A Lei 13.709, de 14 de agosto de 2018, denominada de Lei Geral de Proteção de Dados (LGPD), entrará em vigor no Brasil em duas etapas[1]. O Senado Federal, a partir da aprovação do projeto de lei 1.179/20, definiu sua vigência a partir do dia 14 de agosto de 2020, entretanto, as sanções específicas da LGPD só passarão a ser adotadas em agosto de 2021. Neste sentido, espera-se ainda a viabilidade da Autoridade Nacional de Proteção de Dados (ANPD) por parte do Governo Federal para posterior regulamentação de muitos dos dispositivos da LGPD.
Nos caminhos a serem transcorridos para atender as novas exigências em relação ao tratamento de dados pessoais, cuida-se, nessa breve análise, da atenção especial que as empresas devem ter na perspectiva do vazamento de dados. Sabendo-se de todo o complexo delineamento da adequação, limita-se, ainda, debater a ideia acerca da segurança e prevenção para evitar acessos não autorizados, sejam acidentais ou ilícitos e ainda a responsabilização e prestação de contas no sentido de comprovar, em caso de incidentes, a adoção, por parte da empresa, de medidas eficazes. Necessário evidenciar outro limite para a análise aqui exposta, qual seja, as possíveis consequências da utilização de sistemas operacionais e softwares popularmente conhecidos como “piratas”.
“Pirata” é o termo popular para a utilização indevida de sistemas operacionais e ou softwares cujo uso depende do devido registro e licenciamento. Rafael Arbulu[2] utilizando-se de pesquisa conduzida pela BSA/Software Alliance informa como sendo de 46% em 2019 no Brasil, o índice de utilização de softwares piratas. Vale a pena sempre lembrar que a utilização de softwares piratas infringem diversos regramentos e tem consequências na esfera do direito cível (com multas), bem como do direito penal, contudo, dar-se-á ênfase a possível ampliação das consequências relacionadas com a LGPD.
É considerado entre estudiosos de sistemas de informação e outras áreas da tecnologia, o aumento significativo de ataques a bancos de dados a partir da entrada em vigor da LGPD. Nos casos de esses ataques resultarem em acessos indevidos a dados pessoais armazenados pela empresa alvo, essa passará a ter um imenso problema junto às autoridades bem como no quesito de possíveis ações judiciais de reparação de danos, tendo que arcar com ônus financeiros advindos de decisões desfavoráveis. É sabido por todos, a existência da possibilidade de defesa em ações administrativas e judiciais e a LGPD prevê atenuações caso a empresa alvo do ataque demonstre a existência de medidas visando proteger esses dados, e aqui entra o problema da utilização dos sistemas operacionais e softwares “piratas”.
As modalidades e ferramentas de ataques se aperfeiçoam constantemente, assim como os responsáveis pelo desenvolvimento de sistemas operacionais corrigem possíveis vulnerabilidades, disponibilizando essas correções através de atualizações. Essas atualizações de segurança são disponibilizadas para usuários que possuam seus sistemas devidamente licenciados. Quando computadores ou servidores utilizados para o armazenamento e tratamento de dados pessoais são gerenciados a partir de sistemas operacionais “piratas”, resta evidente a sua vulnerabilidade e consequente ampliação da probabilidade de ocorrerem vazamentos ou acessos indevidos a dados pessoais.
No art. 6º, inciso X, da LGPD concernente à responsabilização e prestação de contas sobre as atividades de tratamento de dados pessoais, exige-se a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. Defende-se, então, a ampliação do risco da utilização dos “piratas”, no sentido de prejudicar efetivamente a demonstração exigida pela LGPD. Conforme já destacado no parágrafo anterior, se a empresa não é titular do direito de receber atualizações do sistema, pois o utiliza sem o devido licenciamento, é prova concreta de sua displicência na adoção das medidas de segurança exigidas.
Importante salientar, ainda, a ocorrência na LGPD acerca de dois agentes de tratamento de dados[3], o controlador e o operador. O controlador para o debate apresentado é a empresa que coleta e armazena dados pessoais de seus clientes para realizar as suas operações de vendas de produtos ou serviços. Já o operador, é qualquer outra pessoa ou empresa que, recebendo arquivos da empresa com dados pessoais de clientes, também os armazena, a exemplo de escritórios de contabilidade, empresas auxiliares da administração ou marketing e até mesmo se pode mencionar, escritórios de advocacia.
Os contornos sobre responsabilidade trazidos na LGPD se transformarão em grandes debates jurídicos, não sendo objetivo nesse trabalho participar. Entretanto, em linhas gerais, interessa a ideia sobre a responsabilidade em casos de vazamento desses dados ser originalmente da empresa que compartilhou com os seus parceiros comerciais e administrativos, podendo chegar a ser solidária com os operadores citados, caso os mesmos não sigam as instruções de segurança alertadas pela empresa. Desta forma, segue-se o raciocínio de ser também uma preocupação para as empresas a utilização de softwares “piratas” por parte de “parceiros comerciais e administrativos” que armazenem e tratem dados por elas compartilhados.
Para não deixar de falar nos softwares livres, esses seriam uma solução, porém, mesmo sendo livres, poucas são as empresas com pessoal qualificado para esse tipo de utilização. Ademais, organizações utilizam os denominados softwares livres e desenvolvem versões dependentes de licenças para terem o direito de serem atualizados. Contudo, não se pode deixar de considerar essa solução a partir da contratação de pessoal especializado nesse tipo de implantação, preocupando-se em evidenciar a adoção das medidas de proteção de dados pessoais.
Em síntese dessa breve exposição, fica evidente, a partir da entrada em vigor da LGPD, um complicador na gestão de empresas as quais, seja por qual motivo for, ainda se utilizam de sistemas operacionais ou softwares “piratas”. Isto posto, entre as medidas de adequação a serem adotadas, inclusive por micro e pequenas empresas, está o investimento em aquisição de sistemas operacionais e softwares devidamente licenciados ou de organizações capazes de instalarem softwares livres suprindo suas demandas. De forma contrária, ao insistirem em usar os “piratas”, no caso de um incidente de vazamento de dados ou acesso indevido, requisitos básicos de defesa, possivelmente, já se encontrarão prejudicados.
Recorda-se ainda a circunstância sobre essa preocupação ser expandida para com todos os parceiros comerciais e administrativos com os quais a empresa compartilha dados coletados. De fato, a entrada em vigor da LGPD amplia substancialmente os riscos do uso de sistemas operacionais e softwares “piratas”. Segue o mais repetido dos conselhos: não deixem as adequações para a última hora. Especialmente as micro e pequenas empresas que, porventura, se encontrem nessa situação, iniciem desde já as providências no que tange ao cumprimento dos ditames da lei; se ainda não o fizeram, convém realizar o estudo dos impactos financeiros da regularização dos sistemas operacionais e softwares.
Notas
[1] No momento da escrita desse artigo de opinião, vigora a MP 959 definindo a data de entrada em vigor da LGPD o dia 03 de maio de 2021.
[2] https://canaltech.com.br/pirataria/remocao-de-softwares-piratas-aumentou-9-em-2019-indica-abes-14047...
[3] Lei 13.708/2018, art. 5º, incisos VI e VII
