Em 2018 assistiremos ao acirramento das batalhas por privacidade

Se nada for feito, e de forma urgente, são grandes as chances de enfrentarmos uma "tempestade perfeita" em relação ao debate em torno da privacidade. A previsão, alarmante, é do Relatório de Previsões de Segurança para 2018, da empresa de cibersegurança Forcepoint. Soa meio exagerada, como a maioria das previsões das pesquisas de segurança, mas não deixa de servir de alerta para nós, brasileiros, ainda privados de uma Lei de Proteção de Dados Pessoais que faça frente a problemas relacionados ao uso indevido de dados por parte de empresas e governos. De um conceito abstrato, a privacidade passou ser algo acionável, em um mundo onde somos levados a ceder dados pessoais e comportamentais em troca de alguma conveniência ou segurança.

Por exemplo, aqui no Brasil, a implementação do disposto no Decreto 8.789/2016, sobre o compartilhamento de bases de dados na administração pública federal, é um baita desafio ao debate sobre privacidade. "Políticas genéricas envolvendo dados abertos, bem como a própria Lei de Acesso à Informação, não permitem o acesso e tratamento indiscriminado de dados pessoais", comenta o advogado Danilo Doneda, consultor do Comitê Gestor da Internet no Brasil (CGI.br). Na opinião dele, o decreto não dá carta branca para que sejam compartilhados quaisquer bancos de dados com quaisquer órgãos e entidades da administração pública direta e/ou indireta, embora sua leitura apressada possa transmitir o contrário. "O perigo se amplia pela imprevisibilidade de usos permitida pela deficiência regulatória do decreto", diz ele.

O decreto prevê o compartilhamento de dados cadastrais, portanto pessoais, relacionados à pessoa identificada ou identificável. A utilização desses dados, mesmo por órgãos governamentais, deveria observar a proteção de direitos fundamentais e de outros direitos existentes na ordem jurídica, referentes à privacidade, liberdade e autonomia sobre o uso dos próprios dados pessoais pelo cidadão, mesmo em se tratando de dados sob a guarida do Estado. "O fato de a Administração Pública possuir certos dados não significa que eles sejam de sua "propriedade", afirma Danilo Doneda.

Sem uma Lei de Proteção de Dados Pessoais no país, o ordenamento jurídico continuaria insuficiente para dar conta das novas ameaças à privacidade. Parado no Congresso, o PL 5276/2016, ao estabelecer os princípios de proteção de dados, prevê o princípios que deveriam ser observados pelo decreto, como o da não discriminação (art. 6º, inc. IX), "pelo qual o tratamento não pode ser realizado para fins discriminatórios" e também o da transparência "pelo qual devem ser garantidas aos titulares informações claras, adequadas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento", ressalta Danilo.

Voltando ao relatório da Forcepoint, são muitos os fatores capazes de causar mudanças profundas no cenário da privacidade, no mundo todo, e influenciar a maneira como as organizações coletam e gerenciam dados. A badalada Transformação Digital capacitou os funcionários a acessar e interagir com dados e a propriedade intelectual através de uma miríade de sistemas, aplicações e dispositivos que destruíram os atuais perímetros de segurança. O tratamento de dados pessoais, em particular por processos automatizados, é uma atividade de risco.  A possibilidade de controle unificado das diversas atividades da pessoa, nas múltiplas situações de vida, permitem o conhecimento de sua conduta pública e privada, até nos mínimos detalhes.

Segundo a pesquisa Data Risk Report, da Varonis, 47% das empresas de todo o mundo têm mais de mil arquivos sensíveis que ficam expostos a todos os funcionários, enquanto 22% das empresas têm mais de 12 mil arquivos nessa mesma situação. Além disso, 59% não empregam um programa de proteção de acesso aos dados, 62% têm acesso a dados corporativos que não deveriam ser vistos publicamente e 62% não fazem auditoria sobre o uso dos dados e nem têm alertas sobre abuso.

Além disso, a adoção em larga escala de dispositivos de Internet das Coisas (IoT) em ambientes voltados para consumidores e negócios, muitas vezes de fácil acesso e não monitorados, ampliará os alvos para os cibercriminosos. De acordo com um estudo do Gartner, já existem cerca de 8.4 bilhões de dispositivos classificados como IoT conectados à internet, um crescimento de cerca de 31 por cento comparado a 2016. Espera-se que esse número chegue a 20 bilhões em 2020. Atualmente, grande parte dos dispositivos avaliados em pesquisas de mercado demonstraram fragilidades que podem comprometer a segurança cibernética e a privacidade.

Na visão da Forcepoint, compreender como, quando e por que as pessoas interagem com dados críticos e sensíveis, independentemente de onde estão localizados, será crucial para os profissionais de segurança e também para os legisladores, às voltas com a criação e implantação de novos regulamentos de proteção de dados, como o europeu General Data Protection Regulation(GDPR), que entra em vigor em 25 de maio de 2018. Hoje, 109 países já possuem leis gerais de Proteção de Dados Pessoais.

Sobre o GDPR, ele vai exigir que as empresas cuidem das informações pessoalmente identificáveis armazenadas em ambiente corporativo, tais como números de CPF e cartão de crédito, entre outros documentos e dados. Para isso será preciso saber identificar os dados sensíveis armazenados no ambiente corporativo e definir as estratégias de proteção dessas informações.

É nesse âmbito que os debates sob privacidade se transformação em batalhas acirradas.

"Como a GDPR também permite que os cidadãos "desautorizem" o uso dos dados fornecidos (por exemplo, em uma compra em loja ou cadastro em site), deve-se garantir a privacidade de todos os dados e das pessoas, sem que haja vazamentos causados por problemas em sistemas internos ou por ação maliciosa de hackers, que estão cada vez mais "inovadores" na forma de atacar as redes empresariais", ressalta Carlos Rodrigues, vice-presidente da Varonis, em artigo recente.

E apesar de se tratar de uma regulamentação da União Europeia, qualquer empresa ou organização  que processe, colete, hospede ou compartilhe dados pessoais de usuários europeus, no mundo, incluindo o Brasil, terá de se adequar ao GDPR.