Gabriel Barroso Fortes. FOTO: DIVULGAÇÃO
Nos últimos anos, governo e mercado vêm enfrentando os desafios da transformação digital no Brasil. Principalmente após a publicação da Lei Geral de Proteção de Dados, uma dessas maiores instigações tem sido a missão de aproveitar o potencial da Tecnologia da Informação e Comunicação (TIC) para o desenvolvimento social e econômico do país, sem relegar – pelo contrário, reforçando – a proteção à privacidade, à intimidade e às informações e dados pessoais.
Conforme avança a digitalização dos negócios, cresce também a preocupação com a segurança da informação, tanto para proteger a privacidade pessoal, quanto para prevenir perdas nas empresas. Afinal, dados constituem talvez os ativos mais valiosos na era da informação. Tão valiosos quanto perigosos, já que podem levar à ruína qualquer negócio que enfrente algum incidente de segurança digital.
O assunto é de tamanha relevância que tem sido uma pauta recorrente da Organização para Cooperação e Desenvolvimento Econômico (OCDE), organismo internacional que atua desde 1961 para estimular o crescimento econômico e o comércio mundial. Nos últimos anos, a OCDE vem monitorando as práticas de gerenciamento de riscos de segurança digital nas empresas para identificar pontos de atenção no mercado.
Observando, então, os principais desafios da economia digital, a OCDE publicou um documento oficial chamado de “Recomendações do Conselho sobre Gestão de Riscos de Segurança Digital para Prosperidade Econômica e Social”, com o intuito de estabelecer diretrizes para as boas práticas no mercado e a utilização segura da tecnologia nas empresas [1].
É importante ressalvar que, embora o Brasil não seja membro formal da OCDE, ainda assim a própria entidade tem monitorado os indicadores do mercado brasileiro, o que reforça a pertinência das suas recomendações para o desenvolvimento do país.
As recomendações da OCDE podem ser traduzidas em dois princípios básicos, os quais, todavia, parecem mesmo fundamentais para a boa gestão de riscos na economia digital. São direcionamentos extremamente recomendados para que o mercado brasileiro possa se tornar competitivo.
Em primeiro lugar, é necessário compreender que os riscos de segurança informacional não podem ser vistos como uma questão simplesmente técnica, como se representassem a preocupação de algum departamento, setor ou equipe (assunto da “turma de TI”). Pelo contrário, eles precisam ser absorvidos como uma questão estratégica, no conjunto de fatores que integra e afeta toda a estrutura de gestão de risco da empresa e dos processos de tomada de decisão.
Por outro lado, e esta é a segunda diretriz, somente através do gerenciamento dinâmico é que os riscos de segurança digital conseguem ser reduzidos até o nível que possa ser considerado aceitável em relação aos benefícios econômicos esperados da atividade. Ou seja, as medidas de segurança a serem adotadas em toda empresa devem ser concebidas tendo em conta os interesses das partes envolvidas, desde que sejam adequadas e proporcionais ao risco enfrentado, sem prejudicar a própria atividade econômica que elas visam proteger.
Parece complexo? Bem, na verdade, é mesmo. Porém, não é necessariamente complicado. O importante é perceber como toda essa compreensão terá uma aplicação prática.
A apreensão dessas recomendações pode ser oportuna para a gestão adequada dos riscos ligados à Lei Geral de Proteção de Dados. Afinal, a segurança digital não pode se limitar aos interesses gerenciais da empresa, pois deve levar também em conta a perspectiva da legislação. São os riscos de conformidade.
Inobstante a LGPD traga regras sobre o uso de informações pessoais em qualquer tipo de suporte (inclusive em meios físicos [2], como dados anotados em papel), é indiscutível que praticamente todas as operações de dados realizadas pelas empresas acontecem através de aplicações digitais (sistemas, bancos de dados, serviços de nuvem, streaming, entre outros).
Por isso, seria extremamente imprudente falar de negócios, hoje, fora da perspectiva dos riscos digitais. Seria como morar em alguma capital do Brasil e não se preocupar com a violência urbana. Você não vai deixar de viver o dia a dia, mas todas as suas escolhas e preferências precisam levar em conta os riscos envolvidos.
Pois bem, a OCDE reconhece o risco de segurança digital – ou segurança da informação – como uma categoria de risco corporativo. Ou seja, trata-se do risco enfrentado pelas empresas, diariamente, quanto à utilização, desenvolvimento e gestão do ambiente digital em que ocorre a operação de suas atividades. Assim, o risco informacional é visto como condição inerente à atividade empresarial, pois todos os negócios lidam com algum tipo de informação.
Continua após a publicidade
Por conseguinte, o gerenciamento desse tipo de risco deve se traduzir num conjunto de ações que estejam pensadas e coordenadas dentro da empresa para lidar com a segurança digital, permitindo a busca pela maximização das oportunidades do uso de tecnologias.
A gestão da segurança digital, assim, deve ser uma abordagem flexível e ágil, mas integrada à estrutura geral de governança da organização, de modo a permitir lidar com incertezas e alcançar os benefícios esperados, além de proteger os indivíduos contra ameaças, principalmente questões de privacidade.
Entretanto, pode-se dizer que a realidade brasileira é significativamente distante daquilo que recomendam as boas práticas de segurança e privacidade, sendo a publicação da LGPD – muito recente na história legislativa brasileira – uma mostra da necessidade de incentivar a mudança desse quadro. Uma vez que a iniciativa de investir em segurança como pilar das empresas que pretendem se desenvolver caminha a passos curtos, espera-se que o receio da sanção legal possa acelerar esse novo paradigma.
*Gabriel Barroso Fortes, advogado e consultor em Proteção de Dados. Sócio do Escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. Mestre em Direito Constitucional. MBA em Liderança Estratégica e Gestão Financeira. CPC-PD ©
Notas
[1] “Measuring digital security risk management practices in businesses”. Disponível em: https://doi.org/10.1787/7b93c1f1-en
[2] “Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.