O Brasil, caso o Presidente da República Michael Temer sancione a lei, será um dos países a garantir mais controle dos cidadãos brasileiros sobre suas informações pessoais e autorização explícita para coleta e uso dos dados. 

​

O Projeto de Lei 53/2018 aprovado pelo Senado Federal é comparado à legislação da União Européia – UE, denominada de General Data Protection Regulation (GDPR), que entrou em vigor em maio deste ano (2018). Se aprovada, a lei brasileira abrangerá como as informações pessoais deverão ser tratadas tanto por indivíduos como organizações públicas e privadas.

​

O projeto tem vários pontos parecidos com a regulação europeia GDPR, que além de proteger os dados pessoais dos clientes, pune as empresas que não têm proteção adequada ou que fazem mau uso das informações. Isto é uma quebra de paradigma para o mercado brasileiro, pois na legislação brasileira, as empresas não têm muitas regras a cumprir sobre quais dados podem coletar ou como esses dados podem ser usados, compartilhados ou até vendidos.

​

O Brasil já tinha ao menos 30 legislações setoriais que permeavam o assunto, como o Código de Defesa do Consumidor, o Código Civil, a Lei do Cadastro Positivo, o Marco Civil da Internet, entre outras. Como sempre em nosso Brasil, diante de tantas leis, sempre se discutia um marco legal em proteção de dados pessoais. 

​

Esta nova regulamentação, caso seja sancionada, exigirá das empresas que possuem informações de clientes, investimentos neste novo cenário da economia digital, trazendo maior segurança jurídica aos titulares de dados e empresas do setor privado. É uma mudança cultural em termos de segurança de informações e dados pessoais. As empresas brasileiras terão que se adequar a esta nova conjuntura, para não serem punidas. 

Um dos pontos de alta relevância da nova legislação brasileira é a regra que se aplica à empresas que não possuem estabelecimento físico no Brasil, mas têm operação e tratamento de dados em território nacional. Outro ponto é que toda instituição responsável pelo tratamento de dados deverá ter nomeado, formalmente, um responsável pela segurança destes dados, o denominado “Data Protection Officer” - DPO.

​

A Lei Geral de Proteção de Dados Brasileira atingirá qualquer atividade que envolva utilização de dados pessoais, o que inclui dados pela internet, consumidores, colaboradores, entre outros. As empresas só poderão coletar e processar dados com o aval do cliente, que também poderá pedir a revogação do consentimento de uso de informações a qualquer momento ou exigir que os seus dados sejam apagados da base de dados. 

​

Em caso de vazamento destes dados e informações pessoais, as empresas serão obrigadas a reportar às autoridades cabíveis. Para isso, está previsto na legislação a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador vinculado ao Ministério da Justiça, e determina punição para toda a cadeia. Empresas que não cumprirem as regras poderão receber multas que podem chegar a 2% do faturamento ou até R$ 50 milhões por infração, além de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados. São punições severas se forem de fato cumpridas, o que levará as empresas brasileiras ou estrangeiras em território brasileiro a realizarem investimentos pesados neste segmento cibernético. 

​

A nova legislação brasileira traz maior segurança jurídica, na medida que eleva a proteção aos direitos individuais das pessoas e ao fomento da economia digital, bem como, com um nível de legislação compatível com outros países, da facilitação ao fluxo de transferência internacional de dados. O período de adaptação à nova lei será de 18 meses.

​

Ressalva estratégica é que as instituições não devem sair por aí comprando e implementando soluções de segurança, é preciso realizar um planejamento estruturado, com uma avaliação de riscos para saber qual é o real posicionamento da empresa dentro deste cenário. A segurança cibernética envolve mais do que produtos, ela só funciona com a tríade da tecnologia, processos e pessoas capacitadas. As soluções são integradas para haver uma eficácia nos resultados.

​

Portanto uma Análise de Vulnerabilidades e Riscos Cibernéticos é necessária para focar nos pontos chaves, pois a tecnologia sozinha não irá funcionar. Uma análise de riscos cibernéticos ajuda a direcionar os problemas e com isso traçar metas para endereçar as soluções mais urgentes com os investimentos de forma mais assertiva.

​

Espero que o projeto de lei seja sancionado pelo Presidente Temer e que o Brasil e as empresas consigam de fato e de direito implementar esta proteção cibernética, protegendo as transações e seus cidadãos.    

​

Boa Leitura!

​

Antonio Celso Ribeiro Brasiliano

Publisher da Revista Gestão de Riscos e Presidente da Brasiliano INTERISK
abrasiliano@brasiliano.com.br