Alexandre Moura: Segurança Cibernética

14 Feb 2020, 13:01 by Alexandre Moura

No dia 5 de fevereiro passado, foi publicado pela Presidência da República (PR), o “Decreto Nº 10.222” que regulamenta a chamada “E-Ciber (Estratégia Nacional de Segurança Cibernética)”.

Pelo decreto, a E-Ciber é o marco legal que serve de balizamento das “ações do governo, em termos nacionais e internacionais, na área da segurança cibernética (segurança da Internet) e terá validade no quadriênio 2020-2023”.

O documento dá publicidade à “Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal” que é coordenada pelo Gabinete de Segurança Institucional da PR, com participação de mais de quarenta órgãos e entidades do Governo Federal, além de empresas e do setor acadêmico (Universidades).

Segurança Cibernética (II)

A E-Ciber além de contemplar a segurança cibernética, a defesa cibernética (o Brasil é considerado pioneiro e bem capacitado neste tema, com o CDCiber – Centro de Defesa Cibernética do Exercito Brasileiro) , a segurança das infraestruturas críticas (Centrais Nucleares, Hidrelétricas, Linhas de Transmissão de Energia, Empresas de Telecomunicações, Portos, Aeroportos, Fabricas Estratégicas, etc), a segurança da informação sigilosa (tanto do governo quanto das empresas) e a proteção contra vazamento e espionagem de dados públicos e privados, ela também “estabelece objetivos estratégicos nacionais, e as respectivas ações, que demonstram à sociedade brasileira os pontos considerados relevantes para o País na área da segurança cibernética”.

Vale salientar que este posicionamento do Brasil é coerente com as tendências globais, onde “novas e crescentes ameaças cibernéticas surgem na mesma proporção do avanço tecnológico, colocando em risco a administração pública e a sociedade como um todo”.

É de extrema importância que o Governo, a indústria, a academia e a população em geral, tenham consciência que devem incentivar a inovação tecnológica e a adoção de tecnologias de ponta, nesta área, que é fundamental a segurança nacional, neste conturbado e “digital” Século XXI.

LGPD: Data de inicio da aplicação da Lei pode ser adiada?

Ainda no tema “segurança digital”, a LGPD – Lei Geral de Proteção de Dados que vai valer a partir de agosto deste ano, e “garante mais segurança no tratamento e armazenamento de dados, principalmente os pessoais”, pode ter sua data de entrada em vigor modificada.

Com o argumento que “a grande maioria das empresas não está preparada para cumprir as exigências contidas na lei”, um PL (Projeto de Lei) tramita na Câmara Federal, PL Nº 5.762/19, que prorroga a entrada em vigor da LGPD para agosto de 2022, dois anos após a data prevista atualmente.

Vale destacar que inicialmente, a lei já valeria neste mês de fevereiro e foi adiada por seis meses, exatamente para dar mais tempo as empresas se adequarem.

Não sei se este adiamento vai vingar, visto que este tipo de legislação é prevista em acordos e tratados comerciais que o Brasil é signatário e possivelmente, deve ter influência sobre a data de início da vigência. Inclusive o texto da nossa LGPD foi bastante influenciado pela GDPR – General Data Protection Regulation da UE – União Europeia.

As empresas devem se preparar e não ficar esperando o adiamento, da entrada em vigor da lei, que pode não acontecer. Fica o alerta.

“DPO”

Como escrevi acima, a LGDP teve como influência a lei europeia GDPR e ambas tem foco principal, na proteção de dados pessoais, estipulando regras para a “coleta, tratamento, armazenamento e compartilhamento destes dados”.

O não cumprimento do especificado nos artigos da LGPD, “pode acarretar multas que variam (Atenção: o valor é calculado para cada infração cometida) de 2% do faturamento bruto da empresa autuada, até R$ 50 milhões”.

Na lei brasileira consta também, a figura do DPO, “Oficial de Proteção de Dados” (do inglês Data Protection Officer), que é a pessoa responsável pela “proteção de dados” na empresa e é fundamental para “deixar, guiar e manter” a empresa organizada (em relação a proteção dos dados armazenados de terceiros, como clientes e fornecedores), em conformidade com a LGPD e assim, evitar ou no mínimo, diminuir as chances de penalidades.

O DPO também, “centraliza o contato” com a ANPD – Autoridade Nacional de Proteção de Dados, entidade responsável pela ”aplicação” da legislação em todo o país.

Vale salientar que o DPO pode ser um funcionário ou consultor externo contratado para esta função, cujo perfil deve contemplar conhecimentos jurídicos e técnicos inerentes a LGPD e seu ambiente de aplicação. Idealmente, esse profissional é um advogado (capacitado na LGPD e em “Direito Digital”) com razoável bagagem de TI (Tecnologia da Informação).