Existindo uma opini\u00e3o consensual sobre determinado assunto, quando se faz uma an\u00e1lise mais cuidadosa dos detalhes se chega \u00e0 conclus\u00e3o de que os fatos afinal desmentem aquilo que t\u00ednhamos como certo, ent\u00e3o \u00e9 caso para exclamar: \u201cO diabo estava nos detalhes!\u201d<\/p>\n
Por Francisco Camargo*<\/p>\n
\u00c9 ineg\u00e1vel a validade e a necessidade de prote\u00e7\u00e3o dos dados pessoais. O princ\u00edpio \u00e9 que o cidad\u00e3o \u00e9 propriet\u00e1rio dos seus dados e, como \u00e9 normal, para utilizar a propriedade de algu\u00e9m, precisamos obter sua permiss\u00e3o. Cansamos de ouvir que empresas e organiza\u00e7\u00f5es dos mais diversos segmentos obtiveram informa\u00e7\u00f5es sens\u00edveis dos clientes \/ usu\u00e1rios brasileiros vazadas. <\/p>\n
A quest\u00e3o j\u00e1 estava bastante regulada por v\u00e1rias leis, como a Lei 12.965 – Marco Civil da Internet, a Lei 13.188 \u2013 Lei de Imprensa, a Lei 8.078 – C\u00f3digo do Consumidor, a Lei 9.279 – Propriedade Intelectual, o C\u00f3digo Civil, o C\u00f3digo Penal e outras, e agora surgiu a nova Lei Geral de Prote\u00e7\u00e3o de Dados, que visa compatibilizar o arcabou\u00e7o legal brasileiro com o GDPR europeu. <\/p>\n
No entanto, os impactos que a LGPD pode trazer para as empresas brasileiras, em especial as startups, as micro, pequenas e m\u00e9dias empresas, muito vulner\u00e1veis quanto \u00e0s penalidades e preju\u00edzos \u00e0 imagem da marca pode ser muito grande. Vale ressaltar que a LGPD afeta diretamente as empresas do setor de Tecnologia da Informa\u00e7\u00e3o, mas se irradia para todos os setores empresariais e tamb\u00e9m para o terceiro setor (entidades de classe, ONGs, associa\u00e7\u00f5es, funda\u00e7\u00f5es).<\/p>\n
Pela experi\u00eancia e observa\u00e7\u00e3o, podemos delinear dois grupos de entes econ\u00f4micos: um que j\u00e1 teve seus dados vazados e outro que ainda ter\u00e1 seus dados vazados.<\/p>\n
Fazendo aqui o papel de advogado do diabo, evidenciando obviamente a legitimidade e relev\u00e2ncia da Lei, temos um cen\u00e1rio perigoso para desenvolvedores de tecnologia nacional, decorr\u00eancia da responsabilidade solid\u00e1ria, juridicamente aplic\u00e1vel \u00e0 LGPD. <\/p>\n
Fazendo um exerc\u00edcio de imagina\u00e7\u00e3o, um grande varejista nacional de com\u00e9rcio eletr\u00f4nico sofre uma invas\u00e3o de cibercriminosos e dados pessoais de dez mil de seus clientes vazam. Conforme manda a Lei, a empresa comunica imediatamente \u00e0 ANPD – Ag\u00eancia Nacional de Prote\u00e7\u00e3o de Dados, bem como notifica todos os envolvidos, orientando-os a trocar suas senhas e eventualmente cancelar seus cart\u00f5es de cr\u00e9dito.<\/p>\n
\u00c0 despeito de tomar as providencias como reza a LGPD, confirmar que nenhum dos seus clientes foi prejudicado, a ANPD, ainda assim, multa a empresa de e-commerce em 50 milh\u00f5es de reais. Para se defender, o e-commerce contrata uma das mais importantes consultorias do pa\u00eds, que identifica que o incidente aconteceu porque houve um problema com a atualiza\u00e7\u00e3o do software ERP, fornecido por uma empresa m\u00e9dia, brasileira, de tecnologia.<\/p>\n
Essa empresa, por sua vez, \u00e9 obrigada a contratar outra consultoria de alto n\u00edvel para se defender, que confirma que o vazamento ocorreu, devido a uma vulnerabilidade do software de ERP, porem que ele n\u00e3o estava devidamente atualizado com a \u00faltima vers\u00e3o, que havia resolvido essa vulnerabilidade. O respons\u00e1vel pela manuten\u00e7\u00e3o do software na empresa de e-commerce \u00e9 uma pequena empresa de consultoria, devidamente certificada pelo fabricante, e que seria a respons\u00e1vel pela falta de atualiza\u00e7\u00e3o.<\/p>\n
