Getting your Trinity Audio player ready...
|
Quais aprendizados da regulação europeia sobre proteção de dados podem ser aproveitados na adequação à LGPD? E quais as práticas de segurança da informação aplicadas por multinacionais? Executivos trocaram experiências sobre o tema na mesa-redonda “Cybersecurity – Aspectos Regulatórios”, realizada pelo IBEF Global no dia 05 de abril. Essa iniciativa do IBEF-SP promove conexões entre executivos que têm o elo em comum de atividade global ou regional em suas posições. O evento foi patrocinado pela Deloitte.
O evento teve como host João Batista Ribeiro, Vice-Presidente e CFO da Dell EMC e VP do IBEF-SP, com a participação de Ronaldo Fragoso, sócio da Deloitte e VP do IBEF Global. Participaram como convidados Manuella Cursino, gerente sênior da Deloitte Cyber, Ricardo D’Ottaviano, diretor jurídico da Dell, e Marcelo Farias, sócio da Deloitte Cyber e responsável pela prática de privacidade e proteção de dados na Deloitte.
Na introdução da live, Fragoso lembrou que a SEC – Securities and Exchange Commission, a comissão de valores mobiliários dos Estados Unidos, soltou consulta pública, em 9 de março último, com alterações nas regras para aprimorar as divulgações sobre gerenciamento de riscos de segurança cibernética, bem como relatórios sobre incidentes feitos pelas empresas listadas. “Questões regulatórias sempre são de prioridade para os CFOs. Então, esse é um outro fato que reforça a importância do tempo (para adequações)”, ressaltou o VP do IBEF Global.
Convergência com práticas internacionais – Os convidados aprofundaram casos práticos e traçaram paralelos entre a aplicação da GDPR – General Data Protection Regulation (GDPR), marco regulatório europeu da proteção de dados pessoais já consolidado, e a Lei Geral de Proteção de Dados Pessoais (LGPD), aprovada em 2018 e em vigência desde agosto de 2020.
Órgão federal responsável pela fiscalização e a regulação sobre a LGPD, a Autoridade Nacional de Proteção de Dados – ANPD tem seguido uma agenda regulatória com enfoque mais educacional, nesta primeira fase de implementação da norma. Contudo, os especialistas concordam que a tendência é a sua convergência para as práticas internacionais. Assim, a expectativa é que as multas e outras penalidades previstas deverão ser aplicadas com maior frequência e peso no futuro.
Multas atingem cifras milionárias – Marcelo Farias, sócio da Deloitte Cyber, apresentou uma perspectiva sobre o que pode estar por vir, utilizando o caso da GDPR. A União Europeia iniciou a discussão sobre a nova regulação de proteção de dados em 2012, tendo esta sido finalmente publicada em abril de 2016 e entrado em vigor em maio de 2018. As multas e penalidades relacionadas à GDPR cresceram de forma progressiva nos primeiros anos de vigência e, no último ano, registraram um avanço exponencial: saltaram de 400 milhões de euros, em julho de 2021, a 1,8 bilhão em março de 2022, segundo o GDPR Enforcement Tracker.
Ao analisar a distribuição das penalidades da GDPR por setor, Farias observou que indústria e comércio estão no topo do ranking (796,2 milhões de euros e 231 multas), seguidos por mídia, telecom e transmissão (613,2 milhões e 177 multas). “Só esses segmentos representam mais de 70% com relação às multas e penalidades naquele total de 1,8 bilhão de euros. Então são números extremamente significativos e relevantes”, destacou o sócio da Deloitte Cyber.
“Acreditamos que em breve, no Brasil, começaremos a ter multas e sanções significativas. A ANPD está neste momento catequizando, instruindo o mercado. Inclusive, ela já iniciou as reuniões técnicas para a elaboração da norma sobre o Encarregado (DPO – Data Privacy Officer). O tema é relevante”, completou Farias.
Com relação à cibersegurança, o especialista chamou atenção para o fato de que, desde o início da aplicação de multas por violações da GDPR, há uma forte presença de sanções relacionadas à falta de controles suficientes das empresas em áreas de tecnologia e cyber para o atendimento à regulamentação. Farias lembrou que cada país europeu tem sua autoridade para fiscalização da norma, e que a consolidação dos dados sobre multas apresenta números significativos para os CFOs terem em mente. “Porque isso, daqui a pouco, estará refletido no Brasil, em relação à nossa regulamentação”.
Muitos não estão preparados – Os artigos da LGPD referentes às sanções administrativas entraram em vigor em 1o de agosto de 2021. Contudo, ainda há uma quantidade relevante de empresas que não se adequaram à norma, alertou Manuella Cursino, gerente sênior da Deloitte Cyber. Ela compartilhou os insights de sua experiência em consultoria para vários projetos de adequação à LGPD.
Manuella citou o estudo realizado pela Fundação Dom Cabral com 207 empresas, no ano passado, em que 40% reconheceram que não estão plenamente adequadas à nova legislação. Ela explicou que o trabalho para estruturar uma empresa para estar adequada à LGPD ganhou força nos últimos três anos. A executiva notou que o projeto abrange várias etapas e leva tempo. “Abraçar tudo de uma vez não é possível, mas há pontos relevantes que precisam ser incorporados, até para evitar as sanções que a ANPD vem trabalhando”.
Sanções aplicáveis – Apesar de os dispositivos de sanções da LGPD estarem vigentes desde o ano passado, a ANPD ainda não aplicou, até este momento, nenhuma pena às empresas. Isso decorre, na avaliação de especialistas, da ausência de uma resolução para estabelecer os critérios de dosimetria – o que seria a “prioridade zero” para a coordenação do órgão, com a possibilidade de abertura de consulta pública ainda em abril, informa a imprensa.
