Empresas e governos buscam mais proteção no mundo digital

Aprovada a Lei Geral de Proteção de Dados, as empresas correm para se adequar às novas regras — tema que o EXAME Fórum Segurança da Informação debateu

Em julho de 2011, a gigante de tecnologia Microsoft realizou um congresso interno em que divulgou um vídeo chamado “Gmail Man”, uma cutucuda no serviço de e-mail de um de seus principais concorrentes, o Google. O vídeo brincava com um carteiro fictício, que lia a correspondência das pessoas. O Gmail Man era invasivo, procurava por palavras-chave e oferecia produtos com base no que as pessoas enviavam umas às outras. No final, a Microsoft terminava com uma advertência: “Seu e-mail é seu negócio. O Google o faz o negócio dele”. O intuito era divulgar o Office 365, pacote de aplicativos e e-mail da companhia que seria, pela lógica, menos bisbilhoteiro. O vídeo vazou e virou um fenômeno em círculos da internet que defendiam privacidade.

Algum tempo depois, a Microsoft abraçou a causa e publicou a íntegra em suas páginas nas redes sociais. O que em 2011 era visto como uma ofensa aos direitos de privacidade dos usuários, digno de ser apontado como algo nocivo num vídeo de uma das maiores companhias do setor, hoje não é mais do que uma prática comum no mercado de tecnologia, que utiliza dados dos usuários não só para fins publicitários, mas como o motor de uma série de serviços e aplicativos digitais.

Foi esse tipo de comportamento em relação aos dados privados dos consumidores que motivou uma série de regulações mundo afora — principalmente depois de casos famosos de mau uso dos dados. Entre os mais notórios está o da vigilância estatal que o ex-oficial da inteligência americana Edward Snowden trouxe à tona em 2013. Ele revelou milhares de documentos confidenciais que constituíam um sistema de coleta irrestrita de dados e vigilância de cidadãos americanos e países aliados.

Outro exemplo é o escândalo da empresa britânica Cambridge Analytica, que utilizou indevidamente os dados da rede social Facebook para influenciar as eleições americanas. Entre as regulações, ficou mais conhecido o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), uma lei europeia que regula como empresas podem utilizar, armazenar e compartilhar dados de clientes, funcionários e usuários de sistemas digitais. Durante o EXAME Fórum Segurança da Informação — realizado no dia 22 de agosto, em São Paulo, para debater o tema da privacidade —, Snowden contou sua história, via teleconferência, pela primeira vez a um público do Brasil. Para Snowden, as novas leis podem ser efetivas, se forem devidamente cumpridas (leia a entrevista abaixo).

A lei europeia impulsionou a discussão sobre o assunto no Brasil, que culminou com a criação da Lei Geral de Proteção de Dados (LGPD), sancionada pelo presidente Michel Temer no dia 14 de agosto. Em discussão desde 2010, a lei é importante porque define como as empresas e os órgãos públicos devem tratar os dados pessoais e em que situações as informações podem ser usadas — um aspecto fundamental num mundo em que toda a engrenagem da economia e da comunicação passa pelo ambiente digital.

Agora, as empresas brasileiras terão até fevereiro de 2020 para se adequar às normas. Segundo salientou no fórum o advogado especializado em proteção de dados Marcio Cots, a nova lei mudou a concepção de que as empresas eram as donas dos dados sob sua guarda. “Elas não poderão manter uma base de dados a não ser que o uso das informações esteja enquadrado nas hipóteses previstas na lei”, diz Cots.

É consenso entre especialistas, executivos e advogados que a legislação trará mais segurança, não só para usuários, mas para as empresas, na medida em que unifica uma série de regras que hoje estão espalhadas por diversos códigos e regulamentos, como a Lei de Sigilo Bancário, o Código de Defesa do Consumidor, o Marco Civil da Internet e até a Constituição. A lei garante ao cidadão que possa solicitar às empresas públicas e privadas informações sobre quando, como e por que seus dados são coletados, armazenados e compartilhados. Também será possível pedir a transferência ou a exclusão dos dados armazenados.