No frigir dos ovos, todos os envolvidos saem chamuscados, al\u00e9m dos severos danos \u00e0 imagem das marcas, a varejista \u00e9 multada em 50 milh\u00f5es de reais por ter infringido a LGPD. Exige indeniza\u00e7\u00e3o da empresa de TI porque o vazamento aconteceu por conta de uma vulnerabilidade de seus softwares, que por sua vez, responsabiliza a consultoria, cancela a autoriza\u00e7\u00e3o para prestar servi\u00e7os no seu software e que evidentemente acaba n\u00e3o tendo recursos para arcar com a multa e acaba pedindo fal\u00eancia.<\/p>\n
Este \u00e9 um exerc\u00edcio de futurologia que certamente vai se tornar realidade, s\u00f3 n\u00e3o sabemos quando. N\u00e3o tenho d\u00favidas disso e, para o bem da nossa crescente e importante ind\u00fastria de software, esses impactos precisariam ser equacionados, para n\u00e3o tornar a vida das MPMEs de tecnologia imposs\u00edvel no Brasil.<\/p>\n
Olhando o que acontece na Europa, o volume de multas aplicados por l\u00e1, com a General Data Protection Regulation (GDPR), \u00e9 bilion\u00e1rio e pode ser acompanhado pelo site Enforcement Tracker. As maiores puni\u00e7\u00f5es pecuni\u00e1rias aconteceram na Inglaterra e na Fran\u00e7a. De acordo com o Information Commissioner (ICO), em julho de 2019, a British Airways foi multada em 204 milh\u00f5es de euros por seus par\u00e2metros t\u00e9cnicos e organizacionais serem insuficientes para garantir a seguran\u00e7a da informa\u00e7\u00e3o (Art. 32 GDPR). No mesmo m\u00eas, a Marriott International, Inc. teve que desembolsar 110 milh\u00f5es de euros, pelo mesmo motivo.<\/p>\n
A Autoridade Francesa de Prote\u00e7\u00e3o de Dados (CNIL) multou o Google, no in\u00edcio de 2019, em 50 milh\u00f5es de euros. O motivo foi a n\u00e3o observ\u00e2ncia dos artigos 13, 14 e 6 da GDPR: considerou que sua base jur\u00eddica era insuficiente para o processamento de dados privados dos seus usu\u00e1rios.<\/p>\n
Este ano, as maiores multas foram aplicadas ao Google, TIM, Austrian Post, Wind Ter e Deutsch Wohnen.<\/p>\n
Gr\u00e1fico dispon\u00edevel em: https:\/\/dataprivacymanager.net\/5-biggest-gdpr-fines-so-far-2020\/<\/p>\n
E os dados sobre vulnerabilidades n\u00e3o s\u00e3o nada favor\u00e1veis. Estudo da Barracuda Networks, identificou que 46% das organiza\u00e7\u00f5es sofreram recentemente algum tipo de incidente de seguran\u00e7a, e 51% identificaram aumento no n\u00famero de phishing, armadilha, enviada por e-mail, que objetiva roubar dados pessoais.<\/p>\n
O pior de tudo \u00e9 que muitas dessas brechas acontecem dentro da pr\u00f3pria empresa. De acordo com o Global Data Risk Report, feito pela Varonis, em m\u00e9dia, todos os funcion\u00e1rios das 785 organiza\u00e7\u00f5es de diversos segmentos e tamanhos analisadas pelo estudo, tiveram acesso a 17 milh\u00f5es de arquivos e 1,21 milh\u00e3o de pastas. 53% das empresas encontraram mais de 1 mil arquivos confidenciais acess\u00edveis a todos os colaboradores. Na m\u00e9dia, essas companhias encontraram mais de meio milh\u00e3o (534.465) de arquivos sens\u00edveis, contendo informa\u00e7\u00f5es de cart\u00e3o de cr\u00e9dito, registros de sa\u00fade ou informa\u00e7\u00f5es pessoais sujeitas a regulamenta\u00e7\u00f5es como GDPR, HIPAA e PCI. Arquivos e pastas expostos est\u00e3o acess\u00edveis a todos os funcion\u00e1rios e possivelmente a criminosos.<\/p>\n
A desatualiza\u00e7\u00e3o de cadastros \u00e9 outro problema: 53% dos dados dos empregados dessas empresas estavam desatualizados e 58% delas encontraram mais de um milhar de contas de empregados desatualizadas. Essas contas, que poderiam acessar arquivos importantes, tamb\u00e9m s\u00e3o conhecidas como \u201cusu\u00e1rios fantasmas\u201d pois s\u00e3o contas habilitadas, que parecem inativas e que geralmente pertenciam a ex-empregados, que n\u00e3o est\u00e3o mais na organiza\u00e7\u00e3o.<\/p>\n
Com tantas vulnerabilidades e tantas penalidades, a pergunta que fazemos \u00e9, no fim das contas quem vai pagar o pato?<\/p>\n
*Francisco Camargo \u00e9 presidente do Conselho Deliberativo da ABES \u2013 Associa\u00e7\u00e3o Brasileira de Empresas de Software, empres\u00e1rio, fundador da distribuidora latino-americana CLM. <\/p>\n