Na batalha contra a Covid-19, a tênue linha entre invasão de privacidade e segurança

Após mundo passar pela transformação causada pelo Covid-19, nações iniciam medidas que buscam trazer a retomada gradual das atividades e o que tem sido chamado de o “novo normal”.

Ainda vivemos um momento bastante delicado, mas já é possível identificar novas tendências que começaram a despontar em diversos segmentos.

Desde o home office a audiências online, caminhamos para uma realidade diferente, na qual além de ter a tecnologia como aliada, é desejada uma postura diferente de empresas e organizações, baseada na ética e transparência.

Pesquisas mostram que os brasileiros esperam que organizações informem as ações que realizam para lidar com esse cenário e manter a segurança de seus colaboradores e consumidores. Ou seja, aguardam práticas mais coerentes e sustentáveis para ajudar a garantir o controle da doença e o bem-estar da sociedade.

Assim, as novas tecnologias de mapeamento de dados ganharam destaque na ação contra o surto do coronavírus, indo muito além de monitorar gostos e detectar preferências de consumo, e foram utilizadas para rastrear os casos.

Um exemplo foi a Coreia do Sul, que apostou na realização em massa de testes, enquanto usava aplicativos e tecnologia de GPS para monitorar a confirmação de diagnósticos e implantar sistemas de alerta, para se houvesse novo foco, isolar rapidamente o local.

Hong Kong criou um sistema para pessoas que vinham do exterior usarem pulseiras eletrônicas que rastreavam sua localização. Como ocorre em diversas esferas, reunir e contrastar informações para preencher o maior número possível de lacunas é crucial.

Diferente do que ocorreu em pandemias anteriores, autoridades tiveram a chance de rastrear a disseminação do vírus com precisão e velocidade a partir de evidências digitais e dados pessoais coletados pelos vários aplicativos móveis existentes.

Mas apesar da possibilidade de saber a localização e de prever o comportamento das pessoas ser uma forma de prevenção, a vigilância não pode ser feita sem protocolos claros e transparentes, sendo necessário cumprir regras que garantam a privacidade e o sigilo das informações, como ter um prazo limite para retenção e tratamento das informações bem como finalidades informadas para delimitar seu uso e evitar desvios e abusos.

Um modelo que pode servir de referência é o da Alemanha. O país optou por um sistema de identificação de contatos que respeita a privacidade dos cidadãos. Basicamente, o país escolheu fazer uma parceria com Apple e Google para desenvolver um sistema de monitoramento.

Um modelo que pode servir de referência é o da Alemanha. O país optou por um sistema de identificação de contatos que respeita a privacidade dos cidadãos

A diferença é que os dados não ficam armazenados no banco de dados das operadoras e sim nos próprios smartphones. Assim, garante adesão dos usuários e obedece a prerrogativas das regulamentações de proteção, sem violar os direitos dos cidadãos. Mas, para funcionar, depende da participação das pessoas. Ou seja, de conscientização. E talvez este seja um dos pontos principais para o combate desta pandemia: a educação.

No Brasil, a Advocacia-Geral da União (AGU) proferiu parecer favorável para o compartilhamento de dados de usuários de serviços de telecomunicações para fins de combate ao coronavírus (Covid-19) em abril deste ano. A condição era que as informações fossem fornecidas ao governo de forma anônima e agregada, sem acesso à identidade e ao número de telefone das pessoas que transitam pelas ruas com esses aparelhos.

Mas vale destacar que a norma e a autoridade que poderiam tratar desse tema, a Lei Geral de Proteção de Dados Pessoais (LGPD) e a Autoridade Nacional de Proteção de Dados (ANPD), ainda seguem sem data para entrar em vigor.

Devido à pandemia, aumentaram as iniciativas no Legislativo e no Executivo para sua prorrogação. No momento, o Projeto de Lei 1.179/2020, que retoma o prazo de entrada em vigor para agosto de 2020, está com a Presidência, que tem até o dia 10 de junho para vetar ou sancionar a medida.

Com a aprovação, a aplicação das multas só seria realizada em agosto de 2021. Só que o órgão responsável por essa fiscalização e pelas sanções é a ANPD, que ainda não saiu do papel e parou na necessidade de sabatina no Senado com os cinco diretores. O Executivo está em débito com isso. É uma etapa fundamental para garantir o cumprimento da regulamentação: instituir, empossar e treinar a ANPD.

Independente da data, a proteção de dados veio para ficar, pois está associada diretamente com direitos e garantias fundamentais de liberdade, privacidade e do livre desenvolvimento da personalidade - conforme estabelecido no art. 1º da LGPD.

Trata-se de um conjunto de melhores práticas a ser seguido por empresas, órgãos públicos e demais instituições, para além da governança, garantir a sustentabilidade da sociedade digital, na qual os pilares de transparência, segurança e consentimento são imprescindíveis.

O Brasil é o quarto país com maior presença online do mundo e, apesar da população dominar habilidades mais básicas, relacionadas a acesso, ainda tem grandes lacunas em competências mais técnicas, como identificar sites seguros e ameaças como malwares. A cultura da cibersegurança ainda precisa avançar muito, seja no uso dos dispositivos domésticos, que, em tempos de pandemia, se tornaram ferramenta de trabalho, como nas redes corporativas.

