O bom uso da internet vai muito além de utilizar senhas fortes ou manter o antivírus sempre atualizado. O uso seguro, ético e responsável das tecnologias de informação e comunicação é o que rege essa data.
Contudo, engana-se quem acredita que esse comportamento deva partir somente das pessoas. As organizações, entre universidades, ONGs e empresas, também devem colaborar com esse cenário, tendo em vista um ambiente sustentável onde as relações entre pessoas e instituições possam fluir. E é justamente no que é importante para as empresas que esse artigo toca: o uso seguro, responsável e ético de dados dos usuários.
A abundância de informações
As principais transformações que aconteceram nos últimos anos têm relação direta com a Internet. O fenômeno do Big Data, que já vinha sendo especulado há muitos anos, tornou-se uma realidade tão intrínseca ao nosso cotidiano que é praticamente impossível notá-lo. Da mesma forma, o uso dos smartphones, o IoT – Internet das Coisas (que veio também em forma de wearables – dispositivos vestíveis, como smartwatches) e as redes sociais se tornaram uma parte tão corriqueira do dia a dia.
Todos esses dispositivos e sistemas conectados geram uma quantidade colossal de dados, materializando o fenômeno do Big Data. Dados como número de telefone e endereços de e-mail tornaram-se abundantes na internet. A partir daí, várias empresas e organizações descobriram como fazer uso desses dados para maximizar seus resultados, obtendo novos insights para seus negócios.
Tudo isso parecia o paraíso, como se fosse o “Santo Graal” dos negócios.
Até que um dia…
Os primeiros escândalos envolvendo o mau uso de dados por parte de organizações começaram a tomar os noticiários. Como exemplo, em 2014, a Cambrigde Analytica fez a coleta de dados pessoais dos usuários do Facebook, através de um aplicativo aparentemente inocente de testes dentro da própria rede social. Cerca de 87 milhões de pessoas foram afetadas nessa coleta indevida. A partir daí, denúncias foram estampadas na imprensa, com o uso para fins políticos e não autorizado desses dados para o direcionamento de propaganda.
Em abril/2018 o Facebook teve um prejuízo de mais de US$ 50 bilhões em valor de mercado, cerca de R$ 186 bilhões, usando a conversão do dólar à época. Para se ter uma ideia, no mesmo período, o Bradesco, uma das maiores instituições do Brasil, valia cerca de R$ 222 bilhões na bolsa. Em um período tão curto de tempo, o Facebook contabilizou um prejuízo quase tão grande quanto o Bradesco.
O escândalo foi suficiente para reacender os debates sobre privacidade online e o uso de dados por parte de organizações. Esse foi apenas um exemplo dos diversos casos envolvendo o uso de dados pessoais que tivemos no passado, que envolvem ainda vazamentos de dados de grandes corporações. E nesse momento, os governos ao redor do mundo começaram a se mexer.
As reações
Ainda em 2012, a União Europeia foi a primeira a criar uma legislação rígida sobre o assunto. O Regulamento Geral sobre Proteção de Dados, ou GDPR, foi aprovado em 2016, entrando em vigor em 2018. Qualquer organização que lide com os dados de algum indivíduo europeu está submetida à regulamentação, que criou regras bastante claras sobre como devem ser manipuladas as informações fornecidas pelos cidadãos europeus.
As penas que o GDPR prevê podem ser bastante elevadas, indo de uma simples notificação até € 20 milhões, ou 4% sobre a receita anual global da empresa, o que for maior.
Na época, a maioria das empresas correu para atualizar seus termos de uso, enviando aos seus usuários uma grande quantidade de e-mails para notificá-los das mudanças
Aos moldes da legislação europeia, em 2018 o Brasil também criou uma legislação para proteção de dados dos usuários, a LGPD (Lei Geral de Proteção de Dados). Assim como no GDPR, a lei brasileira se aplica a qualquer negócio dentro do Brasil. A aplicação penal também é severa, com multas que podem custar até R$ 50 milhões.
As empresas terão até fevereiro de 2020 para estar em total acordo com a nova legislação. A lei prevê que os negócios deverão atender os seguintes critérios:
- Data Protection Officer (DPO): as empresas precisam estabelecer um comitê de segurança da informação, para analisar os processos internos. Pelo menos um dos profissionais deverá ser exclusivo para a proteção de dados.
- Consentimento do usuário: a coleta e o tratamento de dados pessoais dos usuários devem ser consentidas. Além disso, os titulares dos dados podem a qualquer momento retificar, cancelar ou solicitar a exclusão permanente de seus dados.
- Notificação de incidentes: toda empresa deverá notificar as autoridades sobre qualquer incidente de uso indevido ou vazamentos para as autoridades.
- Subcontratantes: a legislação se aplica também aos fornecedores e parceiros de tecnologia. Além de estarem sujeitos às obrigações, as multas também podem ser estendidas aos subcontratantes.
- Privacy by design: a proteção de dados deve ser incorporada desde a concepção do produto ou serviço, nas estruturas tecnológicas, no modelo de negócio ou nos aspectos físicos.
Dessa forma, a LGPD pode representar um sério desafio às empresas. Avaliar os processos, reduzir riscos e direcionar esforços para o cumprimento da LGPD são fundamentais para que as organizações adequem-se a nova legislação.
Os negócios devem se atentar não apenas aos setores de TIC. Quando analisamos as empresas como um todo, setores como RH e Marketing lidam com quantidades enormes de dados pessoais dos usuários. Os processos de negócio, tanto quanto a segurança da informação, devem ser priorizados na adequação dos negócios ao novo cenário.