jusbrasil.com.br
15 de Setembro de 2019

Evidências e a Proteção de Dados

Eu avisei, avisei...

Fabiani Borges, Advogado
Publicado por Fabiani Borges
há 7 meses

O que não tem remédio, remediado está, dizia meu pai quando era vivo. Eu não sei o que falta para as empresas – e pessoas por detrás delas – perceberem que os marcos regulatórios da proteção de dados são uma realidade, e que se elas não tomarem “tenência”, como se diz aqui na Bahia, receberão a “galinha pulando” mais conhecido como “tome, sacana”, das futuras sanções.

Eu tô cansada de gastar meus bytes por aí. Não adianta explicar, fazer palestra, mandar orçamento, projeto de implantação, de compliance digital, reuniões, e-mails, e o escambau, se o que mais ouço de volta é “mas será que essa lei vai pegar mesmo?” ou o eu “não tenho budget (orçamento – odeio anglicismos) para isso”, ou ainda “isso é para empresa grande”. Frustração me define. Tem dias que eu tô só a: “que você foi fazer no mato, Maria Chiquinha?...” pra quê fui estudar isso?

Pipou, “me bata um abacate”, ou seja, me poupe, qual é a parte da GDPR (Regulação Geral de Proteção de Dados – da União Europeia) que já tá aí linda, arrasando, autuante e multante você não entendeu? Em 10 meses de plena eficácia os números[1] são 59 mil notificações de vazamento de dados, 95.180 reclamações de diversos órgãos e pessoas, 255 investigações pelas autoridades de proteção de dados, além de uma emblemática multa ao Google[2] de cinquenta milhões de euros.

E mesmo matando a cobra e mostrando o pau, quer dizer, os TACs firmados por empresas brasileiras com MPDFT com valores nada pequenos (Banco Inter – R$ 1,5milhão; Netshoes – R$ 500mil – sem falar em outras investigações abertas pelo Parquet), e a multa aplicada à Drogaria Araújo pelo Procon/MG (R$7milhões) antes mesmo da LGPD entrar em plena eficácia, o povo não se toca da importância de estar em conformidade com a lei.

Você acha mesmo que a LGPD (Lei Geral de Proteção de Dados) vai pegar? Foi a resposta que ouvi hoje de um cliente. Gente, a vontade que eu tive foi de dizer, Mizunfio, só posso cantar pra você “...e nessa loucura de dizer que não te quero, vou negando as aparências, disfarçando as evidências, mas pra quê viver fingindo, se eu não posso enganar o DPO, eu sei que te amo...” Quando a ANPD - Autoridade Nacional de Proteção de Dados chegar (e se não chegar, há quem cumpra esse papel, não é mesmo MPDFT e PROCON?) você não vai poder cantar “...faço tipo, falo coisas que eu não sou, mas depois eu nego...”, no máximo vai poder falar “eu preciso aceitar que não dá mais, pra separar as nossas vidas...”...das multas que tomarás.

Eu sei, eu sei, brasileiro só tranca a porta depois da casa arrombada. Mas minha gente, bora acabar com isso! Vamos mudar o rumo desse pensamento (mindset, como o povo gosta). Tem sido um trabalho cansativo... eu (Jurídico e Compliance), Elba Vieira (SI) e Andrea Campelo (TI), mais conhecidas como LGPD com Dendê, estamos tentando abrir, a mouseadas, as cabeças no mercado baiano, para que se avexem com essa necessidade.

Por que não estudar um pouco? Por que não arrumar a casa (Marie Kondo feelings)? Por que não contratar assessoria? Por que não fazer o mínimo, se não puder fazer o todo? Não precisa contratar a solução tecnológica mais cara do mercado – e nem adianta, na verdade, se não tiver mapeado os dados – mas faz alguma coisa que o Chiclete chegou, digo, que a ANPD chegou!

Mapeia, classifica, separa, vê se é dado estruturado ou não, se é dado sensível ou não, se precisa de consentimento, não deixa fazer só opt-in/opt-out (opção de entrar e sair) no cliente, revisa política de privacidade, termo de uso, contratos (internos e externos), exige garantia contratual de mesmo nível com parceiros e colaboradores, treina pessoal, mas pelo amor de Cristo faz. Você, startapeiro, já pensou na sua solução de proteção de dados hoje? Não? Pergunte-me como! (me sentindo uma vendedora de Hinode ou Testemunha de Jeová pregando). Pensa em privacy by design – privacidade desde a concepção – para o seu negócio, arruma a governança de algoritmo, olha o IoT, enfim, passa as vistas na criança antes que ela derrube a casa toda.

