Aprovada no final de agosto, a Lei Geral de Proteção de Dados – um quadro jurídico que regula a utilização, proteção e transferência de dados pessoais no Brasil – traz mudanças importantes para o uso da informação. A nova regulamentação exige o consentimento do cidadão para coletar e usar dados e o fornecimento de opções para o usuário visualizar, corrigir e excluir esses dados.
A ênfase na proteção de dados ganhou impulso especialmente após casos recentes de vazamento de dados de uma rede social, que ampliaram o debate sobre segurança no ambiente digital. “As novas leis de proteção de dados e da evolução dos sistemas de gestão digitais baseados em assinaturas proporciona uma oportunidade para as empresas reavaliarem as suas medidas de segurança da informação e exercer maior controle sobre seus processos internos”, afirma o vice-presidente executivo de Apoio Técnico e Validação da DigiCert, Flávio Martins.
A infraestrutura de chave pública (PKI – Public Key Infrastructure) fornece uma ótima maneira de proteger essas redes e criou um padrão confiável, além de garantir a troca segura de dados, fornecendo autenticação mútua entre dispositivos e usuários. Usando a criptografia mais recente, uma PKI baseada em certificado criptografa os dados transportados e, assim, torna os dados ilegíveis, mesmo quando interceptados em trânsito.
Segundo Martins, a DigiCert vê uma oportunidade para o desenvolvimento de soluções de certificação digital no mercado brasileiro, dada a crescente ênfase legal na proteção de dados pessoais, e busca se expandir no País. Alinhados à nova lei de proteção de dados do Brasil, a assinatura digital e o certificado digital são ferramentas essenciais para reduzir fraudes e proteger a transferência de dados.
A nova lei brasileira é uma resposta a uma tendência global em busca de maior proteção jurídica dos dados de pessoal, iniciado pelo Regulamento Geral de Proteção de Dados da União Europeia (GDPR na sigla em inglês), que entrou em vigor no final de maio. Com efeito global, a GDPR tem forçado as companhias a reforçarem os cuidados com o processamento de dados pessoais – certificando-se, por exemplo, de que estejam corretamente protegidos, portáteis e disponíveis para os clientes quando solicitados. As empresas podem ser impactadas em até 4% do seu faturamento global por não entenderem ou violarem os direitos exigidos pelo GDPR. Qualquer implementação de IoT precisará considerar as ramificações da regulamentação de processamento de dados estabelecida pela GDPR e por outras leis de proteção de dados de todo o mundo. PKI é uma tecnologia relevante e útil para o fornecimento de certificados digitais, em cada dispositivo, para a criptografia de dados, autenticação de usuário-a-máquina e de máquina-a-máquina, e para garantir atualizações seguras over-the-air e inicialização do dispositivo – contribuindo assim para a garantia da segurança de dados pessoais e cumprimento da lei.
Proteção de dados na América Latina
A Lei Geral de Proteção de Dados entrará em vigor em 2020 e colocará o Brasil ao lado de Chile, Colômbia e México em um movimento legal para aumentar a proteção pessoal de dados em toda a América Latina. O movimento ocorre logo após o início da vigência do GDPR, o que obriga as empresas que operam na Europa a garantir a proteção e a confidencialidade dos dados dos seus clientes.
O movimento de proteção de dados iniciado na Europa repercutiu em todo o mundo e impactou companhias de vários segmentos – incluindo indústria, serviços, comércio, bancos e instituições financeiras e governos – a atualizar seus processos de negócios e mecanismos internos para cumprir as suas obrigações de responsabilidade no processamento de dados pessoais.
Com base em leis anteriores de proteção de dados pessoais, o México implementou em janeiro de 2017 um novo e abrangente regime legal de proteção de dados, a Lei Geral para a Proteção de Dados Pessoais. Em termos globais, esta nova lei é um esforço para harmonizar e atualizar as leis que regulam a gestão e utilização de dados pessoais no âmbito federal, estadual e municipal, tanto do setor privado quanto público. Como o NACI (Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais) indica, ainda existem muitos desafios nessa frente, sendo que o mais importante é a implementação da lei em todos os estados dentro do país. Embora ainda haja muito a ser feito – em termos legislativos, administrativos e culturais -, a nova lei do México fornece uma base para a transparência, segurança e responsabilidade no processamento de dados pessoais realizado por instituições públicas e pelo setor privado.
Na Colômbia, a Lei 1581, promulgada em 2012, reconhece e protege o direito de todas as pessoas de conhecer, atualizar e retificar dados pessoais gerenciados por organizações públicas ou privadas. A Colômbia assumiu uma posição de liderança frente outros países latino-americanos na legislação da proteção de dados.
A nova lei brasileira exige que uma empresa, antes de coletar dados pessoais, especifique de forma clara e objetiva o destino que pretende dar à informação e solicite autorização para o uso do cliente. “Os novos requisitos legais do Brasil abrem uma série de oportunidades no Brasil, ajudando a obter a autorização do cliente, modernizando a autenticação e a certificação de documentos”, acrescentou Martins. A nova lei brasileira servirá como um apelo para que as empresas fortaleçam seus mecanismos internos relacionados ao manuseio de dados pessoais.