Ilustração: Rodrigo Auada

O fato de um típico garoto do Vale do Silício — cujo uniforme se resume a moletom de capuz, jeans e tênis — estar de terno e gravata e com uma expressão muito menos confiante que a habitual já indicava que algo diferente estava acontecendo. O escândalo do vazamento de dados de 87 milhões de usuários do Facebook envolvendo a consultoria política Cambridge Analytica deixou a rede social encrencada com as autoridades e obrigou um acuado Mark Zuckerberg a enfrentar os congressistas americanos em um depoimento em abril passado. A pressão sobre o Facebook evidencia uma grande mudança de cenário no que se refere à questão da ética no uso e na guarda de dados de clientes. Não à toa, acaba de entrar em vigor o maior marco legal já estabelecido no mundo a esse respeito: a General Data Protection Regulation (GDPR), que traça diretrizes para o comportamento das companhias no manuseio, no armazenamento e no compartilhamento de dados pessoais. Aprovada pelo Parlamento da União Europeia (UE) em 2016, ela está em vigência desde o último dia 25 de maio e seu alcance é global.

A GDPR é aplicável a qualquer empresa que de alguma forma colete dados de cidadãos da comunidade europeia ou que tenha filiais em um ou mais dos 28 países do bloco (incluindo o Reino Unido). A regulamentação torna essas companhias responsáveis pela proteção de dados de todos os clientes que tenham residência no território comum europeu, independentemente da nacionalidade, bem como de pessoas naturais da UE espalhados pelo mundo. Além disso, determina, em seu artigo 28.1, que organizações sujeitas à regulamentação só podem contratar terceiros que também sigam essas regras. “Mesmo que não diretamente abrangidas pela GDPR, empresas do mundo todo terão dificuldades em fazer negócios se não estiverem alinhadas”, destaca o advogado especialista em privacidade de dados Renato Leite, sócio do Baptista Luz Advogados. Na visão dele, esse é um dos grandes desafios gerados pela regulamentação — mais do que as próprias punições sob a forma de multas, que podem chegar a 4% do faturamento do conglomerado.

Já foi possível observar os reflexos da mudança: no dia em que a GDPR passou a vigorar, diversos sites foram tirados do ar na Europa, como as páginas de cerca de 70 jornais americanos controlados pelas agências de mídia Tronc e Lee Enterprises, sediadas nos Estados Unidos. Até o dia 13 de junho, essas páginas permaneciam fora do ar. Outras empresas se prepararam com antecedência e mudaram suas políticas de privacidade, repassando aos usuários informações claras sobre como seus dados pessoais seriam usados e dando a eles autonomia para autorizar ou não sua utilização — de acordo com a GDPR, a qualquer momento uma pessoa pode suspender a autorização e solicitar a remoção total das informações armazenadas e transmitidas. Fazer essa exclusão, entretanto, não é uma tarefa trivial. “As empresas terão grande dificuldade operacional para percorrer todos os setores e garantir que não há mais nenhum dado de um cidadão específico sob seu controle e sua administração”, afirma Eduardo Batista, sócio de cyber security da PwC.

Outras exigências da GDPR para as empresas são a criação da figura do privacy officer (posição que pode ser acumulada com outras funções) e a existência de um mapeamento dos dados, com inventário que mostre como as informações são processadas, transmitidas e armazenadas. Cabe observar que a regulação é mais rigorosa no caso das empresas que têm atividades de alto risco para a privacidade e mais branda para as que têm procedimentos não intrusivos.

Leia também: Ameaça Global 

Desafios de adaptação

“Adequar-se representa um desafio e um custo, mas quem souber aproveitar essa onda terá uma vantagem competitiva”, ressalta Batista. De acordo com ele, para tomar a dianteira nesse processo e ganhar a confiança dos usuários, as empresas devem colocar a questão na categoria de prioritária, o que significa desenvolver projetos seguindo modelos como o de privacy by design, em que a preocupação com privacidade aparece desde o início de um projeto. Isso deveria ser feito não apenas por organizações cujo foco básico seja a tecnologia, mas por qualquer uma que tenha, em seu DNA, o uso inteligente de dados como ferramenta de negócios.