Não por acaso 76% dos líderes de empresas de assistência médica, finanças e varejo temem sofrer com alguma brecha na segurança cibernética, de acordo com pesquisa global elaborada pela Forcepoint em parceria com o Wall Street Journal Intelligence.

O aumento da capacidade tecnológica vem acompanhado do aumento dos riscos. E, por isso, as legislações são fundamentais para equilibrar essa equação, com medidas que estimulem regras, normas e comportamentos voltados para a segurança da informação.

De que adianta o governo brasileiro lançar um Guia de Boas Práticas da LGPD, que propõe caminhos que levem à sustentabilidade das ações de proteção aos dados pessoais, se ainda não estamos perto de efetivar a ANDP?

Seria essencial poder contar com a Autoridade nesse momento, para orientar as instituições, responder consultas públicas e até realizar campanhas educativas, tão necessárias para se evitar problemas de desinformação sobre um tema que é novo e tão complexo.

Exemplo europeu

Em maio deste ano completou dois anos do General Data Protection Regulation (GDPR ou Regulamento Geral de Proteção de Dados). A legislação, que foi proposta em 2012 e aprovada pela União Europeia (UE) em abril de 2016, serviu de modelo para novas regras de privacidade em vários países do mundo, inclusive no Brasil.

Apesar da lei ter aumentado a conscientização sobre a privacidade e ter forçado muitas empresas a adotar novas políticas para estarem em conformidade com as regras, são mudanças que demandam recursos, financiamento e tempo.

Estudo da Check Point realizado no ano passado sobre a implementação do GDPR mostrou que 75% das organizações acreditam que esta lei teve um impacto benéfico na confiança do consumidor e 73% asseguram que melhoraram a segurança dos seus dados.

Estudo sobre a implementação do GDPR mostrou que 75% das organizações acreditam que esta lei teve um impacto benéfico na confiança do consumidor

Porém, 60% dos CTOs, CIOs, gerentes de TI e gerentes de Segurança da França, Alemanha, Itália, Espanha e Reino Unido afirmaram que os seus negócios já adotaram por completo todas as medidas da GDPR, numa média de 7,91 no desempenho na gestão e no cumprimento dos requisitos, numa escala de 0 a 10 (onde o 0 “nada” e 10 “totalmente”).

Mas isso tudo antes do recente estado de emergência provocado pela pandemia mundial, que foi usado como justificativa para certas flexibilizações nas leis, especialmente no que diz respeito à proteção de dados.

No governo húngaro, por exemplo, um decreto aprovado pelo Parlamento local suspendeu os art. 15 ao 22 do GDPR, que tratavam sobre o direito ao acesso, de retificação, de apagamento, portabilidade e tratamento dos dados, e ainda flexibilizou a obrigação de notificar os indivíduos ao coletar dados pessoais.

Já no Reino Unido, a Information Commissioner's Office (ICO) publicou um guia sobre como manter a conformidade com a regulamentação, destacando pontos como medidas técnicas e organizacionais apropriadas para proteger os dados pessoais, tais como filtragem, firewalls e criptografia (que não costumam estar disponíveis em redes domésticas), uma política de BYOD atualizada, e considerar o fator humano como elo mais fraco de qualquer sistema de segurança cibernética.

Ou seja, apesar do GDPR ser uma das diretrizes mais consolidadas quando o assunto é proteção de dados, ainda há variáveis diante de conjunturas inesperadas. Quando há mudança no comportamento das pessoas, a regulamentação muda para se adaptar às novas necessidades e exigências da atual realidade.

Por isso, mesmo após dois anos, é um tipo de avanço que para ser sustentável precisa de educação (para que todos saibam como funciona, riscos, direitos e deveres, limites e responsabilidades), transparência (das finalidades de tratamento dos dados pessoais) e respeito à privacidade (consentimento ou aplicação das hipóteses de exceção de consentimento).

Um dos diferenciais ainda é o Comitê Europeu para Proteção de Dados, que é responsável por assegurar a aplicação coerente da GDPR e que já estava atuando colaborando com as instituições antes da entrada em vigor do regulamento, apoiando inclusive na confecção de códigos de conduta, em certificações, elaboração de cláusulas-padrão, entre outros.

Ao final, importante comentar que independente de todas as medidas que sejam aplicadas, um dos efeitos colaterais mais devastadores que tem ocorrido e que prejudica o combate da pandemia e inclusive também a adoção das medidas adequadas é justamente a desinformação que provoca desmobilização e até confusão social.

E isso tem se concentrado especialmente nas fake News, que é um problema cuja solução ainda não se mostrou eficaz, seja no campo da lei ou da tecnologia. Só com a colaboração de vários atores sociais este problema poderá ser resolvido e isso precisa ser feito com urgência.

Assim, o Brasil segue em atraso com ações para amadurecer e fortalecer as práticas de privacidade e proteção de dados, bem como para fortalecer a cultura de segurança digital e também de combate às fakes news.

Aqueles que mantiverem uma agenda positiva de segurança cibernética, de proteção do negócio, do patrimônio e da reputação da empresa, vão se beneficiar e se diferenciar. Tudo isso mostra para o mundo que não estamos preparados para um novo patamar de governança e compliance, que é essencial para o crescimento sustentável da economia.

Ainda temos uma longa jornada a percorrer. As marcas que souberem fazer isso bem e primeiro terão um diferencial junto aos consumidores. Temos que virar está página e avançar para construir a tão sonhada Sociedade 5.0.