‘As leis demoram tanto para sair que correm o risco de ficar obsoletas’, diz advogado em debate na Fiesp

Isabela Barros e Graciliano Toni, Agência Indusnet Fiesp

A manhã foi de debates sobre a tecnologia e seus desafios no I Seminário Internacional de Proteção de Dados e Privacidade, realizado nesta quarta-feira (8 de agosto), na sede da Fiesp, em São Paulo. O evento foi organizado pelo Departamento de Defesa e Segurança (Deseg) da casa.

Vice-presidente da Fiesp e diretor titular adjunto do Deseg, Dagmar Oswaldo Cupaiolo destacou que há “130 mil empresas colocadas nesse grande caldeirão, onde há absoluta necessidade de aprendizado”.

“É imensa a nossa preocupação”, disse. “Existe até uma competição de robótica no Sesi-SP com o tema “como viver e viajar no espaço”: precisamos estar a par disso tudo, é responsabilidade nossa acompanhar as mudanças”.

Diretor titular adjunto do Departamento Jurídico e conselheiro do Conselho Superior de Assuntos Jurídicos e Legislativos da Fiesp, Coriolano Aurélio de Almeida Camargo Santos destacou o Marco Civil da internet. “Temos que debater a remoção de conteúdos a partir da simples notificação, sem ter que judicializar tudo”.

Já o presidente do Núcleo de Informação e Coordenação do Ponto- BR (NIC.br), Demi Getschko, lembrou que “a internet se baseia no princípio do marketing”. “Temos que proteger o usuário, mas evitar a tutela excessiva, preservar um equilíbrio”, disse.

Para ele, “existem dados que devem ser protegidos e outros divulgados por uma questão de transparência” “Se você constrói uma casa, há uma placa com o nome do engenheiro responsável pela obra, para assumir a responsabilidade se alguma parede cair”, destacou.

Diretor do Deseg e coordenador do Grupo de Trabalho de Segurança Cibernética, Rony Vainzof  também participou da abertura do seminário e apresentou os participantes do debate.

Regulações internacionais

O primeiro painel de debates do evento teve como tema GDPR (Europa), EUA e Brasil: reflexos e impactos das regulações internacionais para a indústria brasileira. E foi moderado pelo advogado, professor coordenador do Curso de Direito Digital e Proteção de Dados e Privacidade do Insper e conselheiro do Conselho de Estudos Avançados (Consea) da Fiesp, Renato Opice Blum.

“Me preocupa o efeito prático das legislações em discussão hoje”, disse. “No Brasil, vivemos uma dificuldade legislativa”.

Segundo ele, “as leis demoram tanto para sair que correm o risco de ficar obsoletas”. “Todos os países devem ter uma autarquia, um órgão que resolva essas coisas com mais agilidade”.

Para Carlos Oliveira, ministro-conselheiro da Embaixada da União Europeia no Brasil, é preciso refletir para dar uma resposta estrutural e sistêmica ao problema.

“A proteção de dados não é exclusividade da União Europeia”, disse. “A União Europeia está tentando construir com vários países normas de proteção e transferência de dados”.

Conforme Oliveira, existe, inclusive, a perspectiva de um futuro acordo entre a União Europeia e o Mercosul nesse sentido. “Vamos entrar em diálogo no sentido de desenvolver um acordo de legislação”, disse.

Também participou do debate Guilherme Roschke, conselheiro do Federal Trade Commission (FTC). Ele disse que “as empresas não sabem seguir as boas práticas, o que fazer para agir dentro da lei”. “Temos que pensar numa lei para prevenir práticas enganosas, protegendo os dados dos consumidores”, afirmou.

Roschke citou alguns casos que já acompanhou nesse sentido. “Processamos um aplicativo que oferecia uma lanterna no celular e coletava a posição geográfica do consumidor pelo GPS, compartilhando essa informação com os anunciantes sem o cliente saber”, disse. “Também agimos contra o Facebook quando o serviço trocou a sua política de privacidade sem o consentimento dos usuários”.

De acordo com Roschke, o FTC está aberto a ajudar quem procurar o órgão. “Podemos receber funcionários de agências internacionais que podem trabalhar nas nossas investigações”, explicou. “Participamos de redes internacionais com esse foco”.

Marcel Leonardi, diretor de Relações Institucionais do Google, disse que acompanha as preocupações em relação à lei geral de proteção de dados. “É um chacoalhão”, afirmou. O regulamento geral europeu deu 2 anos para adaptação, de 2016 a 2018 (o que foi feito por cerca de 20% das empresas). Talvez seja possível evitar no Brasil deixar para a última hora, disse, lembrando que há até março de 2020 para se adaptar.

