GDPR na visão de Gisele Strey da Autoridade Certificadora Safeweb
O Regulamento Geral de Proteção de Dados da União Europeia – GDPR – é a mudança mais importante no regulamento de privacidade de dados na EU em 20 anos. A GDPR substituí a Diretiva de Proteção de Dados 95/46/EC, conhecida como Diretiva Europeia de Proteção de Dados instituída em 24 de outubro de 1995.
A GDPR foi aprovada e adotada pelo Parlamento da UE em abril de 2016 e entrou em vigor em 25 de maio de 2018 no mundo todo.
O GDPR não se aplica apenas a organizações localizadas dentro da UE, mas também se aplica a organizações localizadas fora da UE se oferecerem bens, serviços ou monitorarem dados e comportamento de indivíduos. Aplica-se a todas as empresas que processam e detêm os dados pessoais dos titulares de dados residentes na União Europeia, independentemente da localização da empresa.
Conversamos com Gisele Strey – Coordenadora de Compliance da AC Safeweb, sobre GDPR aplicada à Certificação Digital, políticas de segurança das autoridades certificadoras.
Crypto ID: Gisele em seu entender qual é a relevância das regulações como a Diretiva Europeia e GDPR para segurança da informação das empresas e a privacidade de dados dos indivíduos?
Gisele: A relevância é alta e o assunto vem ganhando visibilidade no mundo, já que a informação pode ser considerada hoje um dos ativos mais valiosos para economia global. Casos recorrentes de vazamento de dados têm alavancado os debates internacionais sobre o tema, e a criação de regulamentos como a GDPR são extremamente necessários para proteção de dados pessoais e para transparência no uso das informações geradas através deles. Isso tende a gerar segurança jurídica para todas as partes envolvidas, além da busca pela conscientização sobre o assunto, tanto por parte dos usuários como por parte das empresas que utilizam esses ativos.
Crypto ID: Como você vê o processo de entendimento e preparação das empresas em relação à nova regulação?
Gisele: O que temos percebido é que alguns países estão mais estruturados, com regulamentos e leis consolidadas sobre o uso e proteção dos dados, já baseados no movimento global sobre o tema. Já outros, como o Brasil, ainda estão discutindo o assunto e tentando estruturar uma legislação que vá ao encontro do cenário internacional. Fato é que o entendimento das questões relacionadas ao uso de dados ainda precisa amadurecer e acompanhar os avanços tecnológicos de forma ágil, além da necessidade de empresas e usuários entenderem e se conscientizarem sobre os riscos envolvidos na disponibilidade e tratamento desses ativos. Em 2016, a comunidade europeia passou a adotar a GDPR, mas sua aplicação iniciou efetivamente no último dia 25 de maio de 2018. Com isso, é possível perceber que a UE se preocupou em disponibilizar uma janela de tempo para que as empresas se adaptassem à nova regulação. No dia em que passou a vigorar efetivamente a GDPR já foi possível perceber uma movimentação por parte das empresas globais como a Google, Amazon, Airbnb, Facebook, entre outras, que atualizaram seus termos de uso e políticas de confidencialidade para todos os seus usuários, em todos os países que atuam.
Crypto ID: Muitas empresas acreditam que poderão aguardar para se adequar à GDPR a finalização do Projeto de Lei nº 5276/2016, em tramitação no congresso brasileiro que dispõe sobre o tratamento de dados pessoais para a garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natura. Isso é o correto?
Gisele: Não podemos aguardar a finalização do PL 5276 para nos adequarmos à GDPR, muito pelo contrário. O Brasil está na lanterna da regulação de uso dos dados e precisa ter pressa para mudar essa realidade, pois o fato de não ter um marco legal de proteção de dados, nem uma agência reguladora, pode ocasionar uma série de problemas, como por exemplo, transferências internacionais de dados com a União Europeia. É importante ter em mente que a GDPR passa a ser aplicada na comunidade europeia de uma maneira global. Nesse cenário empresas brasileiras, dentro ou fora do Brasil, que manipulam dados de indivíduos residentes ou simplesmente de passagem pela UE (independente da cidadania do titular) já estão sujeitas à aplicação da regulamentação de forma equivalente e deverão garantir um nível de proteção adequado na manipulação desses dados. Em resumo, para que ocorram manipulação e/ou transferência de dados por empresas brasileiras, aspectos como o consentimento dos usuários, celebração de contratos e cláusulas padrão, acordos e tratados bilaterais, além de normas corporativas vinculantes, deverão existir.
Crypto ID: A GDPR é uma regulação mas, como você vê a participação dos profissionais e empresas de tecnologia de segurança da informação nesse processo?
