Quando uma empresa resolve iniciar um programa de implementação de adequação a lei geral de proteção de dados (“LGPD”), o foco deve ser sempre no tripé – pessoas, processos e tecnologias. As pessoas gerenciam processos e tecnologias, portanto, devem ser conscientizadas sobre a LGPD. Já os processos internos devem ser mapeados visando o impacto de riscos na coleta, tratamento e armazenamento de dados pessoais. E, finalmente, as tecnologias a serem utilizadas pelas empresas devem servir para minimizar os riscos de vazamento, invasão dos servidores ou serviços de nuvens, com o objetivo de preservar os dados pessoais dos colaboradores, fornecedores e clientes.

Partindo da premissa acima, acrescido do fato que estamos há menos de um mês da Autoridade Nacional de Proteção de Dados (“ANPD”) iniciar efetivamente suas atividades, temos a real situação de que muitas empresas, independentemente do seu mercado e tamanho, ainda não se adequaram a LGPD. Muitas acreditam que somente com uma política de privacidade no website corporativo, termo de consentimento assinado pelos colaboradores e um comunicado interno seria o suficiente para estar 100% em conformidade com a LGPD. Tristemente, estão totalmente erradas por seguir por este caminho!

As empresas e executivos que possuem o referido “mindset”, muitas vezes, acabam caindo no conto dos provedores de serviços que “vendem” uma solução mágica (já vimos anúncios do tipo: “Implementamos LGPD em 7 dias”). Apesar da ANPD ainda não estar efetiva, já temos mais de 600 decisões na Justiça relacionadas a LGPD segundo um grande veículo de comunicação em notícia datada de 04/07/2021. Ou seja, as multas já estão acontecendo, sejam via Procon e Judiciário. Além da exposição reputacional das denúncias realizadas no site “Reclame Aqui” sobre o descumprimento das empresas em relação aos dados pessoais dos consumidores.

Considerando a falta de tempo e a atual situação de pandemia, temos a geração de uma dupla pressão sobre todas as empresas, que, infelizmente não estão levando muito a sério a nova legislação, principalmente devido à crise econômica instalada no Brasil que tem gerado demissões e cortes absurdos nos orçamentos de todas as áreas das empresas indistintamente.

Outro ponto que deve ser destacado, trata-se da existência de hackers cada vez mais sofisticados se aproveitando que as empresas não estão investindo em tecnologia de ponta para “atacar” os sistemas das empresas e solicitar “resgate” para devolução do acesso aos sistemas ou dados ali armazenados. Tudo isso gera um ciclo vicioso abrindo brechas para mais gastos em recuperação de dados, ao invés de serem utilizados em investimentos em tecnologia de ponta.

Está situação deveria elevar o nível de preocupação por parte das empresas devido a atratividade/valor de mercado das suas respectivas quantidades e profundidade nos dados que gerenciam, talvez porque ainda não estamos no cume dos vazamentos de dados, sequestro de sistemas de gestão, roubo de acessos a câmeras de segurança (150.000 acessos residenciais sendo comercializados) entre outros tipos de ataques, mas é uma questão de tempo e tecnologias para chegarmos lá.

Toda esta situação pode ser evitada ou extremamente minimizada com a escolha certa de tecnologias que atendam as normas apresentadas pela LGPD. Usar as regras é conceitos propostos pela LGPD para nos proteger e principalmente reduzir a atratividade de hackers é a melhor das situações. Convidamos a todos vocês a olharem pelo ponto de vista do hacker, com o intuito de analisar a atratividade e dificuldade de seu sistema de tecnologia e segurança.

Realizar um furto virtual fácil com muito retorno, é uma situação ideal e muito atrativa. Realizar um furto virtual difícil e com alto retorno é somente atrativo. Agora, realizar um furto virtual complexo e com baixo retorno, não é nada atrativo. Ou seja, diminuir o número (profundidade) de dados é interessante para a empresa, pois dificultar o trabalho do hacker é um dever de todas as empresas perante seus colaboradores, clientes, fornecedores e sociedade em geral. Sem tal prática, pode-se perder totalmente a credibilidade junto ao mercado.

No ano de 2016, um ataque DDoS foi realizado através de 50.000 câmeras para travar o servidor de uma empresa. Um vírus foi instalado nas câmeras que estavam direcionadas ao servidor da empresa e as câmeras começaram a exigir um nível de processamento do equipamento não imaginado. Por exemplo, um cano de água com 50.000 pequenos canos enviando água para esta tubulação principal, irá saturar o cano principal, formar um gargalo e travar a operação. Este fato e outros posteriores, infelizmente não foram suficientes para trazer a preocupação de TI, SI e Segurança se integrarem, vale monitorar a evolução das tecnologias e suas adequações a LGPD.

Muitas empresas acabam buscando segurança em tecnologias não confiáveis e baratas, pois não pensam em investir neste momento de crise. Assumem literalmente o risco para si próprias e toda a sociedade. Os custos da utilização de tecnologias de ponta podem parecer caros em um primeiro momento, mas elas acabam sendo um investimento diferenciado e, inclusive, uma estratégia da empresa, que pode utilizar dessa informação para fazer marketing positivo em relação a sua preocupação com a tecnologia e a segurança. Além disso, o investimento realizado será diluído a longo prazo. Então, as empresas não perdem, mas somente ganham atuando de forma proativa por meio desses investimentos.

Conexões protegidas, senhas complexas, acesso físico protegido, criptografia e softwares seguros testados são algumas dessas necessidades e deveres das empresas que são atendidas pelas tecnologias de ponta que se atualizam, investem, criam startups de softwares para proteção e em sua maioria altamente categorizadas no NIST (Instituto Nacional de Padrões e Tecnologia do Governo Americano), valendo uma visita no NVD (Base de Dados Nacional de Vulnerabilidades). No caso de câmeras de segurança, o IPVM ajuda a entender o mercado trazendo tecnicamente o parecer pontual para equipamentos.

Se sua empresa considera que segurança de dados é um gasto desnecessário ou caro demais, imagine as consequências de não ter a proteção adequada ou não ter qualquer tipo de proteção. Trata-se do mesmo que comprar um bom cobertor, mas se esquecer de verificar o tamanho do mesmo em relação a cama, sendo que no final o cobertor fica curto demais e você dorme com os pés descobertos e gelados.

Patricia Punder, advogada é compliance officer com experiência internacional. Professora de Compliance no pós-MBA da USFSCAR e LEC – Legal Ethics and Compliance (SP). Uma das autoras do “Manual de Compliance”, lançado pela LEC em 2019 e Compliance – além do Manual 2020.

Com sólida experiência no Brasil e na América Latina, Patricia tem expertise na implementação de Programas de Governança e Compliance, LGPD, ESG, treinamentos; análise estratégica de avaliação e gestão de riscos, gestão na condução de crises de reputação corporativa e investigações envolvendo o DOJ (Department of Justice), SEC (Securities and Exchange Comission), AGU, CADE e TCU (Brasil).

Fabio David

DPO, Sec DPO e Gestor de Segurança Patrimonial, experiência governamental e corporativa em segurança, formado em Administração pela UAM, MBA pela FIA em Riscos de Fraude e Compliance e Especializado em LGPD pela Data Privacy Brasil. Realiza consultoria e projetos de segurança condominial, corporativa e, adequação de LGPD e Compliance.

Dra. Patricia Punder e Dr. Fabio David - Punder Advogados