A LGPD veio para ficar e abre novas oportunidades de negócios – mas também cria uma série de exigências e requerimentos. Qual é o papel dos provedores de TI nesse cenário?

A Lei Geral de Proteção de Dados (LGPD) está em vigor desde setembro de 2020, mas as penalizações para os infratores serão aplicadas a partir de 1º de agosto de 2021. Ela afeta toda organização envolvida em qualquer etapa da operação, coleta, processamento ou armazenamento de informações pessoais de fornecedores, clientes e colaboradores. Assim, parece inacreditável que ainda existam empresas que não se adequaram aos requerimentos da lei, ainda mais em tempos de vazamentos de dados ganhando espaço no noticiário e derrubando a credibilidade de diferentes organizações.

Mas, sim, existem aqueles que não estão nem aí. “Sabe a velha máxima de que ‘tudo acaba em pizza’? Pois é, a demora na implementação da LPGD por parte da Autoridade Nacional de Proteção de Dados Pessoais [ANPD], órgão do Governo que trata de proteção de dados, faz com que tenhamos essa sensação de que a Lei ainda não é para valer”, analisa Renata Abalém, diretora jurídica do IDC (Instituto de Defesa do Consumidor e do Contribuinte) e Conselheira da Ordem dos Advogados do Brasil Seção de Goiás.

“Todos nós teremos que nos adequar. Mais dia, menos dia, as desculpas não serão mais aceitas e os autos e multas vão acontece […] Os megavazamentos e os crimes oriundos deles mostraram para todos que é urgente”, Renata Abalém, do IDC.
Renata avalia a atuação da ANPD como limitada (“mesmo com os mega vazamentos de dados, sua única manifestação até hoje foi a publicação de notas e ofícios”), mas acredita que, à medida que agosto se aproximar, “certamente algumas empresas devem sentir na pele a urgência para se adequar às regras”. 

 

Cuidar do cliente… e dos clientes dele

Nesse contexto, integradores e revendas de TI precisam cuidar de três âmbitos: a adequação da própria empresa à nova lei, o aconselhamento aos clientes e o zelo com os clientes destes, quando se trata de operar dados sensíveis. A atuação da Conversys, uma integradora com base em São Paulo mas de alcance nacional, exemplifica bem essa realidade.

“Como o relacionamento com nossos clientes é majoritariamente B2B, fica mais simples que se fosse uma relação B2C. Mas é óbvio que, mesmo no B2B, temos informações sensíveis. Então, seja qual for o caso, temos políticas internas para lidar com eles. Ou seja, a chegada da LGPD teve, sim, impacto em nossa estratégia interna”, diz Carlos Sega, CEO e Diretor de Vendas da Conversys.

O foco da empresa, explica Sega, não é ganhar dinheiro vendendo um “pacote LGPD” ou algo do tipo e, sim, auxiliar o cliente em todo o processo de adequação.“Como um trust advisor do cliente, nossa postura é sempre de educá-lo e mostrar os impactos que podem ocorrer. A gente traz, em nossa oferta, uma consultoria jurídica para fazer uma análise do ambiente e dos gaps existentes em todas as áreas, não apenas da TI. A partir disso, fazemos um roadmap de tecnologias que ele deve implementar, ou até das quais ele tem dentro de casa e apenas precisa aprender a utilizar melhor”, detalha o executivo.

Ainda na análise de Sega, a vigência da LGPD aumentou o volume de trabalho em clientes existentes, mas também abriu oportunidades de negócios. Afinal, ambos os caminhos têm o mesmo objetivo: fazer o cliente se sentir mais seguro e garantir a maior proteção possível; afinal, as ameaças são muitas e não se restringem ao ambiente de nuvem.