Lembrou que o fato de um dado estar publicamente disponível não significa que possa ser usado. A empresa deve fazer um mapa interno de todos os dados coletados e para que são utilizados e qual a justificativa legal para isso. Talvez, disse, seja conveniente não coletar informações que não se sabe se serão ou poderão ser utilizadas.

Na prática é preciso documentar cada etapa de cada processo feito com os dados. Pequenos detalhes operacionais no dia a dia passam a ser exigidos, e há mais burocracia, mas depois de incorporado, torna-se natural.

Proteção de dados deve provocar um choque inicial no Brasil, mas não é um bicho-papão. É algo viável, não vai acabar com os negócios, afirmou Leonardi.

Também o monitoramento e a auditoria externa são importantes.

Como a legislação brasileira tem muita inspiração no GDPR, as multinacionais acostumadas a ele terão mais facilidade para se adaptar, mas não necessariamente vai acontecer isso.

Se se deseja que a norma tenha efeito prático, é crucial a autoridade de proteção de dados. Seu grande papel é fazer os diálogos com o mercado, o que acontece com frequência no sistema europeu, explicou. Espera-se que ocorra o mesmo no Brasil.

Respeitar a privacidade é diferencial competitivo, lembrou.

A autoridade é o calcanhar-de-aquiles da proposta brasileira. Há ansiedade em relação a quem exercerá a função, com temor de interferências políticas. É preciso, defendeu, haver qualidade técnica e conhecer o assunto.

Viviane Nóbrega Maldonado disse que para compreender o alcance da regulamentação europeia é preciso analisar sua relação com os EUA, onde há o privacy shield, aplicado principalmente às grandes empresas, como o Google, mas que está sob ameaça.

Em 12 de junho o Parlamento Europeu decidiu que ou os EUA se adequam ao padrão europeu ou a partir de 1º de setembro termina o acesso norte-americano a seu mercado.

Em 25 de maio quando se tornou verdadeiramente efetivo o regulamento europeu, a organização Noyb entrou com ação contra as gigantes norte-americanas por não estarem de acordo com a norma. Em alguns casos houve o bloqueio de acesso de produtos norte-americanos à Europa.

O objetivo é pegar os grandes, com volume expressivo de dados, mas Viviane Maldonado considera que isso seja o início de uma nova era, na qual será preciso prestar atenção à maneira de coletar dados, tratá-los e lidar com seus titulares.

O dado pessoal nunca se desvincula de seu titular, e cada ação a respeito disso deve levar em consideração o fato. Caso contrário “seremos vítimas de nosso próprio descaso em relação à proteção dos dados”, afirmou. Defendeu que haja o máximo conservadorismo na proteção dos dados.

Fabricio Mota Alves, assessor legislativo no Senado Federal para temas de Direito Digital, trabalhou na proposta brasileira e disse que aprendeu durante o processo. A matéria, destacou, enfrentou e ainda enfrenta diversas dificuldades. “Não sabemos em que nível teremos vetos ao texto, mas já há bastante discussão interministerial em relação ao assunto.” No Congresso, disse, houve profunda discussão democrática.

A escolha do modelo europeu, em sua opinião, foi acertada, por nossa estrutura jurídica e pela ausência de uma verdadeira estrutura federalista. “Respeitamos mais e de forma mais intensa leis federais.” O modelo europeu é generalista e pode ser aplicado de forma mais ampla.

O modelo de autoridade se aproxima do existente em Cingapura, pequeno e eficiente, privilegiando a colaboração, explicou.

O projeto traz uma cultura nova, afirmou. “Todos valorizamos a privacidade, está na Constituição, mas não associamos privacidade a proteção de dados”, e é preciso haver iniciativas para sensibilizar a sociedade.

Carlos Oliveira, ministro-conselheiro da Embaixada da União Europeia no Brasil, disse que o GDPR em termos globais significa uma simplificação, com redução de custos para o compliance. “Em muitos aspectos estamos falando num quadro de simplificação e de coerência jurídica”, dando às empresas um cenário de maior previsibilidade.

Mesa de abertura do I Seminário Internacional de Proteção de Dados e Privacidade. Foto; Helcio Nagamine/Fiesp

O painel 2 foi Conciliando proteção de dados com desenvolvimento tecnológico: desafios e perspectivas para a futura legislação brasileira. Foi moderado por Rony Vainzof, diretor do Departamento de Defesa e de Segurança da Fiesp e responsável pelo grupo de trabalho de segurança cibernética, que lembrou que houve fatos sociais relevantes acompanhando a discussão da lei geral de proteção de dados. O primeiro foi o caso Cambridge Analytica, e o segundo, a eficácia plena do GDPR, que obrigou as empresas brasileiras a se movimentar em relação ao tema.