“Companhias que usam bem a análise de dados têm conseguido gerar muito valor. Embora importante, o modelo de privacy by design é desafiador, porque envolve mudar a maneira como a empresa inteira lida com segurança de dados”, diz Felipe Matos, diretor de analytics e inovação da Kroton. O grupo de educação usa dados como forma de atender melhor seus alunos e de democratizar o acesso a informação de “ponta a ponta”. Atualmente, gerentes de negócios em diferentes polos de ensino da Kroton têm acesso a informações sobre os estudantes de forma parcialmente anônima, para que possam criar estratégias que satisfaçam às necessidades dos alunos.

Apesar da urgência, uma parcela importante de companhias na Europa e nos Estados Unidos, regiões especialmente sensíveis à GDPR, ainda não estavam adaptadas às vésperas de a lei entrar em vigor. Segundo levantamento da Spiceworks feito com pouco mais de 625 profissionais de tecnologia da informação representantes de empresas de diferentes portes, 34% dos negócios na Europa continental, 50% no Reino Unido e 15% nos Estados Unidos planejavam estar em conformidade até a data de início da GDPR — nas mesmas regiões, respectivamente, 15%, 13% e 7% previam atingir a meta nos três meses seguintes.

Nas companhias, o tema já é percebido como relevante pelos CEOs. Neste ano, uma pesquisa da PwC com 1.293 presidentes-executivos revelou que 87% deles consideram que evitar perda de dados e de privacidade são prioridades. Além disso, a cibersegurança na manutenção da privacidade saiu da décima posição entre as maiores preocupações dos CEOs em 2017 para a ocupar a quarta posição em 2018. A questão, no entanto, vai além da transparência e da ética com os usuários; passa por um risco que aterroriza muitos executivos: o vazamento de dados pessoais sigilosos.

De acordo com o levantamento “The Global Risks Report 2018”, organizado pelo Fórum Econômico Mundial, ciberataques e fraudes massivas relacionadas a dados aparecem entre os cinco maiores riscos corporativos. Essa tendência vem já de alguns anos. O relatório “IBM X-Force Threat Intelligence”, em edição lançada no ano passado, concluiu que empresas apresentaram cerca de 4 bilhões de violações em registros de dados em 2016, mais do que a soma dos dois anos anteriores. “Os dados podem vazar por incidentes cibernéticos e por interesses diversos, como disputas entre nações, ciberterrorismo, ativismo hacker e insider. Um crime cibernético pode ter impacto financeiro imediato. Mais uma razão para se pensar seriamente em segurança de dados”, comenta Batista, da PwC. A GDPR determina que em caso de vazamento de dados a empresa avise o mercado e seus usuários em até 72 horas, sob pena de sanções previstas na regra.

Leia também: Ressaca de dados e o relógio do juízo final

Proteção de dados no Brasil

Mesmo a 9 mil quilômetros do Parlamento Europeu, em Bruxelas, onde foi aprovada a GDPR, o Brasil não está à margem das discussões sobre ética de dados — tem, inclusive, alguns escândalos para chamar de seus. O mais recente, que movimentou o mercado no início de maio, fez as ações da companhia envolvida caírem cerca de 10% durante o pregão. Cinco dias depois de ter tocado o sino da B3 e dar a largada ao seu IPO, em 30 de abril, o Banco Inter, instituição financeira focada em serviços gratuitos com interface digital, se viu às voltas com a notícia de um suposto vazamento de dados de cerca de 300 mil clientes. A notícia foi veiculada primeiro pelo portal de tecnologia TecMundo, que apurou que um grupo de hackers obteve arquivo de 40 gigabytes contendo informações pessoais e confidenciais dos usuários do banco, como números de documentos até dados de cartões de crédito.

O pacote estaria sendo comercializado na deep web — camada da internet oculta aos olhares de usuários regulares e geralmente utilizada para negociações ilegais. Prontamente, o Inter desmentiu a informação. Em comunicado aos investidores, afirmou tratar-se de “notícia inverídica, com conteúdo técnico questionável e impreciso” e que “não houve comprometimento dos sistemas de segurança do banco”. A denúncia, na visão da companhia, teria sido plantada como forma de prejudicar sua reputação. Na semana seguinte, a comissão de proteção dos dados pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou inquérito civil público para apurar o suposto vazamento, e sob a posse dos arquivos que teriam os dados de clientes, notificou a Comissão de Valores Mobiliários (CVM) sobre o caso.

