A Transformação Digital, especialmente após a pandemia, introduziu diversos novos dilemas na vida de consumidores, poder público e das empresas. É cada vez mais comum falar sobre cibersegurança, proteção de dados pessoais, tratamento de informações de terceiros, inteligência artificial, chatbot, entre outros assuntos. A questão é: será que estamos tratando esses assuntos com a seriedade que eles merecem? Se não o fizeram, deveriam.
A toda-poderosa Apple é um bom exemplo. Recentemente, a companhia fundada por Steve Jobs mudou o seu posicionamento e, hoje, alega ser uma “companhia de privacidade” – seria uma forma de valorizar o alto investimento em segurança e proteção de dados. Além disso, Itaú e Santander também falaram sobre o assunto em recentes campanhas publicitárias.
Para falar de Privacidade e outros assuntos, a Inovativos conversou Leandro Bissoli, sócio do escritório Peck Advogados.
Formado pela Faculdade de São Bernardo do Campo e pós-graduado em Negociações Econômicas Internacionais pelo Programa San Tiago Dantas, Bissoli possui especialização em Política Comercial Internacional pela Fundação Getúlio Vargas e Cooperação Internacional ao Desenvolvimento pela Universidade de São Paulo, entre outras certificações técnicas e de segurança da informação. Além de advogado, ele também é professor da pós-graduação em Gestão da Inovação e Direito Digital da FIA. Coautor do audiolivro Eleições Digitais e dos livros “Direito Digital Aplicado”, “Direito Digital Aplicado 2.0” e “Direito Digital Aplicado 3.0”. Certificado DPO. Confira o bate-papo:
Inovativos – Hoje, existem ainda muitos desafios relacionados à segurança cibernética dentro das empresas. Primeiramente, gostaríamos de uma percepção de vocês sobre o tema no atual cenário corporativo? E qual é o grande desafio do momento para as empresas?
Leandro Bissoli – À medida que a transformação digital das empresas se tornou uma realidade e avança sobre cada nova tecnologia emergente no mercado, a segurança cibernética se tornou uma questão vital para qualquer negócio. No Brasil, infelizmente, percebemos um certo atraso nas iniciativas de cibersegurança das empresas, bem como pouco investimento na implementação dos controles de segurança. Há várias pesquisas que apontam esse cenário. Isso é algo preocupante, uma vez que o Brasil é um grande alvo de ataques cibernéticos, figurando no topo da lista de países mais atacados.
Assim, cremos que o grande desafio seja criar a cultura de cibersegurança, tanto corporativa quanto pessoal, pois não se trata apenas de treinar a equipe para dentro da empresa, é preciso educar as pessoas também para o cotidiano. Os riscos de cibersegurança estão em todo lugar e isso pode levar a uma grande crise de reputação, perda de confiança na empresa e grandes perdas financeiras.
Inovativos – Hoje, temos leis que tratam sobre cibersegurança no ambiente corporativo,? Quais são elas? Elas são aplicadas?
Bissoli – No Brasil, temos regulamentação em setores considerados estratégicos, bem como alguns setores regulados, caso do financeiro, saúde, seguros, telecomunicações, energia e a própria administração pública. Inclusive, as empresas destes setores regulados já devem reportar aos órgãos reguladores informações sobre qual a maturidade de seus programas de segurança, investimentos e planos de ações, bem como o volume de incidentes e as respectivas medidas adotadas para responder a eles.
Além disso, temos em vigor a LGPD (Lei Geral de Proteção de Dados), que trouxe conceitos e fundamentos que tratam de cibersegurança, medidas técnicas e administrativas, em qualquer meio físico ou eletrônico onde se realize atividade de tratamento de dados pessoais (no Brasil), tanto previsto no artigo 6º. dos princípios como artigos 44 e 46.
Na mesma linha da LGPD, outras leis e normativos orientam as empresas quanto à cibersegurança, como o Marco Civil da Internet (impõe a inviolabilidade e sigilo do fluxo das comunicações pela internet, ou seja, estas devem ser protegidas), a Lei de crimes cibernéticos (Lei nº 12.737/2012, conhecida como Lei Carolina Dieckmann, que tipifica crimes digitais como invasão de computadores e celulares, violação de dados de usuários e interrupção de sites governamentais ou não) e as normas ISO internacionais, que trazem alguns padrões de segurança da informação.
Inovativos – Quais condutas precisamos avançar e ainda não temos regulamentação? Como está o debate desses temas no Congresso Nacional ou nas agências reguladoras ou demais órgãos públicos da União?