Recomendou que as empresas se façam a pergunta “preciso coletar esse dado e tratá-lo para a finalidade para a qual se destina?”. Deixou como reflexão, usando como exemplo a identificação biométrica, por impressão digital, implantada em academias, sujeitando-as a um risco representado pela coleta de dados sensíveis.

Andriei Gutierrez, gerente de Relações Governamentais e Assuntos Regulatórios da IBM, perguntou se os dados são o petróleo do século 21, a nova moeda. Vivemos um processo de transformação muito profundo, comparável à revolução industrial, disse. O projeto, discutido ao longo de oito anos, não é o ideal, mas é o possível, em sua análise.

Rafael Zanatta, lider do Programa de Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), percebe a disseminação percepção sobre a importância da proteção de dados. A legislação como está fortalece a proteção de direitos difusos, disse. Haverá plenas condições de colaboração, afirmou. A autoridade de dados pessoais deve ter o papel de criar uma cultura. Deve trabalhar para além de um sistema de comando e controle. A possibilidade participativa por meio de conselhos e uma modulação das sanções parecem contempladas na proposta brasileira.

Laura Tresca, coordenadora do programa de Direitos Digitais da Artigo 19, organização não governamental de direitos humanos e defesa de liberdade de expressão, explicou que o envolvimento da entidade se deve à interligação da privacidade com a liberdade de expressão.

A responsabilidade do empresariado em promover e defender a liberdade de expressão e de promover e defender a privacidade passaram a ser ponto de atenção, disse.

Consentimento é instrumento importante, mas não o único, e nossa lei, se aprovada, trará outras hipóteses, como o legítimo interesse, afirmou.

O indivíduo não precisa necessariamente ter absoluto controle sobre os dados a seu respeito, especialmente o indivíduo que tem cargo público. Há um limite para a autodeterminação informativa.

Luana Lund Borges de Carvalho, coordenadora geral de Assuntos Cibernéticos do Ministério da Ciência, Tecnologia, Inovações e Comunicações, destacou que há o conflito entre proteção de dados e seu uso. Os pilares da transformação digital são a transformação digital do governo e a do setor privado. E é necessário ter segurança em relação à informação, para gerar confiança nas empresas. E as pessoas precisam estar seguras sobre a proteção de seus dados.

Proteção insuficiente e proteção excessiva são ambas nocivas, disse, citando a Unctad. Em relação à lei discutida no Brasil, ela traz equilíbrio, ponderou.

Ciro Furtado Bueno Teixeira, diretor titular adjunto do Dempi Acelera e Departamento de Defesa e Segurança da Fiesp, disse que é inevitável perguntar qual é a sociedade que queremos, qual é a internet que buscamos. “Mais importante do que a lei é discutir o que buscamos.”

Com a LGPD teremos que mudar nosso comportamento, avaliando antes de aceitar os termos. Vai trazer grande mudança à sociedade. Micro, pequenas e médias empresas devem ter a ganhar, mas é preciso analisar a questão ao longo dos 18 meses para a implantação da lei.

Não temos todas as respostas, mas a Fiesp está empenhada, disse. E é um esforço conjunto de toda a sociedade, ressaltou.

Vainzof disse que o usuário deve se questionar se um serviço que pretende usar vale os dados que terá que fornecer. As pequenas e médias empresas devem tomar cuidado especial, porque podem quebrar devido a problemas com dados.

Tenho certeza absoluta que é questão de sobrevivência das empresas, disse Vainzof no encerramento. O compliance na proteção de dados é absolutamente necessário. A lei não é incompatível, disse citando Rafael, com a transformação digital.

Coriolano Camargo destacou que para a indústria os dados passam a ser encarados como insumos vitais para a produção. As atividades de uma fábrica precisam estar alinhadas com a lei de proteção de dados. A Fiesp, explicou, faz ressalva à criação de uma nova autoridade reguladora, num momento de crise fiscal. Seu custo recairia sobre a sociedade. Uma legislação clara e efetiva pode dar a qualquer ente de controle já existente condições para fazer o controle.

Caso a opção seja manter a criação da autoridade, a Fiesp defende que a proposta não seja alterada de forma a inflar a estrutura prevista.

