Que é um escárnio com a população brasileira o PL 5762/2019 (que posterga a vigência da LGPD), já há praticamente um consenso a respeito. Nesse sentido, indico o impecável artigo da ilustre Dra. Viviane Maldonado.

Quero, no entanto, chamar a atenção para uma questão fundamental sobre o tema: será que o assunto da prorrogação é tão binário assim? Boa para as empresas – pois terão mais tempo para se adequar – e ruim para a população – pelo óbvio desrespeito aos seus direitos fundamentais?

Eu acho que não.

Já parou para pensar que finalmente as empresas estão se preocupando com sua segurança cibernética, independentemente se o motivo e o timing estão “certos” ou não?

No artigo 6º da lei, consta:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

…

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Nessas quase duas décadas de carreira, atuando como perito, o que mais vi foram incidentes cibernéticos já materializados. Casos diversos de empresas que já estavam, ao me contratar, sofrendo com perdas financeiras, danos reputacionais e impactos operacionais.

O objetivo do meu trabalho sempre foi auxiliar a diminuir esse impacto. Tudo urgente, sempre em crise, o mantra dos trabalhos é a mitigação de cyber risk.

Pois bem: só quem já passou por essas situações entende – e sentiu na pele – o trauma que isso é. Como costumo dizer, o incidente cibernético é um bicho que nunca morre. A curto prazo o próprio adversário consome seu tempo, dinheiro e saúde (extorsão, concorrência desleal, interrupção de operações, etc.). Mas a médio prazo muitas vezes vem a perda de confiança dos parceiros e clientes. E a longo prazo? Processos/acordos judiciais, sanções diversas, etc.

E o que isso tem a ver com a LGPD? Ora, a legislação representa “apenas” mais um risco – regulatório, agora – para as empresas (isso sem contar como os recentes vetos do congresso, retomando as possibilidades de suspensão do banco de dados – e até mesmo da atividade! – se encaixam em outras “caixinhas” de risco, como o operacional, por exemplo… mas isso é assunto para outro artigo!).

Na prática, no entanto, pelo que eu estou acompanhando em muitas empresas, os sábios CISOs (Chief Information Security Officer), CIOs (Chief Information Officer) e outros gestores que têm familiaridade com o tema estão aproveitando para trazer à luz aqueles projetos e ideias engavetados(as) de cyber security, mitigação de risco, etc. Afinal de contas, a LGPD tem uma seção intitulada “Da Segurança e do Sigilo de Dados” e outra “Das Boas Práticas e da Governança“. Ainda, veja o artigo 49:

Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Vejamos:

• Requisitos de segurança;

• Padrões de boas práticas e de governança;

• Princípios gerais previstos nesta Lei;

• Demais normas regulamentares;

Você tem ideia de quantos frameworks, metodologias, padrões, regulamentos e até mesmo leis “cabem” nesses 4 itens?

Ou seja: a empresa que está “pedindo” para ter mais tempo para se adequar à LGPD ainda não entendeu o momento da história que estamos vivendo quando falamos em risco cibernético. Muito provavelmente porque ainda não “sentiu” algum impacto nesse sentido – o que, diga-se de passagem, não quer dizer que esse não tenha ocorrido, infelizmente.

Se o fórum econômico mundial prevê que em 2020 o impacto que o cybercrime causará à economia global é de 3 trilhões de dólares, certamente não é apenas a LGPD que tem que preocupar as corporações.

Eu fico feliz em ver o “empoderamento” que a LGPD trouxe aos CISOs, CIOs, etc. Já que o tapete vai ser levantado (e vão mapear dados, processos, etc.), por que não aproveitar e varrer a sujeira? ????

Não adianta: a transformação digital é ótima para o(s) acionista(s). Maior eficiência operacional, maior lucro. Esse é o bônus. O ônus, como era de se esperar, chegou – e de maneira galopante.

Minha opinião: quem respira tranquilo com um vacatio legis maior só porque “depois a gente se preocupa com esse negócio de segurança e privacidade, porque dá muito trabalho e custa caro” invariavelmente aumenta sua probabilidade de estar na iminência de um impacto muito maior, para sua pessoa jurídica, do que uma sanção da ANPD.

Investimento (tempo e dinheiro) em melhor governança e mitigação de cyber risk é, no fim das contas, uma prática que proporciona um melhor ROI às empresas! Mais ainda, algo que faz um bem social.

Pense comigo: Segurança ruim habilita que a atividade criminosa aumente, tal qual se vê no estudo do World Economic Forum. Esse dinheiro que é subtraído ilicitamente, na sua maioria, não paga imposto. Pessoas (nós, consumidores) sofrem prejuízos e traumas também. Prorrogar a vigência plena da lei, portanto, na minha opinião, é um detrator do bem social da população e, mais ainda, sem ser um expert no assunto, me permito suscitar aqui a reflexão se essa postergação não é negativa para a economia brasileira! Ou vamos permitir que os cyber criminosos continuem surfando no despreparo das nossas empresas no que tange a segurança digital?

A LGPD não é, sozinha, a bala de prata para matar o problema do cybercrime. Mas não dá para negar que ela está ajudando a olhar para muitos processos, tecnologias e treinamentos que aumentam a maturidade e a postura em mitigação de risco cibernético das instituições, privadas e públicas!

Se a driving force, portanto, para que sejamos mais seguros, no contexto macro, é a LGPD, vamos fazer o que está escrito na bandeira brasileira: ordem e progresso!

Por Domingo Montanaro, coordenador pedagógico da Ventura Academy.