“Segurança é a única área em que você precisa de redundância”, afirma especialista; ele explica as limitações da LGPD na proteção de dados pessoais
A LGPD (Lei Geral de Proteção de Dados Pessoais) vem surtindo efeitos no Brasil desde que começou a valer em 2020, sendo usada como base de diversas decisões judiciais. No entanto, devido às constantes invasões a empresas e órgãos do governo – sem falar do megavazamento de CPFs – sentimos que nossos dados ainda estão menos seguros do que deveriam. E agora?
Gwin é especialista em segurança digital da Kzarka, empresa que vem monitorando os desdobramentos do megavazamento de CPFs, entre outras violações de privacidade. Em recente entrevista, Gwin aponta diversos problemas na aplicação da LGPD: ele afirma que a lei depende muito de confiança no Brasil, onde muitas organizações públicas e privadas não querem gastar com segurança digital.
O que diz a LGPD, mesmo?
A LGPD (nº 13.709/2018) entrou em vigor em agosto de 2020, com regras mais claras para quem lida com dados pessoais, sejam físicos ou digitais. Além disso, a lei dá mais poder ao titular dessas informações, porque o consentimento do dono é considerado essencial.
Por exemplo, quando uma empresa ou órgão público pede suas informações, existe a obrigação de informar para você qual a finalidade e a necessidade disso. Você também pode voltar atrás e revogar o consentimento quando quiser; pedir que seus dados pessoais sejam excluídos; e solicitar a transferência deles para outra organização.
As empresas precisam definir um encarregado pela proteção de dados, conhecido como DPO (Data Protection Officer). Além disso, elas devem adotar uma série de medidas, como explica o Ministério Público Federal (MPF):
Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados.
Em caso de descumprimento, a ANPD (Autoridade Nacional de Proteção de Dados Pessoais) tem o poder de aplicar sanções. Pode ser uma advertência, multa diária ou multa única de até 2% do faturamento da empresa, com limite máximo de R$ 50 milhões por infração.
Quais são as limitações da LGPD?
Para Gwin, a LGPD pressupõe que você está fazendo a coisa certa – mas, para garantir mais segurança, ela recomenda os protocolos que devem ser seguidos. Isso inclui local de armazenamento, controle de acesso, entre outros critérios.
Por isso, segundo ele, a lei fica muito limitada a obter dados sobre incidentes de segurança, entender o que aconteceu, ver quem teve acesso, além de determinar a punição para o responsável.
A LGPD ainda depende de confiar na empresa e na equipe de segurança. No entanto, para ele, esse nível de confiança não condiz com a cultura do brasileiro de só resolver problemas quando aparecem, em vez de preveni-los:
“A gente vive num país em que normalmente alguém só vai atrás quando alguma coisa ruim acontece, né? E a confiança tem um papel fundamental nisso, porque você confia que a empresa está fazendo tudo certo, você confia que os protocolos que a LGPD recomenda estão sendo cumpridos. Só que ninguém verifica.
O problema não está em como você trata o vazamento. Como está a segurança daquele sistema? Como que está a segurança daquele ambiente?”
E fica difícil confiar depois de um vazamento, por exemplo. “A LGPD só recomenda que você tenha mais cuidado em relação ao tratamento de dados”, observa Gwin. “Ela só recomenda que você consiga gerenciar os dados de uma maneira mais responsável, mas essa responsabilidade é muito baseada em confiança, e você só percebe que não pode confiar depois que o problema já aconteceu.”
Empresas ignoram segurança, mesmo com LGPD
Além disso, trabalhando nesse mercado há muitos anos, Gwin lembra que “muitas vezes as empresas simplesmente ignoram completamente a segurança”. Ela deveria ser algo básico, diz o especialista, mas acaba não recebendo prioridade mesmo com a LGPD em vigor.
Por exemplo, Gwin observa que várias empresas não quer gastar com redundância – algo que seria essencial para qualquer sistema de segurança:
“Você precisa de uma muralha bem construída na empresa, uma segurança que consiga suportar qualquer intempérie, sistemas que são redundantes… Então, se um sistema falha, você tem outro, e ele segura o primeiro.
É como se fosse um castelo na Idade Média: se a muralha de fora falha – recebe uma pedrada de uma catapulta e cai – você tem as muralhas internas para proteger. Você tem os soldados para proteger. Você tem torres de vigia para proteger. Enfim, você tem uma multiplicidade de sistemas de segurança que são redundantes.”
Para Gwin, o problema é que a LGPD não força essa redundância. E, como ela é cara, muitos preferem não implementar. O especialista afirma que isso é visto como algo desnecessário: “a empresa pensa, ‘não precisa, por que fazer de novo, faz uma vez e funciona, acabou’. Só que a segurança é a única área em que você precisa de redundância”.
O exemplo da Europa
A LGPD é baseada no GDPR, que vale na União Europeia desde 2018, e Gwin acredita que a segurança de sistemas é uma questão mais cultural entre os europeus – isto é, não começou só por causa da lei.
“A Europa, principalmente Rússia, sempre gostou de ter um tratamento de segurança muito mais minucioso”, ele afirma. Vale lembrar que os russos têm uma lei de proteção de dados pessoais em vigor desde 2006, que vem sendo atualizada ao longo dos anos.
É como se, no Brasil, tivéssemos feito o processo inverso, em que a lei veio antes de uma cultura que privilegia a proteção de dados. Gwin menciona o exemplo da Rússia em se tratando de segurança:
“O hacker russo já foi considerado um dos melhores do mundo porque gosta de redundância, gosta de adotar políticas de segurança que são de fato seguras. Lá existe a noção de que, se você não tem segurança, você não tem um sistema – porque ele pode cair a qualquer momento.”
E no Brasil, o que podemos fazer? Gwin afirma não ter uma solução, mas reforça que empresas, “principalmente do poder público”, precisam checar a própria segurança e deixarem de achar que isso é desnecessário porque “nunca aconteceu nada”.