Na Internet das Coisas, desafio é conciliar excesso de informação, disponibilização de dados e segurança de dispositivos móveis

Solange Sólon Borges, Agência Indusnet Fiesp

Hoje há mais dispositivos móveis – 6,4 bilhões de aparelhos conectados em 2016 – do que pessoas em todo o mundo, e a projeção é que haverá crescimento exponencial de “coisas” conectadas nos próximos anos, o que leva a perguntas cruciais: a infraestrutura da banda larga suportará essa alta demanda? Haverá impactos e custos para a indústria? Com certeza essa tendência terá implicações em dois eixos de grande interesse da indústria: competitividade e transformação digital. Todas as empresas estão atentas a isso? Diversos especialistas tentaram responder a essas questões ao longo do III Congresso de Direito Digital, realizado nesta quarta-feira (17 de maio), pela Fiesp e pelo Ciesp, no prédio de sua sede.

A previsão é que o número de dispositivos, nos próximos cinco anos, será sete vezes maior do que o número de pessoas no planeta: 50 bilhões de dispositivos, incluindo sensores, smartphones, drones, microprocessadores, utilidades domésticas em rede e até robôs industriais. Até 2025, a Internet das Coisas (IoT) movimentará de US$ 4 trilhões a US$ 11 trilhões, de acordo com Juliana Abrusio (docente do Mackenzie) e moderadora de um dos painéis. Ela questionou a interferência do Estado, a infraestrutura existente no país e como suportar a onda de IoT: “se formos olhar os dados que nos trazem, esse setor vai “estourar”, avaliou. A especialista frisou que o Plano Nacional de Internet das Coisas, iniciativa do Ministério da Ciência, Tecnologia, Inovação e Comunicações (MCTIC), tem foco em alguns setores prioritários: aeroespacial, cidades inteligentes, agricultura, varejo, logística, manufatura, saúde, automobilístico e bancário, entre outros.

Juliana: cidades inteligentes entre os setores prioritários. Foto: Helcio Nagamine/Fiesp

 

Também ganharam relevo aspectos técnicos relacionados à segurança dos dispositivos conectados IoT, que podem ser determinantes para o futuro da indústria e para a segurança e privacidade das informações em uso. Cassio Vecchiatti, diretor do Departamento de Segurança da Fiesp (Deseg) enfatizou a necessidade de fazer com que a IoT permita de forma rápida a integração de tecnologias e o desenvolvimento de ciclos de inovação. Esse processo precisa ser abrangente, alinhado à necessidade da sociedade e propulsor de novos modelos de negócios para a indústria. “Teremos rupturas em vários modelos. Será tudo alterado com a IoT, com a atual conexão e os ataques recentes. As pessoas querem usar a tecnologia, mas é preciso curso de educação digital para saber se proteger ‘do lado negro da força’, apesar de ser uma ferramenta maravilhosa”, disse. O expositor enfatizou que quem abre mão da privacidade para ter segurança acaba sem os dois.

O termo Internet das Coisas, usada pela primeira vez em 1999, denota a tendência de um grande número de dispositivos embarcados empregando os serviços de comunicação oferecidos pelo protocolo da Internet. Muitos desses dispositivos, chamados de objetos inteligentes, não são operados diretamente por seres humanos, mas existem como componentes em edifícios ou veículos ou estão espalhados no ambiente, explicou o expositor. São novas aplicações e serviços reunindo os mundos físicos e virtuais, na comunicação máquina-máquina. “Portanto, todas essas informações estão interligadas, mas não pensadas em forma de segurança como um todo e há brechas de segurança que deveriam ser olhadas”, concluiu Vecchiatti.

O Plano Nacional de Internet das Coisas teve sua proposta de processo de construção iniciada em 2014. Em julho deverá ser aberta a segunda consulta pública, e o Plano será finalizado até setembro deste ano, segundo informou Thales Marçal Vieira Netto, coordenador-geral da Secretaria de Política e Informática do MCTIC. Há um acordo de cooperação técnica em curso com o Banco Nacional de Desenvolvimento Econômico e Social (BNDES). O objetivo é formular políticas públicas, com atenção à indústria, à agricultura e qualidade de vida de todos. Entre os eixos de transformação do Plano: impacto na sociedade; ambiente regulatório; infraestrutura e conectividade; talentos; inovação e ecossistema; internacionalização; investimento e financiamento. No final desse Plano, será desenhado um atlas dos vários agentes econômicos envolvidos, um roadmap tecnológico.

A intenção é  acelerar a implantação da IoT como instrumento de desenvolvimento sustentável da sociedade brasileira, que seja capaz de aumentar a competitividade da economia, fortalecer as cadeias produtivas nacionais e melhorar a qualidade de vida. Mas, para Netto, o grande desafio é não barrar a inovação, pois a solução de IoT pode ser de nicho, mas apesar de nacional deve ter um olhar para a internacionalização.

