Quando a Lei Geral de Proteção de Dados foi sancionada, um dos pontos que mais chamou a atenção foi o fato da criação de uma Autoridade Nacional de Proteção de Dados ter sido vetada. A função desse órgão iria muito além de fiscalizar e sancionar, mas orientar empresas sobre como elas poderiam estar em compliance para quando a LGPD entrar em vigor em fevereiro de 2020. Além disso, a LGPD foi criada com lacunas propositais a serem preenchidas pela agência posteriormente. Por conta disso, a Lei tornou alguns pontos obscuros, como por exemplo, o perfil do encarregado, suas habilidades e obrigações.
Segundo Paulo Yukio, especialista em Segurança da Informação, o encarregado será o responsável por garantir que o dado está íntegro e irá assumir as consequências em caso de violação ou modificação. “Caberá a ele atender a demanda daquele titular que confiou o dado a você”, resumiu o executivo, durante um painel de debates feito entre especialistas no Congresso Nacional Security Leaders.
De acordo com o executivo, o fato de alguns CSOs e CISOs estarem acumulando esse papel pode gerar conflito de interesse e é por isso que é necessária a criação de um órgão para dar base legal e explicar mais sobre o cargo. “A raposa não pode estar com a chave do galinheiro”.
Na visão de Rony Vainzof, Cyber Law and Data Protection, Partner at Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, a Lei é bastante sucinta em relação ao encarregado. “Por conta disso temos que nos basear muito na GDPR para entendermos quais serão suas diretrizes”, afirma.
Ao que consta, o encarregado tem que ser uma pessoa natural, pode ser terceirizado, embora não seja o ideal. Não há restrições sobre acumular funções, mas tem que, de fato, se atentar para não gerar conflito de interesse. Essa pessoa, continua Rony, tem que entender de compliance de proteção de dados, saber das regulações pertinentes ao setor que atua e de governança corporativa.
“Acredito que esse acúmulo de funções será provisório. Esse profissional terá de fazer uma imersão, mergulhar, ter um conhecimento muito aprofundado não apenas da empresa, mas da legislação”, acredita Cristina Sleiman, sócia da Peck Sleiman EDU. A advogada afirma que não se dedicar a esse cargo integralmente pode gerar futuras complicações.
Segundo Arley Brogiato, General Manager Brazil da SonicWall, seria mais fácil que essa pessoa pertença à área de Segurança da Informação. “Não consigo vislumbrar outra pessoa assumindo essa posição”, opinou. Na visão do especialista, este profissional, sendo bem assessorado pela área jurídica, seria o mais indicado para entregar e gerenciar essas informações de forma mais ativa.
Para Yukio, o Chief Digital Officer (CDO) pode ser uma indicação a ocupar o cargo. “Ele é especializado em data privacy, sabe o que é dado, como mexe, opera. É uma questão de se atualizar em relação a lei, governança”.
Como deve ser a agência fiscalizadora?
Coriolano Camargo, coordenador do Grupo de Estudos de Direito Digital e Compliance da FIESP e CIESP, defende a criação de uma agência privada para essa finalidade. “A indústria deve estar na vanguarda, a frente dessas decisões. Muitas vezes, é preciso deixar o governo a margem dessas questões”, disse. Segundo o advogado, a criação de mais um órgão poderia resultar em aumento de impostos para o contribuinte, além de muitos não serem qualificados nem terem a visão da empresa.
“Sendo uma entidade política muitas vezes, me preocupa o fato de não ser um órgão paritário, não composto por membros da academia, da indústria comercial, da segurança da informação, de setores representativos do mercado”, argumentou. Segundo Coriolano, essa Lei vem para maximizar negócios, incentivar a criatividade digital e poderia ser absorvida por outras estruturas já qualificadas, como o Ministério Público, OAB, entre outras.
“Tem que enxergar a Lei com a visão de evolução, inovação e continuidade de negócios digitais”, concorda Rony Vainzof. Além disso, o especialista afirma que, sem uma autoridade independente, o Brasil corre o risco de não ser chancelado pela União Europeia e outros países que têm Leis de proteção de dados, para o fluxo dessas informações com menos burocracia. “Tem que ser uma agência com visão multisetorial e nascer com um caráter de construção colaborativa, e não apenas com o objetivo de fiscalizar e sancionar, senão tende a perder credibilidade”.
Para Cristina, independentemente de ser uma agência privada ou governamental, como sugerida por Coriolano, importante é que ela seja criada. “Uma casa sem dono vira bagunça, todo mundo vai querer fiscalizar, ditar regras”. Até que ela seja criada, é possível que o Ministério Público absorva algumas responsabilidades, como o dever do reporte em caso de vazamento de dados, já que a instituição tem se dedicado a essa iniciativa mesmo antes da criação da Lei.
Primeiros passos
Segundo Paulo Yukio, um dos primeiros passos para estar em compliance com a LGPD é elaborar um Comitê de Data Protection onde todos os responsáveis por algum tipo de dado devem fazer parte. “É preciso ter um inventário para ver o que tem dentro de casa para mensurar os esforços. O prazo é curto e se não tiver inventariado para aquilo que é o escopo da Lei, o desafio será maior ainda”. Feito isso é preciso criar um time cuja finalidade será se adequar à lei. Essa equipe terá que ser suportada pelo jurídico, que irá nortear as ações.
A classificação de informações terá um papel ainda mais fundamental de agora em diante e a tecnologia e as soluções de tipificação serão essenciais. “A indústria pode contribuir muito nesse processo, provendo visibilidade do tráfego. Tem muita coisa que passa pela rede e os administradores não têm noção do que está acontecendo, inclusive na Nuvem”, disse Arley Brogiato.
Segundo Murilo Fernandes, Commercial Manager da E-VAL Tecnologia, a LGPD exigirá mais critérios dos dados que serão coletados a partir de agora, uma vez que quando ele está na empresa é de responsabilidade da empresa cuidar dele. “No entanto, não faltam soluções para protege-lo, tem muitas ferramentas para isso”.
“A LGPD inverterá o pensamento de coleta massiva de dados para coleta mínima e necessária”, concorda Rony. A hora agora é, segundo ele, de se pensar no binômio necessidade e proporcionalidade: em cada projeto estudar a necessidade e a proporcionalidade no tratamento de dados. “Os cidadãos buscarão empresas que cuidam dos seus dados e os têm de maneira segura”.
Arley acredita que até mesmo um selo pode ser lançado, visando informar o público de que tal companhia está em conformidade com a nova Lei. “É muito importante que o cidadão se conscientize sobre a Lei e o quanto ele quer compartilhar das suas informações com os demais”, acrescentou Murilo Fernandes.
Espera-se que a nova Lei seja uma oportunidade para trazer mais budget para a área de Segurança, especialmente no que diz respeito à proteção de dados. “Será uma chance de alavancar mais projetos voltados para a privacidade de dados”, acredita Paulo Yukio, já que a chance de ser penalizado é alta.
“Sai mais barato buscar a adequação à Lei que arcar com as consequências depois”, afirma Cristina. No entanto, ela destaca que além de tecnologias e processos, é preciso investir na capacitação dos profissionais envolvidos, na sensibilização e conscientização de toda a organização.
“Fiquem atentos ao vazamento de dados. A LGPD é um caminho sem volta. Todos têm de estar atentos às penalidades. Adequar-se a Lei é um trabalho gigantesco, portanto não deixem para depois. Independente de ter uma agência criada ou não, é melhor começar a agir agora e se ajustar depois”, resumiu Paulo Yukio.
