O Senado aprovou um projeto de lei que aborda a proteção de dados pessoais dos consumidores e também as obrigações das empresas no que se refere ao uso e a coleta de dados dos clientes. A lei deve ser sancionada nos próximos dias e irá mudar a forma como as empresas e consumidores lidam com a segurança da informação.
O projeto tem vários pontos parecidos com o GDPR, regulamentação que entrou em vigor na União Europeia este ano, e tem o intuito de proteger os dados pessoais dos clientes e punir as empresas que não têm proteção adequada ou fazem mau uso das informações. Atualmente, na legislação brasileira, as empresas não têm muitas regras a cumprir sobre quais dados podem coletar ou como esses dados podem ser usados, compartilhados ou até vendidos.
Quando sancionada a lei, as empresas só poderão coletar e processar dados com o aval do cliente, que também poderá pedir a revogação do consentimento de uso de informações a qualquer momento ou exigir que os seus dados sejam apagados da base. Em caso de vazamento de dados os clientes terão que ser notificados e toda a cadeia poderá sofrer punição. Empresas que não cumprirem as regras poderão receber multas que podem chegar a 2% do faturamento ou até R$ 50 milhões por infração.
A necessidade de leis para fazerem com que as empresas sejam mais responsáveis pelos dados que coletam e processam é algo que já existe há muito tempo. Na verdade, estamos bastante atrasados nesse assunto. Mais de cem países já têm leis que visam proteger os dados das pessoas e, no Brasil, este projeto ficou em debate por mais de dois anos.
O fato não é novo, mas a obrigatoriedade muda tudo. É hora de se mexer e começar a se preparar para atender as exigências legais o quanto antes. E o tempo será bastante curto. A lei diz que as empresas terão 18 meses para se adaptarem e comprimirem as regras. No entanto, um projeto de classificação de dados demora cerca 12 meses para ser implementado.
Antes de sair por aí comprando e implementando soluções de segurança, é preciso avaliar qual é a real postura de segurança da sua empresa. A segurança envolve mais do que produtos, ela depende de tecnologias, processos e pessoas. As soluções são necessárias, a integração entre elas também, mas os processos e as pessoas não são menos importantes.
Se os processos não estiverem bem alinhados e as pessoas não forem capacitadas, a tecnologia sozinha não irá funcionar. Antes de pensar em qual é o melhor produto, é preciso avaliar quais são as vulnerabilidades e como elas devem ser tratadas. Uma análise que englobe tanto a tecnologia quanto a governança ajudará a apontar onde estão as vulnerabilidades, traçar metas para endereçar os problemas mais urgentes e direcionar investimentos de forma mais assertiva.
*Jeferson Propheta é diretor geral da McAfee no Brasil