Outro ponto importante da nova lei é que ela define o que são dados pessoais e o que são dados sensíveis. Os primeiros são as informações que permitem, de maneira isolada ou agregada, a identificação de uma pessoa ou a categorização de algum tipo de comportamento. Já o segundo tipo são os dados que tratam de características que possam permitir a discriminação dos donos desses dados, como origem étnica, religião, opinião política, estado de saúde, vida sexual — até mesmo os dados que permitam a identificação genética ou biométrica entram nesse aspecto da lei. “Não é uma tarefa fácil.

Definir o conceito de dados pode virar um pesadelo, porque temos uma alta dependência de softwares e de automação. Todos nós dependeremos, mais ou menos, de dados em algum momento”, afirmou Renato Opice Blum, advogado especializado em direito digital, durante o EXAME Fórum Segurança Digital.

Em uma época em que a análise de dados de usuários é uma prática corriqueira, qualquer companhia está sujeita à nova legislação, dos grandes bancos às farmácias que dão descontos vinculados ao número do CPF, ou às empresas que usam biometria para liberar o acesso a edifícios. “Todos os segmentos precisam se adequar à legislação, não são só as empresas que coletam dados digitalmente. Mas os setores que precisam estar mais atentos são o financeiro, pelo grande volume de dados, o de saúde, por causa dos dados sensíveis, a indústria, pela grande quantidade de funcionários, e empresas que trabalham com inovação e utilização de dados”, afirma José Eduardo Pieri, advogado especializado em Direito Digital do escritório Barbosa, Müssnich & Aragão. Algumas empresas já começam a fazer mudanças internas para se adaptar à nova lei. Um exemplo é o banco Itaú. A instituição está trabalhando para reestruturar seus sistemas e facilitar aos clientes que possam pedir a exclusão ou a transferência de seus dados para outra companhia.  “A adaptação a essas regras específicas traz não só uma segurança adicional para o banco, mas para a sociedade”, diz Álvaro Rodrigues, diretor jurídico do Itaú.

A maior restrição não significa que as empresas não possam mais fazer uso de dados pessoais. O ponto, segundo Marcel Leonardi, diretor de políticas públicas do Google no Brasil, é que a partir de agora o tratamento e o uso de dados só pode acontecer se estiver de acordo com um dos dez casos previstos na lei, entre eles: quando há consentimento explícito do usuário, quando o dado é necessário para executar um contrato ou quando há uma obrigação legal ou interesse legítimo, por exemplo. “Quando visitamos um portal de notícias, existem empresas que estão ali rastreando o comportamento do usuário. E isso é legítimo, pode ser feito porque o objetivo desse rastreio é mostrar publicidade e pagar pelo conteúdo disponibilizado”, disse Leonardi durante o fórum.

QUEM FISCALIZA?

Embora esse ponto da legislação tenha sido vetado pelo presidente da República, também está prevista a necessidade de criação de um órgão regulador, a Agência Nacional de Proteção de Dados. O órgão seria responsável por fiscalizar as empresas e aplicar multas e sanções no caso de infrações. O presidente Michel Temer prometeu que criaria a autoridade por Medida Provisória ou projeto de lei do executivo. Para os especialistas, a figura do órgão regulador é essencial para desafogar o Judiciário e trazer celeridade para processos que envolvam dados.

Espera-se que a futura autarquia faça o diálogo com o “encarregado de dados” — funcionário responsável pela política de dados de uma companhia — e estabeleça  melhores práticas para as empresas, algo que vai exigir um investimento alto. A demanda por profissionais de TI deverá aumentar de 20% a 30%. “As empresas terão de se adaptar. O primeiro passo será identificar quais funcionários têm acesso aos dados e onde as informações estão armazenadas para então entender que tipos de dados existem no banco e como eles estão sujeitos à legislação”, disse Marcos Oliveira, presidente da Symantec no Brasil, durante o fórum.