Bissoli – Como citado acima, existem alguns setores que tratam de cibersegurança e que se aplicam às empresas, conforme setores econômicos, como os de exemplo para Energia, Financeiro e Administração Pública Federal e Financeiro. Há normativos de cibersegurança como a Resolução Normativa nº964 da Agência Nacional de Energia Elétrica (ANEEL), sobre a política de segurança cibernética a ser adotada pelos agentes do setor elétrico; a resolução BACEN CMN nº 4893 que dispõe sobre a estruturação da política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras; e o Decreto nº 10.222/2020, que aprovou a estratégia nacional de segurança cibernética, que por sua vez a ensejou a publicação da Resolução nº370/2021, que estabeleceu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário.
Obviamente que sempre há discussões buscando melhorar a legislação vigente e com isso, surgem Projetos de Lei e propostas de alteração legislativa. Atualmente, o Gabinete de Segurança Institucional (GSI) tem uma minuta de projeto de lei que cria uma política nacional de segurança cibernética para o País, como parte da Estratégia Nacional de Segurança (formalizada em 2020 com base baseado na rede de tratamento e resposta a incidentes do governo federal, mas que busca abranger também entes do setor privado).
O uso de bots na captura e transformação de dados em inteligência tornou- se uma indústria importantíssima para o mundo corporativo atual. Por outro lado, muitas empresas são acusadas pelo poder público de cometerem excessos no tratamento de dados. Na avaliação de vocês como está o debate hoje? Empresas já buscam um caminho para a coleta e uso de dados mais equilibrada?
Bissoli: Por certo os dados são a riqueza da sociedade digital e isso faz com que as empresas busquem, cada vez mais, trabalhar e oferecer serviços por meio do uso e análise de dados. Com isso, muitas vezes surgem excessos, praticados por agentes de mercado, na exploração dessa “riqueza”. Por isso, hoje temos uma legislação de proteção de dados pessoais em vigor na grande maioria dos países. Como temos leis sobre o uso de dados, que tratam de questões que vão de transparência à segurança e possuem impacto tanto reputacional como financeiro, com multas altas, isso fez com que as empresas buscassem ficar mais em equilíbrio para aplicado à coleta e uso de dados. Além da nova regulamentação, também estamos iniciando a lei em prática e a fiscalização. Tudo isso faz com que o tema se torne prioridade na agenda das organizações. E é importante fazer do “limão uma limonada”. Muitas empresas já perceberam que podem fazer desta pauta de privacidade e da segurança um diferencial competitivo para atração e fidelização de clientes.
Inovativos – Hoje, na avaliação de vocês, como está o uso corporativo dos chatbots no relacionamento com o cliente? Existe a necessidade de regulação?
Bissoli: Muitas empresas têm utilizado chatbots para agilizar ou desafogar os atendimentos e, assim, entregar uma nova e positiva experiência no relacionamento com o cliente por meio da automação de processos. As ferramentas deixaram de ser simples e estão cada vez mais interativas, sofisticadas e resolutivas. Certamente, o uso de chatbots deve atender a alguns preceitos legais, como o atendimento da legislação atrelada ao público-alvo da ferramenta, como: consumidor, paciente, cidadão, cidadão, bem como assegurar a conformidade com a LGPD e demais normativos relacionados à segurança da informação. É obrigatório que a ferramenta traga informações claras e ostensivas sobre o tratamento dos dados pessoais do usuário. É preciso ainda informar que se trata de serviço automatizado, pois o usuário precisa saber se está interagindo com uma pessoa ou uma inteligência artificial.
Inovativos – Sobre o uso de algoritmos, temos uma crescente sofisticação nas decisões tomadas por robôs. E é justamente a partir deste ponto que vemos os primeiros desafios. Existem decisões sendo questionadas e até sendo acusadas de preconceituosas. Onde está o problema?
Bissoli – A inteligência artificial tornou-se parte da vida das pessoas. Como qualquer tecnologia, é passível de falhas e os algoritmos dependem de aprendizado para funcionarem, o que pode levar ao desenvolvimento de comportamentos enviesados. Ainda é um assunto em estudo e há a proposta do Marco Regulatório da Inteligência Artificial em trâmite no Congresso Nacional. Além disso, outros países também buscam regulamentar e legislar sobre o tema, de forma a trazer mais segurança para a população e evitar ou afastar os riscos éticos da IA.