Ao tratar da camada de segurança, o representante do MCTIC disse que “não se pode tratar segurança de forma isolada em uma das camadas, mas isso dever ser feito no todo. Atualmente, muitos dispositivos de IoT merecem atenção, pois já saem de fábrica com software desatualizado, com suscetibilidade a software maligno, com potencial de persistência dos problemas de segurança e privacidade. E, pior, faltam experiência e cultura de segurança aos fabricantes. O esperado é que o fabricante seja capaz de desenvolver hardware e software à prova de adulteração, com mecanismos de atualização de forma segura, incluindo criptografia que preserve a integridade de dados armazenados, garantindo uma comunicação segura.

Em termos de segurança by design, destacou a implementação de segurança desde a concepção da arquitetura, passando pela definição e desenvolvimento da aplicação, da comunicação, do dispositivo e até a conscientização do usuário (educação digital). Quanto à segurança em camadas, a necessária proteção dos ambientes inteligentes, das comunicações entre dispositivos, dos dados dos sensores e dos mecanismos e algoritmos de criptografia. Entre as tendências em destaque, o blockchain para resolver a segurança dentro das camadas de aplicação e um ambiente de execução confiável (TEE).

“A baixa maturidade em segurança e as dificuldades para atualizações possibilitam maior superfície de ataque”, avaliou Netto. Assim, a segurança deve ser pensada em todas as etapas do desenvolvimento (requisitos; arquitetura e projeto; codificação; testes; implantação). Em sua conclusão, reafirmou que as soluções de segurança e privacidade devem suportar diferentes contextos (casa, trabalho etc) em escala e interoperabilidade. Para ele, a maioria dos padrões oriundos da Internet apresenta complexidade para os equipamentos de IoT.

Proteção de dados e cibercrime

Como defender certas expectativas de privacidade que ao meu ver não mais existem? O desafio foi feito por Fernando de Pinho Barreira (perito criminal e especialista em Direito Digital). O expositor questionou como podemos ter expectativa de que sejam preservados os dados cadastrais que fornecemos a terceiros. Para ele, o problema atinge a indústria, cujo vazamento de dados envolve concorrência desleal e espionagem industrial. Isto é um paradoxo, pois há facilidades promovidas com o big data, enquanto somos soterrados e estressados por quantidade imensa de informações. “O futuro depende de modelos de negócios que cruzem o queremos comprar e sua facilidade e o que atenda melhor a necessidade de cada um.

No campo criminal, a técnica é que deverá mudar, pois não será retirado um IoT da cena de crime, um dispositivo instalado em um chuveiro inteligente, por exemplo, mas o que se irá buscar é a informação. Mas é preciso fixar padrões.

Evandro Cláudio Rodrigues Sales (engenheiro na McAfee e consultor Key Account Intel) fez o contraponto: os 35 bilhões de dispositivos são vetores de ataques. “Antes era apenas o tablet, o computador. E agora a geladeira se conecta com o supermercado, e esse ataque se expande do dispositivo para a casa do usuário e este não percebe a vulnerabilidade e o risco para sua integridade física”, exemplificou.

O próprio crime está migrando para o mundo virtual, assim como o nosso dia a dia. Ele questionou para que assaltar um banco se os cibercriminosos têm a sensação de impunidade e, se forem descobertos, a punição terá menor impacto. Outros exemplos dados se referem às câmeras de monitoramento, com roteador e wifi, que o usuário apenas instala sem se preocupar se é preciso mudar uma senha padrão ou uma criptografa. “Esses cibers navegam por câmeras de São Paulo, conhecem a rotina dos usuários, quais equipamentos existem na casa e há informação disponível de todo o trajeto diário e locais frequentados em dispositivos como smartphones e pulseiras inteligentes, coisas vestíveis”, exemplificou o expositor. Já há relatos de violação de babás eletrônicas, do controle da central multimídia de carros inteligentes que colocam em risco a integridade física dos usuários.

Sales pontuou que, no mundo corporativo, cada vez mais são disponibilizados sistemas inteligentes que trazem melhoria, acompanhadas de vulnerabilidades para sistemas hospitalar e bancário, por exemplo, que lidam com dados extremamente confidenciais. “Os fabricantes se empolgam em lançar dispositivos, em função da demanda, mas com projetos de IoT sem foco em segurança”, por isso é importante o envolvimento do pessoal de segurança desde o início do projeto, e não após o lançamento.