“O provedor de armazenamento será considerado o operador dos dados e a empresa será considerada controladora deles — ambos compartilham a responsabilidade em caso de danos ao titular”, Renato Chagas, do Escritório Ernesto Borges Advogados

“Claro que cloud é um tema extremamente importante, mas são muitas as situações que não estão recebendo a devida atenção. Vamos pegar um exemplo hipotético de um hospital cujo sistema processa imagens de radiografias de clientes. Isso é um dado sensível e tem de ser protegido, mesmo não estando na nuvem. Já no varejo, um usuário mal intencionado consegue espionar, no sistema da loja, todas as transações feitas no cartão de crédito por determinado CPF. A segurança vai além de estar ou não na nuvem, ela está ligada, principalmente, à necessidade de entender o quão vulneráveis as empresas estão. Infelizmente, muitas só entendem após sofrerem algum tipo de dano”, completa.

 

Guarda compartilhada (e responsabilidade penal também)

Apesar da importância da ressalva feita pelo CEO da Conversys, o ambiente de nuvem ainda é um dos pontos que desperta mais dúvidas em relação à aplicação das possíveis punições. Quando uma empresa contrata serviços de armazenamento em nuvem, por exemplo, de quem é a responsabilidade? 

“O provedor de armazenamento será considerado o operador dos dados e a empresa será considerada controladora deles. Sendo assim, nos termos do art. 42, da  Lei n. 13.709/2018 [LGPD], ambos compartilham a responsabilidade em caso de danos ao titular”, explica Renato Chagas Corrêa da Silva, sócio-diretor e diretor de gestão de riscos e compliance do Escritório Ernesto Borges Advogados.

E se o ambiente é multicloud? Chagas explica que, nesse caso, há mais risco e maior dificuldade de gestão dos dados pelo controlador, exigindo a observação de cuidados adicionais.“É preciso adotar mecanismos que possibilitem a rastreabilidade de dados, bem como estabelecer acordos de compartilhamento e privacidade de dados com os operadores. Além disso, o compartilhamento de dados neste tipo de cenário pode mitigar possíveis incidentes em razão da descentralização da informação e do uso de algoritmos para mesclar dados em diversas bases, ainda que possa, por outro lado, potencializar outros tipos de desafios relacionados à vulnerabilidade do tráfego de dados pessoais”.

“A LGPD permeia todas as áreas, mas TI tem a missão de ser protetora dos dados armazenados. Nosso papel como provedor de serviços é auxiliar os clientes no entendimento da lei, de seu impacto no negócio e na melhoria da coleta, do processo e da armazenagem de dados”, Carlos Sega, da Conversys.

Na avaliação do advogado, as empresas que pretendem migrar para este tipo de solução devem ter um DPIA (Data Protection Impact Assessment) robusto, com uma avaliação consistente sobre os dados a serem compartilhados, os riscos inerentes, a finalidade do compartilhamento e o planejamento necessário para enfrentar uma possível violação.

Caso nessas “múltiplas nuvens” exista um servidor fora do país, Chagas explica que a hospedagem deve seguir rigorosamente os requisitos descritos no artigo 33, da LGPD, que afirma que cabe ao controlador certificar o cumprimento das regras e princípios da LGPD mesmo em dados hospedados em país estrangeiro. “O simples fato de o servidor estar hospedado fora do território nacional não afasta a aplicação das regras constantes na LGPD”, resume o advogado.

“A LGPD permeia todas as áreas, mas TI tem a missão de ser protetora dos dados armazenados”, avalia Carlos Sega. “Nosso papel como provedores de serviços é auxiliar nossos clientes desde o entendimento do que é a lei e o seu impacto no seu negócio, bem como ajudar a identificar os gaps na forma de coletar, processar e armazenar esses dados”.

Esse auxílio é especial porque, ao contrário do que pontuam alguns descrentes, a LGPD veio para ficar. Como diz Renata Abalém, “todos nós teremos que nos adequar. Mais dia, menos dia, as desculpas não serão mais aceitas e os autos e multas vão acontecer — e tomara que aconteçam o mais rapidamente possível. Na verdade, nossa sociedade anseia por isso. Os megavazamentos e os crimes oriundos deles mostraram para todos que é urgente”.


Leia mais:

2021: uma perspectiva realista e imediata sobre a aquisição de produtos e serviços de TI

A distância e o protagonismo da cibersegurança no mundo pós-pandemia