Wander Cunha (*)
A GDPR (ou Lei Geral de Proteção de Dados) foi um dos assuntos mais comentados no universo da tecnologia durante 2018.
Sua implantação na Europa e posteriores sanções feitas ao redor do mundo foram vistas como iniciativas extremamente positivas, capazes de trazer mais segurança a usuários e de obrigar empresas a terem um compromisso maior com as informações que armazenam.
Apesar da grande quantidade de informações disponíveis com o objetivo de desmistificar o que representa um passo como esse, um lado pouco abordado foi o das possíveis consequências negativas que a nova lei pode trazer ao longo do tempo. Especialmente quando se trata da habilidade de cibercriminosos. Traduzindo, a nova Lei Geral de Proteção de Dados vai fazer com que as empresas tenham mais consciência de cibersegurança, mas, ao mesmo tempo, abre uma brecha para dificultar a descoberta da identidade de crackers.
Um artigo recente dos advogados Brian Finch e Steven Farmer, publicado pelo Wall Street Journal, exemplifica essa discussão ao enfatizar os malefícios do fim do Whois, serviço usado frequentemente por jornalistas e pela polícia para identificar donos de websites. Com o fim do acesso livre a informações como essa, abre-se uma brecha para crimes virtuais serem cometidos com uma dificuldade ainda maior de localizar eventuais culpados.
E, tendo em vista o fato de que a preocupação com cibersegurança ainda é algo recente em muitas empresas ao redor do mundo, esse cenário pode ter consequências devastadoras, como roubo de senhas e informações valiosas, prejudicando ainda mais organizações de vários setores. É necessário estar cada vez mais atento.
O CTO mundial da McAffee, Steve Grobman, pontuou recentemente que o excesso de normas da GDPR sem um direcionamento claro pode fazer com que empresas deixem de direcionar parte valiosa do tempo destinada a se proteger contra ameaças reais para passar a cumprir tarefas burocráticas apenas com o objetivo de atender à Lei de proteção de dados.
No Brasil, a Lei Geral de Proteção de Dados foi sancionada em agosto do ano passado e deve entrar em vigor no segundo semestre, exigindo mudanças de gestão, infraestrutura e tecnologia por parte das empresas. Inspirada na versão europeia, também pretende fazer com que companhias sejam mais claras a respeito dos dados que possuem de clientes e usuários, além de informarem como armazenam essas informações.
Por aqui, estamos um passo atrás do continente europeu. Ainda não há um consenso de empresas em diferentes setores a respeito da importância de se adequar à nova legislação e, mais do que isso, da necessidade de investimentos em pesquisa e desenvolvimento para cibersegurança.
Como forma de prevenir grandes riscos, é esperado que gigantes de tecnologia que também atuam no país promovam fóruns de conscientização e sejam capazes de trazer cada vez mais conhecimento a respeito de como implantar essa nova norma em setores variados. Seguindo os passos do continente europeu, diferentes empresas também devem buscar seguir as novas normas, o que pode trazer distorções e abrir novas brechas para criminosos atuarem também em território nacional.
Vale lembrar que o país é o segundo colocado em nível mundial com maior número de crimes cibernéticos, de acordo com dados da Norton Cyber Security – atrás apenas da China – não é difícil prever a criatividade de quem quer cometer esse tipo de crime em um cenário ainda mais restritivo.
Assim, a meu ver, para uma implantação adequada da GDPR é imprescindível que as empresas, usuários finais e reguladores façam uma ampla e criteriosa análise de suas possíveis consequências, para que de fato sua adoção se traduza em benefícios reais que primem pela melhoria da segurança.
Com o Dia Internacional da Proteção de Dados comemorado recentemente (28 de janeiro), vale a reflexão: será que estamos preparados para nos adaptar a esse novo momento? Ou as consequências vão suprir os benefícios? É necessário estar atento.
(*) – É head da Minsait no Brasil (www.minsait.com).