Quando o assunto é proteção de dados, o Brasil ainda está dando os primeiros passos. Porém, são passos firmes e muito importantes. Se fôssemos comparar a legislação à uma criança, nos próximos dias teríamos festa, bolo e brigadeiro: dia 18 de setembro completa quatro anos da vigência da Lei Geral de Proteção de Dados, a LGPD (Lei 13.709/2018).
Apenas quatro letras, mas que trouxeram tantos impactos – positivos, diga-se de passagem! Nos últimos anos, o tema “proteção de dados” ganhou relevância no Brasil e vem sendo discutido na mídia, no ambiente corporativo e entre a sociedade em geral. Porém, em muitos países, a segurança da informação é uma realidade presente antes mesmo de a internet se consolidar como ferramenta de trabalho e de entretenimento.
Ou seja, o pensamento brasileiro, individual e corporativo, ainda está engatinhando, enquanto o europeu já desfruta a maturidade dessa cultura. Até porque, em 1981, na Europa, nascia o Tratado Internacional de Proteção de Dados, documento que mais tarde se tornou base para outros regulamentos.
Já são quatro anos da vigência da LGPD no Brasil e uma parcela das empresas foram atrás das ferramentas necessárias para se adequar à lei e evitar passivos e problemas quando o assunto é proteção de dados. Antes disso, no entanto, a grande maioria ignorava o assunto e não tinha políticas estabelecidas que proporcionassem um nível aceitável de segurança às informações pessoais.
No entanto, mesmo depois de tanto debate e tantos episódios negativos, ainda existe um número significativo de corporações que não implementou nenhuma medida técnica e administrativa, como a política de segurança para adequar-se à LGPD. Optou por correr riscos, negligenciando sua base de dados e sua carteira de clientes. Um levantamento do Grupo Daryus mostrou que 80% das empresas brasileiras ainda não estão completamente adequadas à LGPD – 35% afirmaram estar parcialmente adequadas e 24% em fase inicial de adequação.
A Autoridade Nacional de Proteção de Dados (ANPD), autarquia responsável por regulamentar, fiscalizar e aplicar as disposições previstas na legislação relacionada à proteção de dados pessoais, está ativa e atenta às arbitrariedades cometidas contra os titulares dos dados. Ao contrário do que se pensava até pouco tempo, a internet não é uma terra sem lei.
Em muitos casos, o que impulsiona as organizações a estabelecerem uma estrutura de proteção de dados é o receio das penalidades e sanções previstas na LGPD, bem como para cumprir as exigências contratuais. Porém, o que deveria impulsionar as empresas é o compromisso com a segurança de seus clientes e colaboradores, não apenas a legislação. Além disso, as informações são extremamente valiosas para as empresas. É por meio delas que são conhecidos os hábitos e a forma de consumo de seus clientes, possibilitando antecipar ofertas de serviços e produtos ou mesmo corrigir estratégias.
Enquanto as pessoas começam a compreender que a proteção de seus dados pessoais é um direito previsto em lei, os criminosos aproveitam as vulnerabilidades das empresas e sistemas para roubar essas informações, uma vez que os dados valem muito dinheiro no mercado clandestino. Uma pesquisa da Cybersecurity Venture apontou que os crimes cibernéticos devem causar prejuízos estimados em cerca de US$ 10,5 trilhões, anualmente, até 2025.
Isso quer dizer que, mesmo com as adequações já feitas, enquanto as empresas e os próprios titulares dos dados não se conscientizarem plenamente da necessidade desse cuidado, os danos serão grande fonte de recursos para movimentar o mercado negro da internet.
- Guilherme Guimarães é advogado, especialista em Direito Digital e Segurança da Informação. Sócio fundador do Guilherme Guimarães Advogados e diretor jurídico da Datalege Consultoria Empresarial.