A regulação de dados europeia, conhecida como GDPR (General Data Protection Regulation), entrou em vigor no dia 25 de maio deste ano e tem repercutido em outros países, uma vez que tem como foco a segurança de dados de uma maneira nunca vista antes. Com multas que podem abalar as bases da maioria das organizações (até 4% do faturamento global anual ou até EUR 20 milhões), o GDPR força empresas de todas as formas e tamanhos a deixar suas ações mais claras e, em alguns casos, a repensar completamente sua cultura para que se adequem.
Mas, o quanto essa lei pode afetar a América Latina? No Brasil, por exemplo, a Lei Geral de Proteção de Dados Pessoais, o PCL (Projeto de Lei da Câmara) 53/2018, foi sancionada pelo presidente Michel Temer em 14 de agosto. Apesar de ter sido sancionada, a Agência Nacional de Proteção de Dados (ANPD), autoridade que seria criada para garantir a aplicação da lei, foi vetada. Mesmo assim, o presidente afirma que vai enviar ao Congresso um projeto sobre o mesmo tema - proposto pelo Executivo.
A lei é resultado da junção de outros dois projetos mais antigos que caminhavam juntos: os PLs 4060/2012 e 5276/2016. Isso significa que as empresas, públicas e privadas, têm 18 meses para entrarem em conformidade com a lei que trata sobre as regras para proteção de dados pessoais a serem seguidos por órgãos públicos e privados que coletam, tratam, armazenam ou vendem dados pessoais no País. No caso do Brasil, a multa será de até 2% do faturamento global anual ou até R$ 50 milhões por infração.
Claramente, para que as empresas se adequassem ao GDPR, houve muito trabalho. Resultados da Ferramenta de Avaliação GDPR da Kaspersky Lab, lançada ano passado para esclarecer dúvidas sobre a nova medida, mostraram que um quarto das organizações não conseguia identificar onde as informações pessoais sob seus cuidados estavam armazenadas.
Além disso, 68% das organizações não criptografavam dados no momento - uma medida simples para proteger a confidencialidade de qualquer dado, mesmo que, de fato, ele vaze.
Os dados também nos mostraram que apenas uma em 10 empresas estava muito confiante de que sua organização estava tomando as medidas necessárias para cumprir o GDPR, e metade não estava confiante de que sua organização estaria totalmente adequada a tempo.
Ao introduzir regulamentação relativa a dados pessoais que acarretam grandes multas, a União Europeia elevou a questão a um nível de diretoria. Isso, por sua vez, colocou mais responsabilidade e autoridade no profissional de TI responsável por ajudar a orientar seus negócios nos últimos dois anos, com mais de 60% dos entrevistados concordando que eles sentiram que o GDPR os capacitaria em suas empresas. Isso porque a grande questão é que a lei engloba toda e qualquer empresa que colete, armazene e processe dados de cidadãos europeus, não importa onde fique a sua sede.
Ou seja, se você tem uma loja virtual que envia produtos para o mundo inteiro e possui um único consumidor europeu, a regulação já pode ser aplicada em seu estabelecimento.
Com isso, temos a garantia de que todos os sites e serviços digitais sejam construídos com foco na segurança online de seus clientes. No nosso caso, estamos em conformidade desde o primeiro dia, reforçando a mentalidade de privacidade em primeiro lugar e prontos para o GDPR de um ponto de vista legal, técnico e organizacional.
É uma pena que as empresas tenham sido incentivadas pela possibilidade de tomar grandes multas para começarem a levar a sério a proteção de dados pessoais na Europa.
Ainda assim, estamos ansiosos por um futuro de dados mais saudável, onde as organizações pensem duas vezes sobre os processos que possuem para proteger os dados pessoais sob seus cuidados, além de terem a proteção de dados pessoais embutida nos hábitos de trabalho de cada empregado. No entanto, antes de chegarmos lá, há muito mais trabalho a fazer.
Isso significa que o mundo irá mudar drasticamente por causa da alteração na legislação? Talvez não. Mas, crucialmente, a aprovação de leis como estas faz parte de uma longa - e importante - jornada rumo a um relacionamento mais saudável entre organizações e dados sob seus cuidados.
Esperamos que não só as empresas e os cidadãos europeus, mas também os que residem na América Latina sejam mais conscientes do valor dos dados pessoais e de como armazená-los e processá-los, além de proporcionar o devido cuidado e preocupação que merecem.
Seja bem-vindo, GDPR.
[1] Dados baseados nos resultados de 804 respostas online à Ferramenta de Avaliação GDPR da Kaspersky Lab entre janeiro e fevereiro de 2018. O mercado-alvo da Ferramenta de Avaliação foram os entrevistados empresariais.
*Claudio Martinelli, diretor-executivo da Kaspersky Lab para América Latina