Manuella lembrou que o tema da privacidade de dados é novo no Brasil, mas já é bastante conhecido das empresas multinacionais. Nesse sentido, ela avalia que o nível de adequação à LGPD por essas corporações mostra-se bastante avançado, permeando 70%. Para empresas de menor porte, ela avalia que apenas 30% estariam preparadas.
A gerente sênior da Deloitte Cyber ressaltou que as sanções da ANPD não envolvem apenas a multa; podem abranger a advertência, a publicização da infração, e até mesmo o bloqueio ou eliminação daquele dado se a base legal suportada para aquele processo não for adequada. “Ou seja, a empresa pode ter que suspender a atividade de tratamento daquele dado. Então, cabe lembrar que não é só o impacto financeiro – as multas podem ir até 2% do faturamento anual, limitadas a R$ 50 milhões por infração. Mas se for cabível a penalização, há outras vertentes que também podem ser aplicadas”, completou.
Experiência global – Ricardo D’Ottaviano, diretor jurídico da Dell, compartilhou a experiência da filial brasileira da multinacional na adequação à LGPD. O processo, iniciado após a aprovação da lei, durou 1 ano e meio. “A Dell é uma empresa bastante estruturada nessas questões de privacidade de dados e tem um time global. Assim, tive o privilégio de participar da implementação não só no Brasil, mas da regulamentação em outros países na América Latina. E aprendi demais com esse time global, pelo fato de já terem implementado a GDPR na Europa”.
O executivo destacou que a maior parte da implementação no Brasil foi realizada pelo time local, tendo depois convergido para o time global. Ele reforçou as palavras de Manuella, ao relatar que o projeto de LGPD é matricial, complexo, e não pode ser feito do dia para a noite. “Precisa haver planejamento, cronograma e um orçamento definido. E principalmente, na minha visão, tem que ser uma prioridade definida pela empresa. Podemos colocar o melhor software, trabalhar com as melhores ferramentas. Se não houver comprometimento das pessoas, você estará fadado ao fracasso. E recebemos esse apoio, de maneira global e local”.
Importância da priorização – Ricardo relatou que o projeto foi dividido em vários pilares, cada um com um executivo responsável, e no período de 1 ano e meio foram realizadas todas as implementações necessárias. Para lidar com as restrições orçamentárias, desafio para todas as empresas, a equipe definiu prioridades – a exemplo de softwares e aplicações que tratam dados pessoais e produtos B2C. Outra vertente priorizada foi a de dados pessoais dos empregados, seguida das relações com terceiros.
O diretor jurídico contou que a multinacional de tecnologia possui um Global Privacy Roadmap, no qual a cada início de ano fiscal da Dell são definidos os países que serão enfocados para a implementação de novas regulamentações, semelhantes à GDPR. “O Brasil entrou há alguns anos, depois tivemos o Panamá, e, neste ano, estamos discutindo outros países da América Latina. É um trabalho constante: as operações dos países implementados em anos anteriores também participam, sempre alguma melhoria. Como já realizamos a adequação na parte de B2C, começamos a trabalhar em B2B, e assim por diante. Então, a cada ano existe uma nova onda de melhorias”.
Aprendizados compartilhados – Com relação à gestão de riscos em um ambiente em que os incidentes de vazamentos de dados crescem vertiginosamente, Manuella destacou a importância dos controles de segurança. Ela observou que durante o mapeamento dos processos, na fase de assessment dos projetos, um dos pontos mais identificados é a existência de sistemas paralelos na empresa, dos quais a área de TI não tem conhecimento. “E como não tem conhecimento, por consequência os controles de segurança não são aplicados nesse sistema. Então, essa é uma grande questão: de fato a empresa conhece todos os sistemas em que tramitam os dados pessoais, dados sensíveis?”, indagou.
Os executivos lembraram que no caso de empresas multinacionais, muitas vezes o acesso a um sistema global é compartilhado pelos diferentes países, o que pode gerar vulnerabilidades sistêmicas caso uma das operações seja alvo de um vazamento de dados. Daí a importância de que esses acessos sejam controlados com camadas de segurança. Outro ponto destacado é que as soluções para áreas específicas podem vir de diferentes países, sendo um ponto de alerta mensurar qual o nível de vulnerabilidade desses sistemas.
Treinamento e educação – Outra boa prática recomendada é a realização de testes periódicos de intrusão e um forte trabalho de conscientização das equipes, que podem ser alvo de engenharia social. Esta última é uma técnica utilizada pelos cibercriminosos para induzir funcionários desavisados a enviar dados confidenciais ou instalarem malwares na rede corporativa, além de clicar em links para sites infectados. Há também preocupação das empresas em como contribuir para a educação dos próprios clientes em relação ao tema.
Vários executivos compartilharam que as matrizes estão atentas a esse tema, aplicando políticas cada vez mais duras para segurança da informação com as equipes internas e com terceiros. Esse último ponto tem levado à revisão de contratos com fornecedores, buscando induzir a adequação também em suas cadeias de valor às melhores práticas.
Outro aspecto interessante destacado é que a gestão de riscos de cyber entrou na agenda de operações de M&A com força, sendo objeto de due diligence, planos de adequação para os potenciais adquiridos e até mesmo motivo para deal breakers.
Para as empresas listadas em Bolsa, em breve o reporte sobre as medidas de segurança da informação realizadas extrapolarão a preocupação com o consumidor, sendo tema de responsabilização perante os investidores. “Você terá que explicar no seu relatório nos Estados Unidos o que está sendo feito para proteger a empresa de vazamento de dados ou mesmo de ataques. E, com certeza, o passo seguinte será a CVM adotar o mesmo critério aqui”, destacou João Ribeiro, ao enfatizar que, dentro da agenda ESG, este tema crucial está conectado ao pilar de Governança.