Home / Cyber Security / GDPR no Brasil: impactos nacionais da lei europeia.
GDPR no Brasil

GDPR no Brasil: impactos nacionais da lei europeia.

Desde maio de 2018, a GDPR – General Data Protection Regulation – está em vigor. Porém, ainda há dúvidas sobre os impactos da GDPR no Brasil. Como é a segurança no tratamento de dados no Brasil? A lei europeia afeta os brasileiros? Quais são as obrigatoriedades da regulação de dados? Quais são as possíveis penalidades? Se você tem interesse em esclarecer estas questões, continue lendo o texto.

Porém, antes de entrar em GDPR no Brasil, é importante contextualizar a segurança da informação no País e o cenário global de dados. Segundo pesquisa da Dell EMC e da IDC, existirão cerca de 44 zettabytes de dados em todo o mundo até 2020. Mesmo se você não souber que um zettabyte equivale a um bilhão de terabytes, o contexto no qual vivemos deve ter feito você projetar uma quantia absurdamente exorbitante.

O avanço exponencial da tecnologia faz com que cada vez mais dados sejam coletados e armazenados. Os smartphones e IoT são dois importantes protagonistas deste universo. Utilizamos diversos serviços e soluções todos os dias. E-mails, mensagens em redes sociais e preenchimento de formulários são apenas a ponta do iceberg. Estamos imersos em soluções e serviços que usam dados para os mais variados objetivos, inclusive lícitos e ilícitos.

A segurança de dados no País, assim como no mundo, é um assunto que demanda atenção das empresas, órgãos públicos e também dos cidadãos. Mitigar riscos, evitar incidentes e solucionar problemas é uma responsabilidade de toda e qualquer organização que trata dados pessoais, por exemplo. Outro fator importante é a proteção de ativos, visto que informação é um dos bens mais valiosos das empresas atualmente.

GDPR e segurança da informação

GDPR e segurança da informação.

Segurança é um assunto antecessor à GDPR. Entretanto, a lei europeia lançou luz sobre o tema e trouxe a discussão para além das áreas de TI, governança, riscos e compliance. O tema vem sendo bastante comentado no âmbito jurídico, por ser uma legislação, mas também ganhou as conversas cotidianas. Pessoas de todas as áreas têm curiosidade sobre o que é GDPR e se isso afeta os brasileiros.

Primeiro, GDPR é a regulação da UE sobre direitos e responsabilidades relacionados ao processamento de dados de cidadãos europeus. O regulamento substituiu a 1995 EU Data Protection Directive. Com o objetivo de garantir privacidade e proteção, a norma é robusta e significativa na padronização do tratamento de dados e na exigência de medidas para evitar vazamentos e violações. Por ser uma regulação para a proteção de europeus, a validade é mundial. Organizações no Brasil e em todo o mundo que processem dados de cidadãos europeus devem respeitar a lei e ficam passíveis às sanções.

Desde maio de 2018, todas as companhias que coletam, armazenam e processam dados de europeus ou que tenham ligações com a UE estão obrigadas a se adequarem. Inclusive, mesmo sem a existência de sede da empresa na União Europeia, há lei é aplicável. Além das questões práticas, um ponto essencial da GDPR no Brasil refere-se ao desenvolvimento de uma mentalidade voltada à proteção de dados. Cuidados como privacy by design e security by design, que já existiam na segurança da informação, ganham mais força e respaldo.

O que acontece em caso de descumprimento da GDPR no Brasil?

O que acontece em caso de descumprimento da GDPR no Brasil?

Em caso de vazamento ou violação dos dados, as empresas devem notificar o ocorrido em até 72h. Sendo que, ocultação do episódio pode levar à multa por não reportar às autoridades. As penalidades para episódios no Brasil são iguais para situações ocorridas na UE. As sanções mais graves são multa de 4% da receita anual global ou 20 milhões de euros, o que for maior, e proibição de uma organização fazer negócios pela Autoridade Regulatória. Existe também a sanção 2% do faturamento anual global ou 10 milhões de euros, o que for maior. Contudo, a definição da sanção acontece de acordo com a infração e a avaliação do órgão competente.

As sanções já começaram a ser aplicadas e um caso de repercussão global foi a multa de 57 milhões de dólares ao Google. De janeiro deste ano (2019), esta foi a primeira grande multa a uma gigante da tecnologia dos EUA. A multa foi aplicada pela agência de privacidade de dados da França – CNIL.

De acordo com um relatório baseado em estatísticas oficiais da Comissão Europeia, 41.502 notificações de violação de dados aconteceram entre 25 de maio de 2018 e 28 de janeiro de 2019, em 21 dos 28 estados membros da UE. Além disso, o apanhado também não incluiu os países do Espaço Econômico Europeu (EEE), que não da UE, mas que estão sujeitos à GDPR.

GDPR no Brasil.

GDPR no Brasil.

Ficou claro que o Regulamento Geral sobre a Proteção de Dados estende-se ao Brasil. Portanto, as especificidades da lei explicadas em detalhes neste texto com os aspectos gerais da norma valem no nosso território. Há alguns casos que não são aplicáveis, por questões geográficas, mas a limitação é basicamente restrita à coleta de dados por vias presenciais. Por exemplo, quando um cliente cede informações como nome, telefone e e-mail após comprar em uma loja física na UE. Episódio semelhante é inviável no Brasil.

Em contrapartida, no ambiente digital, no qual as barreiras são quebradas e os dados são trocados via interfaces, a validade é ampla. Ou seja, as obrigações devem ser atendidas e as altas penalidades podem recair para negócios brasileiros e pessoas que processem dados de europeus estando no Brasil. Portanto, quem se enquadra no grupo suscetível à lei e ainda não atendeu às exigências, adequar-se é uma urgência. Aliás, para entender melhorar a aplicação da GDPR no Brasil, este material do Google é um estudo útil e relevante.

Entendido que as premissas de consentimento, finalidade, clareza de comunicação, solicitação de exclusão e outras precisam ser cumpridas para europeus, o que resguarda brasileiros? A LGDP – lei brasileira sobre proteção de dados – está em fase de adaptação e entrará em vigor a partir de agosto de 2020. Com isso, as empresas precisarão se adequar também às regras de proteção de dados de cidadãos brasileiros, que inclusive têm similaridades com a europeia.

Em resumo, independente de qual seja o estágio de adequação da GDPR no Brasil, contar com uma consultoria em segurança da informação é uma forma de alavancar os processos. Uma empresa especializada, como a DARYUS, tem expertise singular para avaliar e suportar os processos relacionadas às novas leis. Imersa no segmento há anos, a DARYUS Consultoria domina riscos, TI e cibersegurança, estando apta e disponível para assessorar negócios.

Sobre Helio Cordeiro

mm
Bacharel em sistemas de informação e MBA executivo internacional pela Fundação Instituto de Administração FIA, é executivo sênior em gestão e consultoria pela DARYUS. Possui mais de 15 anos de experiência em segurança da informação, tecnologia e inovação, incluindo engenharia de software, cyber security, governança, gestão de riscos e compliance, através de projetos realizados nos Estados Unidos, Europa e América Latina.

Confira tambem

O que muda com a Nova Lei de Proteção de Dados

O que muda com a Nova Lei de Proteção de Dados?

A LGPD – Nova Lei de Proteção de Dados é um marco para a cibersegurança …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *