Com o advento da Lei Geral de Proteção de Dados (LGPD), uma das principais preocupações em comum por parte das empresas passou a ser, justamente, o tratamento de dados pessoais. E essa demanda se confunde com uma problemática que se agrava a cada dia, que é a atuação cada vez mais ostensiva de cibercriminosos, que tentam a todo o momento e por maneiras diversas invadir os sistemas de companhias de todos os portes para ter acesso às informações de seus públicos.
“A pandemia impulsionou as tentativas de invasões hackers. Este período fomentou a digitalização de diversas organizações, pública e privada, e fez com que todo mundo ficasse mais dependente da internet”, avalia o presidente da Comissão de Privacidade e Proteção de Dados da OAB-SP, Solano de Camargo. “Este sempre foi um desafio para as empresas, mas a pandemia de ataques hackers foi proporcional à própria pandemia da covid-19.”
O que fazer no caso de vazamento de dados?
Em palestra realizada na mais recente edição do Futurecom 2022, o especialista deu importantes referências a respeito dos primeiros passos a serem dados em caso de uma invasão sistêmica ou se houver a suspeita de vazamento de dados pessoais. Sem revelar nomes, ele citou o exemplo de uma empresa, atendida por seu escritório, que fora acusada de vazar dados de seus clientes. Neste cenário, ele destacou três passos fundamentais para agir neste tipo de situação.
“A primeira coisa é fazer um relatório de impacto, o DPIA (Data Protection Impact Assessment) como é falado na União Europeia, que deve ser feito pelo gestor da área de TI da empresa. Nesta etapa, é preciso fazer uma varredura para identificar um eventual vazamento, se há vírus instalado ou se houve um mal uso de senhas”, orientou Camargo. “O passo seguinte é fazer um boletim de ocorrência quando se detecta um ato ilícito. A melhor governança, neste caso, é levá-lo ao conhecimento das autoridades, neste caso da Polícia Civil. Como nem todas as delegacias estão preparadas para lidar com esse tema, é preciso solicitar a realização de um BO de preservação de direitos.”
O terceiro passo fundamental, segundo o advogado, é comunicar todos os seus públicos sobre o ocorrido. “Pode ser um simples e-mail. O objetivo é alertar as pessoas que tiveram seus dados expostos para que não caiam em tentativas de golpes. Não pode esconder o ´sol com a peneir´. É isso que a LGPD mais criminaliza”, alertou.
Foco na responsabilização das empresas pelo vazamento de dados
Em sua explanação, Solano de Camargo avaliou que a LGPD, praticamente, superestima a responsabilidade das empresas, criando uma situação que é oriunda da experiência da UE, de que as empresas devem ser responsabilizadas, objetivamente, por questões de vazamento.
“Mas, a lei não observou os maiores agentes causadores de vazamento de dados, que são os hackers. Em geral, nossas leis são muito brandas com os hackers. A LGPD é muito severa com as empresas, que normalmente são vítimas das invasões”, observou. “Sem contar que o sistema de proteção de dados no Brasil, pela LGPD, é linkado com o macrossistema de proteção de defesa do consumidor. Isso significa que qualquer cidadão pode reclamar de mal uso dos dados em um Procon, por exemplo, a partir do seu domicílio. O ônus da LGPD sobrou mais para as empresas privadas, porque os órgãos públicos não pagam multa, de acordo com a LGPD.”
As raízes da LGPD
Em sua palestra, Solano de Camargo ainda lembrou que a agenda de tratamento de dados pessoais nasceu na Europa, com grande contribuição da Alemanha — fortemente afetada pela atuação do nazismo, que lançava mão dos dados para perseguir as minorias. “Foi em 1970, no estado alemão de Hessen, que foi aprovada a primeira lei de proteção de dados do mundo. A partir daí, essa pauta foi evoluindo na União Europeia até se chegar à GDPR (General Data Protection Regulation), que é a principal referência da LGPD. E a nossa lei seguiu o princípio da legislação europeia, de considerar os dados pessoas como um direto fundamental. O Brasil, em em fevereiro deste ano, positivou na Constituição, no artigo 5º, a classificação da proteção de dados pessoais como um direito fundamental do cidadão.”
Camargo ainda explicou que as referências captadas da GDPR também provêm do seu artigo 45, que estabelece que qualquer empresa que faça negócios na União Europeia só pode coletar dados desde que esteja situado em uma jurisdição cujo grau de proteção da privacidade seja semelhante à da própria UE. “Como ninguém pode abrir mão de ter relações comerciais com a região, isso significou uma exportação desse regulamento para o mundo inteiro”, analisou o especialista.
Quer conferir o painel na íntegra e assistir outros conteúdos apresentados no Futurecom 2022? Adquira já seu acesso para a plataforma Futurecom Xperience!