A ONU possui um relevante desafio relacionado à inteligência artificial, sobretudo quando ligada aos Objetivos de Desenvolvimento Sustentável (ODS) estabelecidos pelas Nações Unidas na agenda até 2030. Ainda, em 2021, a Unesco promoveu um acordo, entre os 193 países membros, para adotar valores e princípios comuns e necessários ao desenvolvimento saudável da inteligência artificial, visando nortear a construção de uma infraestrutura jurídica adequada aos desafios éticos da IA.
A Organização Mundial da Saúde (OMS) publicou (em 2021) um relatório chamado Ethics and governance of artificial intelligence for health (Ética e governança da inteligência artificial para a saúde, em tradução ao português) como resultado de dois anos de consultas realizadas por um painel de especialistas internacionais indicados pela organização. Na época, o diretor Tedros Adhanom disse que como toda nova tecnologia, a inteligência artificial possui um enorme potencial para melhorar a saúde de milhões de pessoas em todo o mundo, mas como toda tecnologia, também pode ser mal utilizada e causar danos.
A OCDE elaborou o “Recommendation of the Council on Artificial Intelligence“, aconselhando que os Estados membros e aderentes promovam e implementem seu conteúdo, com diretrizes, cinco princípios e cinco recomendações ao uso e aplicação da IA, visando fixar padrões internacionais aptos a garantir que os sistemas de IA, em todas as fases dos seus ciclos de vida, serão robustos, seguros, justos e confiáveis, prevenindo ao máximo situações de violação de direitos humanos e de viés.
Inovativos – Assim como os bots, algoritmos também aparecem na mira da regulação aqui e no mundo. O que pensam sobre o tema?
Bissoli – Pensamos ser extremamente importante existir a regulação, não só para a proteção das pessoas e dos direitos humanos, como para propiciar o desenvolvimento tecnológico e o fomento da inovação no país, temas que são de interesse nacional.
Inovativos – Após quatro anos desde a sua aprovação, a LGPD entra em uma fase importante: a fiscalização. Depois de tanto tempo, qual tema ou prática prevista na LGPD ainda é ignorada ou simplesmente ainda não é aplicada pelas empresas?
Bissoli – A LGPD ainda tem pontos que precisam de regulamentação específica ou de manifestação por parte da ANPD. Além disso, a pouca cultura de proteção de dados pessoais, não só no ambiente corporativo, como para os próprios titulares de dados pessoais precisa ser superada por meio de ações educativas e treinamentos.
Infelizmente, vemos a máxima de que certas leis só pegam quando há penalização pecuniária. Talvez isso seja um dos motivos pelos quais algumas empresas ainda insistem em não se adequar à lei, principalmente porque não há aplicação (ainda) de sanção por parte da ANPD. Porém, há outros órgãos com legitimidade para fiscalização e sanção a depender do setor. Então, as empresas devem buscar atender a todos os pontos da lei para que não sofram sanções.
Inovativos – Na avaliação de vocês, qual postura a ANPD poderá adotar em relação à fiscalização contra as empresas?
Bissoli – A ANPD sempre demonstrou uma postura mais educativa do que punitiva, como disposto na própria LGPD. O fato de já ter um bom tempo razoável, desde a publicação da lei e do início de sua vigência, deve, de certa forma, fortalecer a postura fiscalizatória, para verificar se o mercado brasileiro já se acostumou à realidade da proteção de dados pessoais, um direito fundamental importante. A ANPD tem buscado a ajuda da sociedade para suas ações, com consultas públicas e chamados de contribuição, de forma a demonstrar que atuará em conjunto com a sociedade na fiscalização das atividades de tratamento de dados pessoais.
Inovativos – Existem assuntos ainda em aberto dentro da LGPD. Um deles é o chamado legítimo interesse para o tratamento de dados. O que pensam sobre o tema?
Bissoli – O legítimo interesse é uma das hipóteses legais dispostas na LGPD para o tratamento dos dados pessoais, sem que haja a necessidade de obter o consentimento de seus titulares. É claro que ela deve ser aplicada para finalidades justificáveis e que não violem os direitos e liberdades fundamentais do titular.
O grande desafio do legítimo interesse é sua aplicação desenfreada para justificar atividades de tratamento, onde essa hipótese legal não se aplica, como nos casos que envolvem dados pessoais sensíveis. Assim, é necessário sempre uma análise criteriosa da atividade de tratamento e de qual seria a hipótese legal mais aplicável, para a própria segurança da empresa, pois a falta de conhecimento do tema e a negligência de empresas sobre área de privacidade e proteção de dados representa um perigo ao próprio negócio.