“COVID-19 & Segurança Cibernética: navegando sob ameaças”. Esta é a tradução literal do título de um interessante webinar ministrado por uma instituição internacional de governança corporativa. Notemos que a abordagem apresentada foi apenas sob duas óticas de ameaças, pois o evento é nativo de um país com legislação vigente e autoridade instituída em relação à proteção e privacidade de dados.
Tomando a liberdade de tropicalizar esse título, poderíamos adaptá-lo à nossa realidade, fazendo a seguinte alteração: “COVID-19, Segurança Cibernética e LGPD: Navegando na tríplice ameaça de um ambiente ainda desregulamentado”.
Sob essa ótica, de certa forma, podemos fazer alguma associação entre a COVID-19, a privacidade de dados e o adiamento da vigência da LGPD. Sim, é fato que a difícil situação financeira em que se encontra ou poderá ficar parte das empresas, diante da pandemia do Coronavírus, caso medidas efetivas de socorro não cheguem, venha a adiar projetos, talvez para além de um possível adiamento do prazo de vigência dessa legislação.
Possivelmente, a retomada da economia, pós COVID-19, com a corrida pela recuperação financeira por parte do mercado, traga o aumento de exposições e superfícies de ataques, através do aumento de vulnerabilidades em relação à privacidade de dados, potencializado pela ausência dos controles de aderência da LGPD, possibilitando assim, novas formas de vazamentos e tratamentos indevidos.
Pois bem, em tempos de pandemia onde a sobrevivência econômica é a tônica do momento, e com justiça, justificam-se ações e decisões emergenciais em termos financeiros e de saúde, tanto para pessoas como para empresas, e por coincidência ou não, presenciamos recentemente o eminente adiamento da data de entrada de vigência da Lei Geral de Proteção de Dados (LGPD), através de projeto de lei ou medida provisória.
Bem, a princípio poderíamos dizer que não existe relação direta entre a COVID-19 e o proposto breve adiamento da LGPD, pois antes do advento do Coronavírus, já havia rumores e negociações, projetos e medidas para o estabelecimento do adiamento da sua vigência, devido ao nível de maturidade do mercado e à incapacidade de demonstrar conformidade em tempo hábil no prazo original.
Portanto, não podemos afirmar categoricamente que apenas o advento da pandemia, apesar de seu status devastador, seja ou será a causa única e direta do adiamento da nova vigência da LGPD, mas com certeza seus efeitos dramáticos para a economia nacional contribuirão para um possível adiamento do projeto de adesão à conformidade por parte das organizações.
Independente de especulações ou rumores, queremos aqui salientar algumas questões de causa e efeito entre a pandemia do Coronavírus e o estabelecimento efetivo da regulamentação da LGPD, a qual não tem apenas o caráter jurídico ou tecnológico, mas sim econômico e de competitividade, reputacional e confiabilidade, local e internacional.
Entendemos que os efeitos econômicos da COVID-19, acrescidos do adiamento deste dispositivo legal, contribuirão diretamente para o aumento significativo de riscos de ataques cibernéticos e seus impactos, uma vez que mesmo sendo pequeno o prazo de adiamento da vigência da LGPD, isso trará uma não observação das medidas efetivas e investimentos em proteção e privacidade de dados, e por consequência dos controles necessários, aumentando assim a incidência de novas vulnerabilidades, vazamentos e tratamentos indevidos de dados e seus efeitos econômicos nefastos.
Portanto, verificamos aqui alguma relação de causa e efeito entre a COVID-19 e a LGPD, no que tange às questões de tempo hábil e consciência para conformidade, cultura e postural sobre riscos de segurança, e investimentos necessários frente a uma guerra cibernética.
Tais questões, até agora abordadas, justificam-se pelo registro da proliferação de ataques motivados pela COVID-19 (como por exemplo “Auxílio Emergencial”, doação de álcool gel, doação de chocolates por parte da Nestlé e Cacau Show, este último atingindo mais de meio milhão de pessoas…) e principalmente o aumento de dados empresariais e de seus clientes em redes “escuras” como as dark e deep webs.
Estes ataques, entre outros, aproveitam-se de possíveis novas vulnerabilidades advindas de novos comportamentos e hábitos pessoais e empresarias do “novo normal” em tempos de pandemia, o que poderia ser mitigado e até evitado, através das melhores práticas e controles instituídos pelo estabelecimento regulamentado de processos, políticas e controles nativos do “LGPD-Compliance”, os quais devidamente implementados devem se estender a todas as instâncias empresariais. Entendamos que empresas são formadas por pessoas em um mundo hyperconectado.