“Ah, Fabi, mas eu não faço tratamento de dados?”, e eu respondo: e os dados dos seus funcionários?; “ah, mas eu terceirizei isso”, e eu: o seu contrato com essa terceirizada como está?; “ah, mas eu não tenho dinheiro para comprar solução de TI depois”, e eu: já mapeou os dados? Talvez nem precise! “ah, meu negócio é pequeno, não vou precisar”, e eu: toda empresa vai precisar. Bom, quem quer faz, quem não quer arruma desculpa.

A verdade é que conscientizar pessoas e empresas para segurança da informação, proteção de dados, e políticas de compliance é difícil, principalmente em um país onde diretores de grandes corporações, com acesso à infraestrutura de rede ou arquivos do sigilo do negócio, têm senhas 123456 – ou 56-43-21, como já ouvi – e todo mundo compartilha usuário, senha e certificado digital. Onde será que estamos falhando? Só Deus, Roberto Carlos e as baleias sabem.

Pior, que, nas bandas de cá da Bahia, ainda tem a SSP – Síndrome de Sum Paulo – não sei isso rola para as outras bandas do país. Mas parece que, de fato e de direito, precisa vir algum não-sei-quemzinho de fora, de SP, para dizer a mesma coisa que temos dito há meses, e geral em peso bater palma e contratar. Não adianta eu bancar a Mãe Fabi de Iansã, que vê passado, presente e futuro, traz o Assessment (avaliação) de volta em cinco dias, que o cliente provavelmente vai dar importância se vir tudo em inglês, da matriz de fora, com chancela de “fulanx é o bam-bam-bam da parada” (dá vontade de cantar nesse pedaço um pagode do Os Sungas sobre o assunto, mas deixa quieto).

Enfim, quem sou eu no prato da macumba? Na fila do pão? É mágico estudar coisas novas e interessantes, mas é um pouco frustrante – acho que por isso o ponto da frustração, que fica no pé, doeu tanto na acupuntura ontem – não conseguir pô-las em prática por ignorância de quem deveria agir. Não sei se vou virar advogada de porta de data-center – e olha que isso promete ser o novo contencioso de massa – acho que nessa encarnação não fico rica mais não... Esse estudo todo, no final das contas, como diria minha querida cliente Fátima Monteiro, é só pra morrer sabida.

Eu só sei que no final disso tudo eu vou dar boas risadas, porque se se tem uma coisa que adoro nessa vida é ter razão, muita razão, razão profunda, documentada e fundamentada, adoroooooooooo! E se tem outra coisa que gosto na vida é falar: eu avisei! ;-)

Fabiani Borges Advogada sócia no EBQ Advogados Associados, Especialista Direito Processual Civil, Direito Eletrônico e Compliance, Formação Avançada em Ciberespaço, membro Instituto Brasileiro de Direito da Informática; do Instituto Brasileiro de Direito Digital – IBDDIG, e da ISOC (Internet Society) Brasil.


[1] https://www.dlapiper.com/en/uk/news/2019/02/dla-piper-gdpr-data-breach-survey e https://tech2.org/gdpr-behind-the-42k-data-breach-notifications-255-investigations/

[2] http://www.meioemensagem.com.br/home/midia/2019/01/22/multa-aplicada-ao-googleedivisor-de-águas-paraagdpr.html

3 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)

De volta!
Definitivamente não temos essa cultura de prevenção... Me faz associar ao fato de que muitos hackers éticos (aqueles que fazem testes de invasão e fazem relatórios para que as empresas possam se proteger) não conseguem encontrar boas oportunidades de trabalho por aqui, e muitos acabam trabalhando para empresas de fora que efetivamente se preocupam com segurança da informação.

Ah, @fabianiborges, os links para os dados no 3º parágrafo estão levando a publicação novamente. continuar lendo

Obrigada, Nat!!! Sim, verdade!!! Tudo na área é encarado com muito pouca boa vontade Estou tentando fazer o capítulo do Salvador Legal Hackers aqui e nossaaaaaaa, super difícil!!
Os links estão logo abaixo do texto.bjoka. continuar lendo

Texto arretado! Muito bom, Fabiana, parabéns! continuar lendo