É inegável a validade e a necessidade de proteção dos dados pessoais. O princípio é que o cidadão é proprietário dos seus dados e, como é normal, para utilizar a propriedade de alguém, precisamos obter sua permissão. Cansamos de ouvir que empresas e organizações dos mais diversos segmentos obtiveram informações sensíveis dos clientes / usuários brasileiros vazadas.
A questão já estava bastante regulada por várias leis, como a Lei 12.965 – Marco Civil da Internet, a Lei 13.188 – Lei de Imprensa, a Lei 8.078 – Código do Consumidor, a Lei 9.279 – Propriedade Intelectual, o Código Civil, o Código Penal e outras, e agora surgiu a nova Lei Geral de Proteção de Dados, que visa compatibilizar o arcabouço legal brasileiro com o GDPR europeu.
No entanto, os impactos que a LGPD pode trazer para as empresas brasileiras, em especial as startups, as micro, pequenas e médias empresas, muito vulneráveis quanto às penalidades e prejuízos à imagem da marca podem ser enormes. Vale ressaltar que a LGPD afeta diretamente as empresas do setor de Tecnologia da Informação, mas se irradia para todos os setores empresariais e também para o terceiro setor (entidades de classe, ONGs, associações, fundações). Pela experiência e observação, podemos delinear dois grupos de entes econômicos: um que já teve seus dados vazados e outro que ainda terá seus dados vazados.
Fazendo aqui o papel de advogado do diabo, evidenciando obviamente a legitimidade e relevância da Lei, temos um cenário perigoso para desenvolvedores de tecnologia nacional, decorrência da responsabilidade solidária, juridicamente aplicável à LGPD. Fazendo um exercício de imaginação, um grande varejista nacional de comércio eletrônico sofre uma invasão de cibercriminosos e dados pessoais de dez mil de seus clientes vazam. Conforme manda a Lei, a empresa comunica imediatamente à ANPD – Agência Nacional de Proteção de Dados, bem como notifica todos os envolvidos, orientando-os a trocar suas senhas e eventualmente cancelar seus cartões de crédito.
À despeito de tomar as providencias como reza a LGPD, confirmar que nenhum dos seus clientes foi prejudicado, a ANPD, ainda assim, multa a empresa de e-commerce em 50 milhões de reais. Para se defender, o e-commerce contrata uma das mais importantes consultorias do país, que identifica que o incidente aconteceu porque houve um problema com a atualização do software ERP, fornecido por uma empresa média, brasileira, de tecnologia.
Essa empresa, por sua vez, é obrigada a contratar outra consultoria de alto nível para se defender, que confirma que o vazamento ocorreu, devido a uma vulnerabilidade do software de ERP, porem que ele não estava devidamente atualizado com a última versão, que havia resolvido essa vulnerabilidade. O responsável pela manutenção do software na empresa de e-commerce é uma pequena empresa de consultoria, devidamente certificada pelo fabricante, e que seria a responsável pela falta de atualização.
No frigir dos ovos, todos os envolvidos saem chamuscados, além dos severos danos à imagem das marcas, a varejista é multada em 50 milhões de reais por ter infringido a LGPD. Exige indenização da empresa de TI porque o vazamento aconteceu por conta de uma vulnerabilidade de seus softwares, que por sua vez, responsabiliza a consultoria, cancela a autorização para prestar serviços no seu software e que evidentemente acaba não tendo recursos para arcar com a multa e acaba pedindo falência.
Este é um exercício de futurologia que certamente vai se tornar realidade, só não sabemos quando. Não tenho dúvidas disso e, para o bem da nossa crescente e importante indústria de software, esses impactos precisariam ser equacionados, para não tornar a vida das MPMEs de tecnologia impossível no Brasil.
Olhando o que acontece na Europa, o volume de multas aplicados por lá, com a General Data Protection Regulation (GDPR), é bilionário e pode ser acompanhado pelo site Enforcement Tracker. As maiores punições pecuniárias aconteceram na Inglaterra e na França. De acordo com o Information Commissioner (ICO), em julho de 2019, a British Airways foi multada em 204 milhões de euros por seus parâmetros técnicos e organizacionais serem insuficientes para garantir a segurança da informação (Art. 32 GDPR). No mesmo mês, a Marriott International, Inc. teve que desembolsar 110 milhões de euros, pelo mesmo motivo.
A Autoridade Francesa de Proteção de Dados (CNIL) multou o Google, no início de 2019, em 50 milhões de euros. O motivo foi a não observância dos artigos 13, 14 e 6 da GDPR: considerou que sua base jurídica era insuficiente para o processamento de dados privados dos seus usuários. Este ano, as maiores multas foram aplicadas ao Google, TIM, Austrian Post, Wind Ter e Deutsch Wohnen.
E os dados sobre vulnerabilidades não são nada favoráveis. Estudo da Barracuda Networks, identificou que 46% das organizações sofreram recentemente algum tipo de incidente de segurança, e 51% identificaram aumento no número de phishing, armadilha, enviada por e-mail, que objetiva roubar dados pessoais. O pior de tudo é que muitas dessas brechas acontecem dentro da própria empresa. De acordo com o Global Data Risk Report, feito pela Varonis, em média, todos os funcionários das 785 organizações de diversos segmentos e tamanhos analisadas pelo estudo, tiveram acesso a 17 milhões de arquivos e 1,21 milhão de pastas. 53% das empresas encontraram mais de 1 mil arquivos confidenciais acessíveis a todos os colaboradores.
Na média, essas companhias encontraram mais de meio milhão (534.465) de arquivos sensíveis, contendo informações de cartão de crédito, registros de saúde ou informações pessoais sujeitas a regulamentações como GDPR, HIPAA e PCI. Arquivos e pastas expostos estão acessíveis a todos os funcionários e possivelmente a criminosos.
A desatualização de cadastros é outro problema: 53% dos dados dos empregados dessas empresas estavam desatualizados e 58% delas encontraram mais de um milhar de contas de empregados desatualizadas. Essas contas, que poderiam acessar arquivos importantes, também são conhecidas como “usuários fantasmas” pois são contas habilitadas, que parecem inativas e que geralmente pertenciam a ex-empregados, que não estão mais na organização. Com tantas vulnerabilidades e tantas penalidades, a pergunta que fazemos é, no fim das contas quem vai pagar o pato?
Artigo escrito por: Francisco Camargo: presidente do Conselho Deliberativo da ABES – Associação Brasileira de Empresas de Software, empresário, fundador da distribuidora latino-americana CLM.