Para Vanessa Fonseca, executiva de ciberestratégia da consultoria Accenture, a nova lei vai incentivar um uso de dados mais responsável. “O consentimento é o ponto central da lei: não quer dizer que não se possa mais usar dados, mas é preciso garantir o consentimento do usuá-rio para utilizar a informação de determinada maneira”, diz Vanessa. Segundo uma pesquisa realizada pela Accenture, empresas líderes já estão atualizando suas políticas de segurança e privacidade de dados. Já os consumidores dizem que até aceitam compartilhar seus dados com as empresas, mas 87% deles esperam uma contrapartida e desejam que a informação seja guardada com segurança.

Os dados são uma maneira de entender melhor o comportamento e a ação dos consumidores. Para Otto Berkes, vice–presidente global de tecnologia da empresa de software CA Technologies, há outro lado dessa moeda, que é o aspecto do mau uso dos dados. É importante que as pessoas entendam que seus dados estão sendo usados, que isso é uma escolha intencional e que há um objetivo nesse uso. “Este é o aspecto crítico dessas leis: dar ao consumidor a escolha de ter benefícios ao compartilhar dados. Antes era uma espécie de Velho Oeste”, diz Berkes. Na visão da jurista Flávia Piovesan, especializada em direitos humanos, que debateu o tema sob a óptica da liberdade, da ética e da segurança durante o EXAME Fórum Segurança da Informação, os parâmetros jurídicos dos ambientes digitais ainda são muito recentes e é cedo para saber quais serão seus impactos. “Sem dúvida, a lei é positiva, mas os marcos regulatórios são recentes e ainda levará algum tempo até que tenhamos estabilizado a oscilação e a ambiguidade na jurisprudência”, disse ela. Ao menos um primeiro e importante passo para assegurar que a privacidade seja respeitada no mundo digital já foi dado.



SNOWDEN: “A ESPIONAGEM SUPEROU O CONTROLE DA DEMOCRACIA”

Para o ex-oficial da inteligência americana Edward Snowden, empresas e governos têm uma capacidade sem precedentes de monitorar a vida das pessoas | FILIPE SERRANO

Edward Snowden é entrevistado pelo editor de EXAME Filipe Serrano: “Interferir em eleições é algo que quase todas as agências de inteligência fazem” | Germano Lüders

Em palestra por teleconferência durante a abertura do EXAME Fórum Segurança da Informação, o ex-oficial de inteligência dos Estados Unidos Edward Snowden disse que ainda é cedo para dizer se as leis de proteção de dados na Europa e no Brasil ajudarão a evitar o uso indiscriminado de dados pessoais por parte de empresas ou órgãos públicos. Isso vai depender de como os tribunais vão aplicar a lei nos casos de violação no futuro e se as empresas de fato vão ser responsabilizadas. Conhecido por revelar detalhes do programa de vigilância em massa dos Estados Unidos em 2013, Snowden vive exilado na Rússia há cinco anos e participou pela primeira vez de um evento brasileiro. Para ele, é preciso garantir que a sociedade tenha maneiras de controlar o que os governos fazem com os dados para garantir uma maior privacidade. “A espionagem superou os mecanismos de controle da democracia”, disse. Leia a seguir os principais trechos da entrevista que ele concedeu durante o evento.

O senhor acredita que estamos em um ponto sem volta e não é mais possível garantir o direito à privacidade?

Essa é a questão central. Estamos em um ponto em que as capacidades técnicas são tão sofisticadas, e a área da nossa vida que pode ser vigiada se tornou tão extensa, que a resistência política é quase impossível. Suponhamos que haja um governo com um aparato crescente de vigilância. Eventualmente ele chegará a um ponto em que poderá monitorar ativistas, opositores, ameaças à segurança política do grupo no poder, e afirmar que faz isso por uma questão de segurança nacional, porque há criminosos, terroristas, revoluções armadas tentando subverter o sistema. Mas não pode dizer como o faz, porque as investigações são secretas. A espionagem superou a capacidade de controle da democracia. Alguém pode monitorar um número enorme de pessoas com uma precisão sem precedentes. É a primeira vez que isso pode acontecer tanto para governos quanto para empresas. Dizem que isso é para nos dar segurança e isso parece ser persuasão.

