2019 pareceu terminar com algumas dúvidas sobre a vigência da LGPD, já que o Projeto de Lei 5.762/19, apresentado pelo Deputado Federal Fernando Bezerra, permitirá que durante o próximo ano se discuta a possível prorrogação do início de vigência da Lei. Além disso, o projeto pode ainda receber emendas, que poderiam alterar os parâmetros adotados quando da aprovação e sanção da MP 869/18.
Apesar disso, há muitas certezas no cenário para 2020; são elas:
Aumento dos crimes cibernéticos
Apesar da maior percepção global sobre os riscos cibernéticos, as vulnerabilidades dos sistemas só parecem aumentar. Enquanto algumas empresas podem investir em defesas cibernéticas sofisticadas, com redundâncias e atendimento técnico permanente, a realidade das pequenas e médias empresas é muito diferente.
Prova disso é que mais de 58% dos ataques de malwares ocorrem justamente em pequenos negócios. De março a junho de 2019 ocorreram 15 bilhões de tentativas de ataques cibernéticos no Brasil. Para 2020 a previsão é de alta, com números muito maiores nos próximos anos.
Essa tendência se verifica também quando observamos a falta de prontidão do mercado para atualização frente a ameaças conhecidas, como alguns sistemas que sequer receberam patches de segurança para riscos notórios como Emotet e Wannacry. Estima-se que mais de 1 milhão de equipamentos ainda permanecem conectados à internet sem estarem protegidos.
Como já discutido, os cibercriminosos estão cada vez mais equipados, e quanto mais sofisticados os sistemas se tornam, maior a diferença de proteção entre empresas pequenas e grandes – isso sem contar com as futuras ameaças em IoT contra defesas menos robustas do pequeno empresário. Existem de fato soluções para segurança cibernética, mas as ações criminosas e os incidentes digitais continuarão a aumentar.
O profissional multidisciplinar
Por enquanto, os números do mercado dão conta que 75% das empresas ainda não começaram a se preparar para a vigência da Lei Geral de Proteção de Dados Pessoais. Parte disso decorre da dificuldade das pequenas e médias empresas em se adaptar aos critérios da Lei, inclusive de assumir investimento fixo em Tecnologia de Informática, para que possam contar com níveis mínimos de segurança digital.
Como essas empresas dificilmente terão orçamento e disponibilidade para buscar tal adaptação por meio de uma complexa assessoria envolvendo área jurídica e técnica, fica evidente que as soluções passarão por saídas menos onerosas, principalmente investindo em profissionais polivalentes que consigam exercer mais de uma atividade durante a implementação de um sistema de segurança da informação.
Temos desde consultores jurídicos aptos para garantir certificação junto a organismos internacionais, como a ISO/IEC 29100, até profissionais que estão buscando uma segunda formação de cunho técnico, qualificando-se para atuar como programadores ou técnicos de TI.
Para as empresas, esse profissional será cada vez mais importante, pois quanto maior a diversidade, melhor será a segurança cibernética – já que ela dependerá da troca de informações entre diferentes entidades, empresas e setores, discutindo-se as últimas ameaças e as melhores práticas do mercado. Esse profissional com diversas aptidões se tornará cada vez mais fundamental e permitirá muitas vezes uma assessoria multidisciplinar.
O avanço cultural necessário como ferramenta para exigir segurança cibernética
Embora o mundo digital favoreça uma cultura mais fluida, a verdade é que até agora, no Brasil, a sociedade como um todo não tinha cultivado verdadeira preocupação com assuntos ligados à privacidade digital. Ainda que as pessoas repitam sem parar que dados são o novo petróleo, parece não estar tão óbvio para a população todo o risco decorrente da superexposição digital.
Mas isso está mudando, porque mesmo os brasileiros sendo muito entusiasmados para participação em redes sociais e uso de aplicativos, já se tem uma maior percepção sobre direitos e obrigações dos stakeholders para garantias mínimas de segurança das informações. Também começam a notar os abusos cometidos contra titulares de direitos sobre dados pessoais pelas empresas. Quanto maior a participação de mercado, maior será a percepção dos consumidores quanto a eventuais abusos.
Nos Estados Unidos, onde as empresas do mercado digital gozaram por muito tempo de certa complacência das autoridades e da regulamentação, a realidade já se alterou bastante. Há exemplos abundantes, de discursos em premiações artísticas a debates no Congresso. O povo americano está aumentando a pressão sobre as empresas digitais.
