A GDPR foi aprovada e adotada pelo Parlamento da União Européia em abril de 2016 e entrou em vigor em 25 de maio de 2018 no mundo todo
A visão da Maria Teresa retrata, em síntese, o que acontece no mundo quando mais uma regulação como a GDPR entra em vigor
Esse bate papo rápido com a Maria Teresa Aarão, diretora de inovação da Certisign sobre a GDPR serve como um alerta para o mercado e também reafirma o compromisso e responsabilidades que as Autoridades Certificadoras têm com os dados dos titulares dos certificados digitais ICP-Brasil muito antes dessa lei ser instituída.
Em março do ano 2000, Maria Teresa Aarão – Teca, como é conhecida no mercado de segurança da Informação – iniciou na Certisign, a primeira autoridade certificadora brasileira fundada em 1996. Desde então, Maria Teresa que já acompanhava a evolução do mercado brasileiro e internacional de segurança da informação, passou a ter especial atenção aos temas relacionados a segurança digital para identificar pessoas e empresas no mundo eletrônico. Assinaturas digitais, formas de autenticação, produção de documentos eletrônicos com valor legal, sigilo e preservação das informações, faz parte do universo dela. E no comando da área de inovações da Certisign ela lida com novas tecnologias, assim como, com todas as regulações que tratam desse universo. A GDPR é uma dessas regulações.
O GDPR aplica-se a todas as empresas que processam e detêm os dados pessoais dos titulares de dados residentes na União Europeia, independentemente da localização da empresa.
Crypto ID: Em seu entender qual é a relevância da GDPR (Global Data Protection Regulation) que entrou em vigor em 25.05.2018 para segurança da informação das empresas e a privacidade de dados dos indivíduos?
Maria Teresa Aarão: São regras fundamentais para direcionar os investimentos das empresas de tecnologia na nova sociedade dos dados e da permanente conexão dos indivíduos na Internet e no futuro próximo da Internet das Coisas.
Crypto ID: Como vocês da Certisign estão em relação a nova regulação?
Maria Teresa Aarão: Por essência a Certisign como Autoridade Certificadora tem como um de seus pilares a segurança da informação. As movimentações legislativas nacionais sobre o tema passaram a ser fortemente discutidas entre Governo e Sociedade Civil e Empresas do Setor em 2015, muito embora o primeiro projeto de lei sobre o tema é de 2008. Desde então, a Certisign vem acompanhando, participando dessas discussões e se adequando as tendências, pois entendemos que nossa legislação deverá caminhar para um modelo muito próximo do GDPR.
Crypto ID: Muitas empresas acreditam que poderão aguardar para se adequar a GDPR a finalização do Projeto de Lei nº 5276/2016, em tramitação no congresso brasileiro que dispõe sobre o tratamento de dados pessoais para a garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natural. Isso é o correto?
Maria Teresa Aarão: Absolutamente, as empresas nacionais independentemente do segmento e que tem intenção de se relacionar ou que tem relações com empresas europeias ou que aderiram a GDPR, deveriam adequar suas políticas e processos para manter ou estabelecer relacionamento com empresas estrangeiras submetidas à GDPR. Nesse contexto não precisamos esperar a legislação para nos preparar.
O cenário de entes regulados pela ICP-BRASIL, que genuinamente lidam com dados de identidade do indivíduo é diferente, pois de alguma forma já toma muitos dos cuidados que outras empresas irão instituir somente após a aprovação de uma lei brasileira de proteção de dados.
Crypto ID: A GDPR é uma regulação, mas qual, em sua opinião, será a participação dos profissionais e empresas de tecnologia de segurança da informação nesse processo de adequação uma vez que os dados são trabalhados e armazenados em meios eletrônicos?
Maria Teresa Aarão: Segurança da informação será uma área ainda mais importante uma vez que vazamentos de dados poderão ensejar perdas financeiras por multas e danos a credibilidade das empresas.
Crypto ID: Por outro lado, você considera que as empresas brasileiras de tecnologia e internacionais estão preparadas para o tratamento de dados no nível exigido pela regulação ou terão que se apoiar no setor jurídico?