Devemos nos preocupar com a manipulação das eleições no Brasil? E é possível ter um sistema democrático nesse cenário de vigilância?

Sim, é um ponto fundamental. Mas isso parte do pressuposto de que as eleições sempre foram justas no passado. Falando como alguém que trabalhou na CIA, interferir em eleições é algo que quase todas as agências de inteligência fazem, principalmente em países vizinhos e, especialmente, nos países mais ricos do mundo. Esses programas de monitoramento não são sobre segurança pública, são sobre hackear, sobre prevenir que um inimigo tome o poder em outro país. A influência vai continuar sendo um problema até que criemos um comportamento global para evitar isso. Não pode ser tratada como uma questão nacional. Com isso, se a Rússia fosse pega em uma interferência nas eleições americanas, deveria haver uma cobrança em bloco. O mesmo aconteceria com a influência americana na América Latina ou na Europa.

O Brasil acabou de aprovar uma lei que regula o manuseio de dados pessoais. Essas legislações são  suficientes para proteger a privacidade do usuário?

Teremos de esperar para ver. O que temos até agora com a experiência europeia é que as maiores empresas digitais do mundo, como Facebook e Google, basicamente contratam os advogados mais caros que eles encontram para produzir termos de consentimento que o usuário assina ou assente. Dependerá de como a lei será vista judicialmente. Se os juízes e as cortes multarem as empresas de tecnologia mesmo assim, afetando seu  faturamento global, então a lei da União Europeia pode ser muito efetiva. Mas não sabemos porque não vimos esses casos ainda. O Brasil adotou o mesmo modelo e talvez seja o primeiro país a enfrentar essas questões legais. Mas temos de esperar os casos chegarem à Justiça.

O senhor pagou um preço alto pelas suas revelações. Ainda acredita que sua vida possa estar em risco?

Não penso sobre isso há muito tempo. Não é uma coisa simples de fazer, desafiar os espiões mais poderosos do mundo. Mesmo que estejam violando direitos, eles acham que fazem a coisa certa. Não foi algo seguro. Mas se quisesse segurança eu ainda estaria espionando pessoas em uma sala e ganhando muito dinheiro. O que é certo é mais importante do que o que é seguro. Muitas vezes a decisão moral certa é quebrar a lei.


A SEGURANÇA DIGITAL EM DEBATE

No EXAME Fórum Segurança da Informação, executivos da área de segurança e advogados discutiram os novos desafios do setor

O advogado Renato Opice Blum, Rodrigo Nasser, da consultoria ITU Partners, e Marcel Leonardi, diretor de políticas públicas do Google no Brasil: um debate sobre a nova lei brasileira de proteção de dados | Germano Lüders
O alemão Frank Venjakob, diretor da feira IT Security Expo and Congress (IT-SA): ele falou sobre os cenários para a área de segurança da informação | Germano Lüders
Vitor Sena, gerente de segurança da informação global da Gerdau; o advogado Márcio Cots; Marcos Oliveira, presidente da Symantec no Brasil; e Mário Rachid, diretor-executivo de soluções digitais da Embratel: a governança de dados em discussão | Fávio Santana
A jurista Flávia Piovesan, especializada em direitos humanos: em palestra de encerramento, ela tratou de liberdade e ética no mundo digital | Flávio Santana
A advogada Patrícia Peck; Edilson Osorio Jr., da startup OriginalMy; Márcia Tosta, gerente de segurança da informação do Grupo Boticário; Leonardo Muroya, executivo de cyber security do banco Santander; e Maressa Juricic, gerente sênior de cibersegurança da PwC: como gerenciar a inteligência de proteção de dados | Flávio Santana