Gisele: As empresas de tecnologia de segurança da informação, quando atuando com base em regulações internacionais e nacionais de proteção de dados, terão destaque e participação efetiva nesse novo cenário, uma vez que tem capacidade para oferecer soluções adequadas para atender o regulamento europeu. Nesse cenário, o profissional de segurança é peça chave nos processos de gerenciamento e integridade das informações dos usuários de tecnologia, passando a atuar estrategicamente através da implementação de políticas, normas e mecanismos de controle na busca do tratamento adequado dos dados pessoais e das informações geradas através deles.
Crypto ID: Por outro lado, você considera que as empresas de tecnologia estão preparadas para o tratamento de dados no nível exigido pela regulação?
Gisele: Estão mais preparadas as empresas que estavam acompanhando de perto os movimentos internacionais sobre o tema, como a GDPR na comunidade europeia. Quem não se preocupou em tratar os dados pessoais à luz do movimento global, certamente terá mais dificuldade em se adequar aos novos cenários e precisará de mais apoio do setor jurídico. No caso da regulação da EU, as sanções e multas pelo seu descumprimento são altíssimas e podem checar chegar a 20 milhões de euros ou 4% do volume anual de negócios a nível mundial.
Crypto ID: Setores da economia que lidam diretamente com segurança da informação como autoridades certificadoras, segmento financeiro, setor de saúde terão mais facilidade para se adequar à GDPR?
Gisele: Eu diria que podem estar mais preparados para realizar as adequações necessárias a fim de atender a GDPR. Isso se deve ao fato de que esses setores da economia lidam com dados mais sensíveis da população, e por isso seguem normas nacionais e internacionais mais rígidas no tratamento e uso desses ativos.
Crypto ID: Qual será o processo de adequação dos processos das autoridades certificadoras para a GDPR?
Gisele: O fato de termos ACs emitindo certificados no âmbito da comunidade Europeia já influencia a operação da entidade, e deve ser ponto de atenção. É preciso realizar um paralelo de normas e legislação das ACs, com o regulamento europeu para sabermos até onde a estrutura das Autoridades Certificadoras garante o atendimento e o respeito à GDPR, e o que precisa ser modificado e adaptado. Caso contrário, poderemos sofrer os impactos de uma inconformidade ou não atendimento à nova regulação.
Crypto ID: Gisele, quais são as principais organizações regulatórias e as de auditoria que as autoridades certificadoras, obrigatoriamente, precisam seguir? Esse panorama é excelente para nossos leitores entenderem que as autoridades certificadoras têm rigorosos procedimentos a serem seguidos e já estão muito adiantados em relação à adequação da GDPR.
Gisele: No cenário brasileiro atual, as operações que envolvem manipulação de dados pessoais são reguladas pelo Marco Civil da Internet e pelo Decreto 8.771/2016, além de regulamentos setoriais. Não existe legislação específica que determine de maneira nacional o processamento de dados pessoais. No entanto, as Autoridades Certificadoras, além de atender as regulações citadas, precisam seguir um arcabouço complexo de normas determinadas pelo seu órgão regulador, o Instituto de Tecnologia e Informação – ITI, autarquia ligada à Casa Civil. Dentre esses requisitos está a necessidade de passar por auditorias anuais com a finalidade de manter o credenciamento da AC. Em 2017, o ITI solicitou que as ACs obtivessem o selo WebTrust, processo realizado através de auditoria específica, que tem como finalidade verificar a conformidade dos processos relacionados à geração das chaves dos Certificados, a guarda das informações dos titulares, além de uma série de requisitos de segurança física, lógica, de rede, criptográficas, de pessoas e de informação. Tudo isso para garantir a integridade, inviolabilidade e disponibilidade dos dados dos titulares de Certificados Digitais. Por fim, vale destacar a importância das ACs observarem as normas da ABNT relacionadas à família ISO 27000- Segurança da Informação, que quando implementadas elevam a entidade a um nível superior no que diz respeito ao tratamento e uso de dados.
Crypto ID: Como os serviço ofertados pelas Autoridades Certificadoras podem auxiliar as empresas nessa jornada da GDPR?
Gisele: O fato das ACs trabalharem com armazenamento de dados já as obriga a seguirem legislações e normas específicas da área, com mecanismos de segurança robustos e aderentes à cibersegurança. As ACs trabalham com Políticas que definem de forma clara a manipulação de dados através de gestão de permissionamento, privilégios e acessos, fazendo uso de tecnologias que garantem a inviolabidade, confidencialidade e integridade do dado. Outro fato muito importante, é que as ACs estão preparadas e têm capacidade de gerenciar incidentes de segurança e restabelecer a disponibilidade e o acesso aos dados em tempo real, aspecto tratado com destaque na GDPR.