Maria Teresa Aarão: Sempre que entra em vigor uma nova lei, sua aplicabilidade, a consolidação de entendimentos doutrinários e jurisprudências vão corresponder a receptividade da sociedade e setores impactados. As empresas brasileiras e internacionais têm condições de se adequarem ao tratamento de dados no nível exigido pela regulação. O suporte do setor jurídico será importante para trazer a operação os requisitos mínimos para essa adequação, sabendo interpretar equilibradamente a norma. As empresas que lidam diretamente com segurança e sistemas de confiança e identidade já têm um grande número de processos focados em proteção de dados, mas dependendo das regras especificas que a nova legislação trouxer algumas outras medidas precisarão ser implantadas, tais como, serviços de solicitação de informações e pedidos de correção de dados.
Crypto ID: Setores da economia que lidam diretamente com segurança da informação como autoridades certificadoras, segmento financeiro, setor de saúde terão menos dificuldades para se adequar a GDPR?
Maria Teresa Aarão: Sem dúvida, pois já estão submetidas a regulamentações específicas que preveem manutenção da privacidade de dados e convivem com auditorias periódicas.
Crypto ID: Você pode citar alguns itens, como exemplo, em que a regulação atual – GDPR, influencia os procedimentos operacionais das autoridades certificadoras?
Maria Teresa Aarão: O direito ao esquecimento previsto na GDPR conflita com a norma da ICP-Brasil. Considerando que como Certificadoras precisamos guardar os documentos obtidos no processo da identificação dos indivíduos e empresários não há meio de eliminarmos estas informações de nossa base ainda que solicitado pelo titular do certificado. E nem seria necessário também, pois é nossa atividade fim, definida em normas da ICP-BRASIL, a obtenção e guarda destes dados e, portanto, estes não são passíveis de serem esquecidos.
Crypto ID: Como você disse, as autoridades certificadoras têm rigorosos procedimentos a serem seguidos e já estão muito adiantados em relação à adequação a GDPR. Quais são as principais organizações regulatórias e as de auditoria que as autoridades certificadoras, obrigatoriamente, precisam seguir?
Maria Teresa Aarão: No momento precisamos seguir as regras da ICP-BRASIL e somos auditados na criação de novas Autoridades Certificadoras pelo ITI e por empresas de auditoria reconhecidas por este em muitos dos outros processos no âmbito da ICP-BRASIL. Adicionalmente temos certificação ISO 27.000 e WebTrust.
É fato que as autoridades certificadoras estão submetidas a normas rígidas no quesito segurança da informação e isso faz com que o setor esteja a frente de outros setores na adequação a GDPR e na futura aprovação da legislação nacional. Mas eventuais revisões, e adequações de processos são necessárias para enquadrar-se à GDPR.
Crypto ID: Como os serviços ofertados pelas Autoridades Certificadoras podem auxiliar as empresas nessa jornada da GDPR?
Maria Teresa Aarão: Os certificados de Servidor são muito importantes para as empresas por permitir sua identificação pelos consumidores na INTERNET e também propiciar a confidencialidade dos dados trocados entre clientes e empresas através da WEB. OS certificados ICP-BRASIL eCPF, eCNPJ e ePJ permitem a identificação de indivíduos e empresas e a assinatura digital de documentos em geral entre particulares e dos documentos contábeis e fiscais como o SPED, ECD, ECF e as Notas Fiscais Eletrônicas.
O Brasil possui uma das mais desenvolvidas culturas de documento e identidades digitais de alta segurança e isto sem onerar o Estado Brasileiro com sua constituição e Operação. Estas credenciais podem nos ajudar a implantar processos de proteção de dados e identificação de clientes e prepostos de empresas de uma forma muito mais econômica e fácil do que será possível em países que não possuem uma infraestrutura de chaves Públicas como a que tem o Brasil.
Maria Teresa Aarão | Innovation Director at Certisign Certificadora Digital S.A
O Regulamento Geral de Proteção de Dados da União Europeia – GDPR – é a mudança mais importante no regulamento de privacidade de dados na EU em 20 anos. A GDPR substituí a Diretiva de Proteção de Dados 95/46/EC, conhecida como Diretiva Europeia de Proteção de Dados instituída em 24 de outubro de 1995.