Atualmente, dois projetos de lei para proteção de dados estão em discussão no Congresso Nacional — apenas um deles, ou uma combinação dos dois, deve virar lei. Há um do Senado (PLS 330/13), menos técnico e específico, e um da Câmara (PL 4.060/12), mais robusto tecnicamente e protecionista, sem margem para interpretações alternativas. Ambos são bem semelhantes à GDPR, mas apenas o PL 4.060/12 prevê a criação de um órgão regulador, fator determinante para o êxito da lei. “Há uma espinha dorsal dentro desses projetos, que é fruto de regulamentações que existem no resto do mundo há pelo menos 30 ou 40 anos.

Ela dificilmente deve mudar por aqui”, diz Leite, do Baptista Luz. Assessor legislativo no Senado Federal, o advogado especialista em direito digital Fabrício da Mota Alves afirma que os projetos ainda devem sofrer alterações antes de uma aprovação definitiva. “Não há tanto consenso quanto imaginávamos e será necessário um diálogo maior com o Poder Executivo.” Gustavo Artese, sócio de Artese e Advogados, vai na mesma direção, ressaltando que apenas uma nova legislação não é suficiente. “O que determina o sucesso da proteção de dados é o regulador. No Brasil, essa autoridade deve ser criada”, defende. No caso europeu, cada país tem seu próprio regulador de dados, que segue as normas da GDPR.

Enquanto não há lei geral no Brasil que disponha especificamente de tratamento de dados, outras legislações vêm sendo usadas para abordar a questão. A principal delas é o Marco Civil da Internet, aprovado em 2014. “O Marco Civil é, no que se refere a consentimento, mais rígido do que a GDPR e do que os projetos que estão em discussão no Brasil”, avalia Leite, do Baptista Luz. Normas do Código de Defesa do Consumidor, principalmente em seu artigo 43, também têm sido empregadas em episódios de violação de privacidade. O advogado estima que existam pouco mais de 50 normas de caráter federal tratando de privacidade de dados de forma transversal. “Uma lei geral seria bem-vinda para harmonização de algumas condutas”, observa.

A mesma opinião tem o advogado José Roberto Lama, responsável pelos projetos de consultoria em segurança da informação e privacidade na América Latina da Trustwave. “A intenção do Marco Civil, por exemplo, não é a proteção de dados e, sim a regulamentação do uso da internet. Ele é muito abrangente, não especifica detalhes”, ressalva. Mais recentemente, em abril passado, o Banco Central (BC) lançou a Resolução 4.658, com normas sobre segurança cibernética a serem seguidas por instituições financeiras — ela prevê o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes e regras para processamento e armazenamento de dados e de computação em nuvem, de modo a garantir a confidencialidade e a integridade dos dados.

Diante da pulverização de normas sobre privacidade, lidar com falhas de segurança não é tarefa simples para a Justiça. Em janeiro deste ano, uma brecha no sistema da Netshoes, plataforma online especializada no varejo de artigos esportivos, permitiu que informações pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras de clientes chegassem às telas de hackers. Por causa do incidente, Frederico Meinberg Ceroy, coordenador da comissão de proteção dos dados pessoais do MPDFT, recomendou à empresa que os quase 2 milhões de consumidores afetados fossem notificados sobre o vazamento, via telefone ou correspondência. “Como não temos uma cultura de proteção de informação no Brasil, quando uma lei for efetivada haverá um chacoalhão para as empresas se ajustarem”, observa Marcel Leonardi, diretor de políticas públicas do Google. “Nunca estivemos tão perto de ter uma lei única sobre proteção de dados — as discussões estão bastante acaloradas”, diz Leite. O prognóstico é um alento para todos que um dia já preencheram um aparentemente inofensivo formulário na internet.

Assista vídeo produzido com base no encontro “Ética dos dados”