Então é certo que teremos maior cobrança por parte da população, que passou a questionar eventuais desrespeitos aos seus direitos, e inclusive eventuais ameaças não verificadas, como ocorreu em 2019 com o FaceApp, que depois de um início promissor passou a levantar diversas dúvidas sobre a segurança e respeito à privacidade por parte dos usuários. Essa tendência deverá ser ainda mais forte a partir de agora.
O avanço educacional para permitir e garantir segurança cibernética (e empregos)
Se o treinamento em diversas habilidades diferentes permitirá ao profissional do futuro maior proficiência e empregabilidade, não podemos deixar de observar que é no campo da educação que os avanços serão mais necessários, sendo essa tendência importante como motor de desenvolvimento. A segurança cibernética depende de pessoas e, portanto, deve ser objeto de atenção global. O ensino desses preceitos será fundamental, já que as próximas gerações dependerão do mundo digital para viver e sobreviver.
Até bem pouco tempo, Israel era o único país do mundo em que jovens do ensino médio dispunham de segurança cibernética como matéria eletiva, e parte do estímulo dessa iniciativa decorria da grande influência militar sobre a questão. Agora o cenário está mudando rapidamente, pois todos os países do mundo perceberam que não só suas defesas cibernéticas dependem de funcionários altamente treinados, mas também que o profissional do futuro precisará ter ferramentas necessárias para lidar com riscos cibernéticos diariamente.
Estão surgindo dezenas de programas para educação dos jovens em cibersegurança, como a Cyber Security Challenges, de iniciativa da Academia Australiana de Computação da Universidade de Sydney, implementado em fevereiro de 2019, que busca preparar os professores do ensino médio para transmitir conceitos de segurança e informar os alunos sobre as oportunidades em carreiras nessa área. Igualmente a Universidade de Rhode Island, nos Estados Unidos, está oferecendo para alunos do ensino médio cursos, antes exclusivos a estudantes graduados, sobre os fundamentos da segurança cibernética. Também nesse sentido é importante mencionar a Northport High School, localizada no Estado de Nova Iorque, que envolve quatro anos de curso para alunos do ensino médio na Academia de Tecnologia da Informação, com aulas de ciência de computação e segurança cibernética.
Estima-se que em 2021, só nos EUA, o setor de tecnologia vai sofrer com um déficit de 3,5 milhões de vagas não preenchidas, um grande contraste com outros setores da economia, principalmente se considerarmos que em 2016 eram 100.000 empregos disponíveis na área de cibersegurança.
Essa tendência passa pela alta demanda de profissionais com essas habilidades e, evidentemente, o Brasil não fica de fora desse setor que cresce de maneira tão robusta. Para aderir a tal tendência global, o país precisa focar rapidamente na educação dos jovens, pois os empregadores e as oportunidades não irão esperar para sempre. Inclusive, deve-se considerar priorizar cursos técnicos, como tem sido feito em outros países, pois jovens com diploma do ensino médio, mas treinados adequadamente no campo da segurança cibernética, poderão disputar tais oportunidades.
As Lições da Implementação da GDPR, Inclusive quanto ao Consentimento como Última Opção do Mercado
Ainda, como ponto muito importante, temos como tendência bastante clara que o mercado brasileiro está observando de perto a aplicação da legislação europeia de proteção de dados, assim como a conduta das empresas e a atuação das respectivas agências nacionais de proteção de dados.
Como ainda não temos parâmetros claros para aplicação da LGPD, até porque a Agência Nacional brasileira sequer foi criada de fato, tudo que acontece do outro lado do Atlântico é observado com atenção, sendo certo que a primeira tendência observada é a percepção de que as empresas não devem buscar de imediato o consentimento dos titulares para fins de tratamento de dados.
Isso ocorrerá porque, sendo negado o consentimento por usuários, o tratamento daqueles dados específicos passam a ser ilegais, o que ocorreu com bastante frequência na implementação da GDPR.
Com essa estratégia, as empresas do ramo buscarão justificar o tratamento dos dados em quaisquer das exceções previstas na LGPD, notadamente indicando que o tratamento se deu para atender o legítimo interesse do controlador, deixando para pedir o consentimento dos titulares apenas em última análise. O futuro dirá se essa estratégia será considerada legítima pelo Judiciário brasileiro e pelos órgãos de controle, mas é certo que ela está sendo implementada já nesse ano, e continuará com força em 2020.