Senão vejamos, o Brasil foi alvo de milhões de ataques motivados pela COVID-19 nestes poucos e últimos meses, pois ainda, por natureza, somos tidos como um país ciberneticamente vulnerável, com práticas insuficientes ou indevidas, tanto que ainda não conseguimos sequer tornar vigente tão importante regulamentação, a LGPD que acima das sanções preconiza a privacidade e proteção de dados.
Portanto, somos um dos alvos preferenciais de hackers e fraudadores internos e externos, uma vez que grande parte de nossas estruturas são vulneráveis a ataques antigos, a ataques antigos repaginados ou correlacionados (combinados) e, principalmente, vulneráveis aos novos e persistentes ataques.
E isto também é um fator cultural. Detemos um legado de sistemas antigos ou reformulados, e quanto aos novos, em sua maioria, poucos implementam o desenvolvimento baseado em código seguro. Tudo isso, combinado com a ausência de um postural efetivo de segurança cibernética e privacidade de dados, em termos de de processos, tecnologias e cultura, nos torna um alvo preferencial de ataques, pois continuamos a apresentar altos índices de vulnerabilidades diversas.
Então, podemos dizer que existe alguma relação direta ou indireta entre a COVID-19 e o adiamento do estabelecimento da vigência da LGPD?
Vejamos o destaque do Projeto de Lei 1.179/2020. O Plenário do Senado apresentou recentemente o Projeto de Lei que suspendeu temporariamente Leis de Direito Privado enquanto durar a epidemia do Coronavírus e/ou a COVID-19. A proposta, de caráter emergencial do Senador Antonio Anastasia (PSD/MG), recebeu algumas alterações por parte da Relatora do projeto, Simone Tebet (MDB), que foram tratadas nos âmbitos do Judiciário e do Legislativo, seguindo para aprovação na Câmara dos Deputados. Também destacamos mais recentemente a MP n° 959, que propõe, devido ao contexto atual, adiar a vigência da LGPD.
O ponto importante do PL 1.179/2020 e da última MP n° 959, que propõem o adiamento da vigência da LGPD para a partir de 1º de janeiro de 2021 ou 3 de maio de 2021, se aprovados na Câmara dos Deputados, é que em qualquer uma das duas proposições, teremos pouco tempo para adequação, apenas cisco ou nove meses a partir do prazo original vigente de agosto de 2020 para adaptarmos nossas estruturas e processos corporativos. E um pouco mais para o estabelecimento de multas e demais sanções desta regulação pelo descumprimento legal.
Ainda que um prazo curto em se tratando de adequação devida à LGPD, temos uma grande oportunidade para que nossas empresas iniciem, de forma consistente, seus processos de adequação.
Sim, também devemos aqui observar de forma clara que qualquer que seja o novo prazo para a vigência da LGPD, isto não evita em nada as multas ou punições, advindas da observação legal de privacidade de dados, pois no âmbito do judiciário já existe jurisprudência que permite que mesmo na ausência ou adiamento da LGPD, sejam estabelecidas ações judiciais com seus devidos TACs (Temos de Ajustamento de Conduta) e sanções pelo MPDFT (Ministério Público do Distrito Federal e Territórios) sobre incidentes de privacidade. O CDC (Código de Defesa do Consumidor) já prevê e aplica sanções significativas relativas à privacidade de dados e temos alguns casos no Brasil, os quais são de domínio público, sendo mais recente o case do Zoom, os quais exemplificam a penalização já aplicada por vazamento e mau tratamento de dados, pois a publicização, e ela ocorre, permite o escrutínio público e perdas financeiras e reputacionais pelos incidentes, os quais são fáceis de ocorrer.
O congresso, motivado ou não pela COVID-19, poderá adiar a vigência da LGPD e o consequente relaxamento dos controles e políticas preconizados, mas com isto não impedirá o aumento das vulnerabilidades e, principalmente, dos riscos e impactos do aumento das superfícies de ataques cibernéticos, comportamentos inadequados e aumento do uso de sistemas de acesso remoto.
Precisamos entender que em tempos de crise, principalmente esta que não tem precedentes, é integrada e não tem previsibilidades, nos deixando mais fragilizados e vulneráveis. Apresenta-se um ambiente com maiores condições e motivações para ataques correlacionados e fraudes internas. É necessário estarmos preparados para o aumento já registrado desses incidentes de graves consequências. A COVID-19 tem motivado muito a incidência de ataques cibernéticos, provocando vazamentos e sequestros de informações, as quais a instituição dos controles e políticas preconizados pela LGPD tem o objetivo de mitigar ou evitar.
Portanto, com base nessas premissas, podemos inferir que pode haver uma espécie de relação entre a COVID-19, a proteção e privacidade de dados e a LGPD: A Tríplice Ameaça de um ambiente ainda desregulamentado, o que não pode ser motivação para assim continuar…