LEI DE PROTEÇÃO DE DADOS PESSOAIS NO BRASIL REGULA USO, COMPARTILHAMENTO E RESPONSABILIDADE COM INFORMAÇÕES SENSÍVEIS

Finalmente foi aprovado o projeto de lei de tratamento e proteção de dados pessoais, que deve vigorar a partir do próximo ano. O texto final combina propostas anteriores – o PL 40602012, do legislativo, e5276/2016, do executivo – e contribuições de 13 audiências públicas temáticas. A legislação brasileira segue princípios semelhantes aos da lei europeia (GDPR, vigente a partir de maio de 2018), mas tem uma abrangência distinta em relação aos dados protegidos. A lei brasileira também é mais aberta em relação à localização e soberania de dados, embora imponha regras de auditoria e controle definidas.

Apesar de a decisão ter sido retardada pelas turbulências no Congresso nesta legislatura, o setor empresarial, as comunidades de TI e organizações sociais têm pressionado para a definição de um marco legal, por vários motivos. Um deles é a repercussão dos sucessivos escândalos de vazamento de dados, que desperta atenção pública ao tema. A regulação no bloco europeu, evidentemente, tem vários efeitos – determina a forma com que empresas europeias operam em todo o mundo; restringe as parcerias internacionais a quem for capaz de operar compliant à GDPR; e redefinem tanto os planos de negócios quanto as decisões técnicas. Em uma economia baseada em dados, referência legal e regulatória é também fundamental para as decisões de investimentos. Por exemplo, muitas aquisições de empresas têm como principal ativo visado a base de dados. Portanto, para dimensionar o retorno, o investidor precisa saber o que pode ou não fazer com esses dados. O maior impacto, contudo, é que, à medida que o estado e a sociedade atribuem valor à proteção de dados, tanto a qualidade ética das condutas (a cultura da empresa) quanto a eficiência das políticas de compliance e segurança passam a pesar ainda mais em reputação, market share, valor de mercado e resultados das companhias.

O que é dado sensível e as mudanças no gerenciamento

Conforme o PL aprovado, são objeto de proteção os dados processados ou coletados em território nacional, ou que sirvam para a oferta de bens e serviços no mercado brasileiro. O conceito de “dado sensível” é bem abrangente e inclui metadados como endereço IP, localização, além de informações claramente pessoais.

Em relação a dados anonimizados, o PL impõe a garantia de que não possam ser revertidos, para identificação do dado original, com “os meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”.

A lei brasileira e a GDPR têm definições e mecanismos distintos de classificação de dados dos cidadãos sob proteção. Para empresas com operação multinacional, contudo, não deve ser difícil integrar os frameworks de compliance, uma vez que os conceitos gerenciais são comuns. E, conforme o setor, os registros nas mesmas bases estão sujeitos a outras regulações, como, por exemplo, PCI para dados em transações financeiras.

Na prática, os sistemas de classificação, controle de acesso, proteção e auditoria dos dados precisam incluir recursos que facilitem a implementação das melhores práticas impostas por cada regulador. Nesse sentido, a abordagem de alto nível de soluções como DLP e CASB – que olham a segurança do dado em si, independente de onde resida ou trafegue – não apenas mitiga riscos de inconformidade, como também permite identificar sinergias que reduzam o custo de compliance.

Direitos e impacto nos negócios

Os princípios de Finalidade e Consentimento norteiam tanto a GDPR quanto e lei brasileira. Em resumo, torna-se ilegal o uso ou a transferência de dados pessoais para fins que não forem expressamente autorizados pelo cidadão.

“O consentimento deverá se referir a finalidades determinadas, sendo nulas as autorizações genéricas para o tratamento de dados pessoais”, explicita o inciso 4º do artigo 8. “O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado”, diz o inciso seguinte.

Segundo o artigo 48, é obrigada a notificação de incidentes de vazamento ou violação ao “órgão competente”, que determinará ou não a comunicação pública aos titulares dos dados e outras partes interessadas. O artigo 49 admite uma atenuação de eventuais sanções, caso a organização tenha demonstrado intenção, com boas práticas e planos de ação auditados, de prevenção e minimização de danos.

Transferências internacionais e flexibilidade para multicloud global

Embora tenha passado de 25 a 62 artigos, entre o projeto de 2012 e o substitutivo agora aprovado, a lei não entra em detalhes sobre localização e soberania de dados. O próprio artigo 3º, que tipifica os dados sob proteção, deixa claro que a aplicação das regras é  “independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”.

Os artigos que tratam da transferência internacional de dados são relativamente flexíveis; desde que cumpridas as regras de finalidade e consentimento, não há restrições gerais ao armazenamento ou tratamento fora do país. Entretanto, os artigos 34 e 35 deixam a cargo do “órgão competente” ratificar legislações nacionais, códigos de conduta de corporações globais e outros critérios para regular as transferências internacionais.

“Houve a preocupação que fosse uma lei tecnológica que não iniba ou se torne obsoleta”, diz o deputado Orlando Silva, relator do substitutivo. De fato, por ter a ambição de ser uma regulação geral, a lei não entre em detalhes como localização e soberania de dados. Isso não significa, contudo, que os gestores prescindam de visibilidade sobre a circulação de dados em infraestrutura própria, em IaaS ou PaaS, pois regulações específicas, como a resolução do Banco Central que normatiza o uso de nuvens pelos bancos, exigem controles mais granulares.

Desafios a TI e oportunidade de sinergia entre segurança e negócios

Resultado de muito debate e colaboração, as entidades civis, o setor produtivo e os parlamentares responsáveis destacam que a lei atende ao mesmo tempo garantia de direitos individuais e segurança jurídica para investimentos. “Com a aprovação da lei de dados pessoais, o Brasil pode completar o ‘tripé regulatório’ para a cidadania online: uma Lei de Acesso à Informação, um Marco Civil da Internet e uma Lei Geral de Proteção de Dados Pessoais”, definem os advogados do Idec (Instituto Brasileiro de Defesa do Consumidor). “A aprovação é fundamental para atrair grandes empresas de tecnologia de informação e gigantes .com para o país, tendo em vista que blocos, como a União Europeia, exigem que o país tenha legislação compatível para que se permita a transferência internacional de dados. O marco legal brasileiro deve atrair novos investimentos nessa área”, argumenta o relator na Câmara.

Do ponto de vista de segurança da informação, a nova lei reforça a necessidade de abordagens eficazes de compliance, com todas as disciplinas e ferramentas de classificação de informações; visibilidade fim a fim do dado; gerenciamento granular de acesso; e gestão do aspecto humano das interações com os dados. A obrigação legal dá relevância e prazo a tudo isso. Pode ser um momento de aproveitar a atenção por parte das áreas de negócios para estender o valor das informações extraídas de ferramentas como DLP, CASB e UEBA. É fato que mais um requisito de compliance representa trabalho para as já sobrecarregadas equipes de segurança e risco. Em contrapartida, o Jurídico se sensibiliza com as tipificações, o Financeiro com as multas, e os diretores com a possibilidade de responsabilização pessoal.

Ao mesmo tempo em que se ajusta a segurança e a conformidade à regulação, uma aplicação interna do “princípio da finalidade” pode orientar também ajustes no escopo dos projetos. Ou seja, por que proteger determinado dado se determinado usuário pode cumprir suas atividades com dado anonimizado ou informações não sensíveis? Com o ferramental certo e uma boa interlocução entre as áreas de tecnologia e negócios, os clientes que conseguem juntar os recursos de visibilidade e automação com uma estratégia moderna de governança de dados conseguem simplificar processos, minimizar riscos e reduzir custos.