Profissionais TI - Pra quem respira informação

Na terça-feira da semana passada (29/05), a câmara aprovou o projeto de lei nº 4060/2012, que dispõe sobre o tratamento de dados pessoais, inclusive em meios digitais, de pessoa natural ou jurídica, de direito público ou privado.

O PL, que tem como objetivo “garantir o direito de liberdade e privacidade, assim como o livre desenvolvimento da personalidade da pessoa natural”, já circulava na câmara por 6 anos, mas tomou novo fôlego com acontecimentos como o caso de uso ilícito de dados de usuários do Facebook, pela empresa de consultoria Cambridge Analytica, e também pela chegada do GDPR, o Regulamento Geral sobre a Proteção de Dados Pessoais (GPDR) de cidadãos da União Europeia.

O projeto agora vai para aprovação no senado, onde já existe uma outra iniciativa bem parecida caminhando a passos largos. A expectativa geral é que os projetos sejam aglutinados, facilitando sua aprovação e efetivação.

Como profissional de Segurança da Informação, não há como deixar de ficar feliz e, ao mesmo tempo, bastante preocupado. A primeira pergunta é: Qual o impacto na prática para as empresas?

O projeto, que tem 60 artigos e mais de 30 páginas, define requisitos claros para o tratamento de dados pessoais, direitos dos titulares, regras para transferência internacional de dados, e também (uhuu!) boas práticas de Segurança da Informação e Governança.

Alguns pontos interessantes:

• Como se trata de uma lei, vale para toda e qualquer empresa pública ou privada que recolha e processe dados pessoais no Brasil;
• Será necessário o consentimento do titular para tratamento de informações pessoais;
• A exclusão de dados passa a ser obrigatória após encerramento da relação ou caso não tenha havido solicitação;
• Permite que os titulares dos dados podem solicitar o acesso aos dados mantidos sobre ele por uma empresa;
• Os titulares ganham o direito de corrigir seus dados que estejam em posse de uma empresa;
• Dados de crianças somente poderão ser tratados com o consentimento dos pais ou do responsável legal;
• Informações ligadas à saúde do titular só poderão ser usadas com a finalidade específica de pesquisa e deverão ser mantidos em ambientes seguros;
• Vazamentos de dados precisam ser comunicados imediatamente;
• Transferência internacional de dados pessoais fica restrita a países com tenham ‘nível adequado’ de proteção de dados ou a empresa responsável pela transferência garantir os princípios da lei brasileira;
• Empresas serão responsabilizadas pelo vazamento de dados que acontecem diretamente em sua infraestrutura ou mesmo quando um parceiro/fornecedor for comprometido;
• As multas podem chegar até 2% do faturamento da companhia, sendo limitadas a um valor máximo de R$ 50 milhões por infração;
• Quando entrar em vigor, as empresas terão um ano meio para se adaptarem às novas regras.

Não é preciso uma análise aprofundada para dizer que a maioria significativa das empresas não está preparada para lidar com essa nova situação, lembrando que todas as organizações devem ser aderentes, das grandes instituições financeiras, até o consultório do seu dentista, se existe manipulação dados pessoais/privados, será necessário estar em conformidade.

O que eu peso sobre isso? Bem, como o amadurecimento da proteção de dados pessoais é uma tendência global, as empresas mais precavidas já deveriam iniciar projetos para adequação, mesmo que o projeto de lei ainda fique um bom tempo transitando entre câmara e senado. A verdade nua e crua é que a maioria dos negócios vai esperar o PL ser aprovado e deixar para as ultimas semanas para tentar entrar em conformidade.

Tenho apenas uma única certeza: Vai ser muito legal trabalhar com Segurança da Informação nos próximos anos, se você tem interesse em desenvolver uma carreira na área, não perca tempo! A melhor hora para iniciar é agora!

Fonte: G1, Valor Econômico, Câmara