, as empresas só poderão coletar e usar os dados pessoais com o consentimento do titular, que também poderá pedir a revogação do consentimento de uso de informações a qualquer momento e até exigir que os seus dados sejam totalmente apagados da base de dados.
Com isso, serão impactadas todas as empresas que coletam qualquer tipo de dados pessoais. E por dado pessoal entende-se qualquer informação que permita a identificação de um indivíduo como: nome, sobrenome, endereço, telefone, e-mail, número de documento, número de cartão de crédito, informações bancárias, dados médicos, etc.
A lei engloba também os dados de localização, endereços de IP e também testemunhos de conexão, os chamados cookies, ferramentas que armazenam informações sobre o que um indivíduo faz na internet. Ou seja, qualquer empresa que tenha um site que use cookies para armazenar informações de usuários também terá que cumprir a lei.
Outra grande mudança é que a empresa passa a ser responsável pela segurança de todos os dados que coleta, transmite, processa e armazena. A empresa terá que provar, por meio de relatórios, que tem uma estrutura de segurança preparada para assegurar a proteção dos dados, onde quer que eles estejam armazenados.
Caso a empresa seja vítima de algum incidente de segurança, como um vazamento de dados, seja acidental ou criminoso, ela será obrigada a notificar todos os clientes e poderá receber sanções como multas de até 2% do faturamento ou até R$ 50 milhões por infração.
A principal dificuldade para as empresas no cumprimento da nova lei será o tempo para adaptação, que é bastante curto. O prazo é de apenas 18 meses para as empresas se adaptarem. No entanto, o processo para criar uma estrutura de segurança capaz de proteger os dados contra vazamentos é bastante complexo. Um projeto de classificação de dados, por exemplo, demora cerca de 12 meses para ser implementado.
A nova lei irá trazer um grande avanço na segurança corporativa e isso é muito positivo, tanto para as empresas como para os consumidores. Mas o processo é mais complexo do que aparenta. Para atender às exigências de segurança da lei não basta comprar e instalar novas soluções e esperar que elas resolvam tudo sozinhas. Para a segurança ser eficaz ela depende de tecnologia, mas também de pessoas e processos.
É fundamental que todos os passos sejam adotados, desde conscientização do usuário, estabelecimentos de processos e um programa compreensivo de classificação de dados, complementados por tecnologias como DLP (Data Loss Prevention) e CASB (Cloud Access Security Broker), que protejam o dado onde quer que ele esteja, no datacenter, no endpoint, na rede, no dispositivo móvel ou na nuvem.
(*) – É diretor geral da McAfee no Brasil.