Um novo e grande desafio se avizinha para as empresas brasileiras de todos os ramos. A Lei Geral de Proteção de Dados – LGPD (Lei 13.709/18), que entra em vigor em agosto do próximo ano, estabelece direitos, deveres e princípios que deverão ser considerados sempre que houver algum tipo de tratamento de dados pessoais de consumidores e usuários de serviços. Essa legislação é aplicável a todos os setores da economia e a empresas com sede no exterior, como Facebook e Google, quando atuantes no País.
Os efeitos desse novo marco jurídico vão respingar fortemente no setor financeiro que tradicionalmente lida com dados extremamente sensíveis de seus clientes, e que vão muito além do nome e do registro dos seus documentos. Não podemos esquecer que bancos, cooperativas de crédito, financeiras e outras instituições atuantes nesse mercado coletam, armazenam, compartilham e, muitas vezes, também promovem o tratamento de informações extremamente pessoais, como é o caso dos perfis de crédito, dos ativos e das dívidas dos correntistas, sejam eles mutuários ou investidores.
Para lidar com a LGPD, as empresas brasileiras precisam iniciar, de imediato, o processo de adequação, que impõe preparação técnica e gerencial de modo a atender ao rigor da legislação. E isso é urgente, pois, segundo especialistas, esse trabalho pode durar de 6 a 12 meses e consumir pesados recursos humanos, tecnológicos e de governança, notadamente investimentos em segurança digital e treinamento.
Um bom planejamento para a implantação adequada da LGPD na organização não pode prescindir de etapas como definição de políticas e orçamento, mapeamento dos processos vinculados, adequação dos contratos, avaliação dos sistemas e capacitação dos funcionários dos níveis técnico, gerencial e de relacionamento com o cliente.
Lembro aqui que a nova legislação prevê pesadas sanções em face a seu descumprimento que incluem desde advertência, multa a até uma possível proibição das atividades relacionadas ao tratamento de dados pessoais. As multas podem chegar a até 2% do faturamento do ano anterior da empresa, limitadas a R$ 50 milhões, por infração.
Para exemplificar a “mão pesada da lei”, recentemente, no Reino Unido, país que já possui legislação em vigor, a British Airways foi multada pelo Information Commissioner’s Office (ICO) em mais de R$ 900 milhões por vazamento de dados pessoais de seus clientes, causado por invasão de seus sistemas por hackers.
Com relação às Cooperativas de Crédito, que atuam em mercado altamente fiscalizado e regulado e num ambiente de negócios cercado por medidas de segurança e proteção ao sigilo, com pesados investimentos em tecnologias e processos contra invasões e vazamentos – até pela natureza da atividade e dos serviços que oferecem -, urge redobrar a atenção e a prudência para se adequar tempestivamente à nova legislação e ao zelo do regulador Banco Central do Brasil.
O BCB, preocupado com a segurança e solidez do Sistema Financeiro Nacional e do Sistema Nacional de Crédito Cooperativo, divulgou, em abril de 2018, a Resolução CMN 4.658, que antecipa a necessidade, para as instituições financeiras, da gestão urgente do risco cibernético, preconizado pela LGPD.
A Resolução dispõe sobre a política de segurança cibernética e alguns procedimentos a serem adotados no momento de contratar serviços de processamento e armazenamento de dados e de computação em nuvem. Segundo o Diretor de Regulação do BCB, Otávio Damaso, a Resolução busca maior proteção do sistema financeiro frente aos riscos decorrentes da crescente sofisticação dos ataques digitais.
Para evitar situações adversas, como a que passou o Banco Inter, em maio de 2018, que sofreu vazamento dos dados de quase 20 mil pessoas, entre correntistas próprios e correntistas de outros bancos, vale a pena investir em ações preventivas e no cumprimento da legislação, evitando assim perdas financeiras e de credibilidade, muitas vezes irrecuperáveis.
Nesse sentido, a nova regulamentação, estabelecida na Resolução 4.658, é extremamente importante ao passar a exigir das instituições financeiras, incluindo as Cooperativas de Crédito, práticas efetivas na gestão de riscos, no compliance e controles internos dos dados capturados, bem como certificações de governança corporativa e de sistemas, especialmente nos casos em que há perigo de exposição de informações sigilosas dos correntistas e associados.
Os procedimentos operacionais exigidos pela Resolução em destaque envolvem desde a realização periódica de testes e varreduras para detecção de vulnerabilidades, até o uso de mecanismos de rastreabilidade, normas de segurança contra acessos não autorizados, controles de acesso da rede de computadores e a manutenção de cópias de segurança dos dados e das informações. Mas, atenção: é importante entender também que o atendimento a essas normas não é um compromisso exclusivo da área de TI. Todas as áreas devem ser envolvidas na constante busca por segurança cibernética, incluindo os colaboradores.
A Resolução 4.658 já está em vigor, sendo importante começar desde já, na sua cooperativa, as medidas internas para adequação à nova legislação, até porque não sabemos quando e de onde virá o próximo ataque cibernético que poderá ferir mortalmente o nosso negócio e expor nossos cooperados a situações por vezes vexatórias. Vale a reflexão: o quanto isso compromete a instituição? Como o descuido ou a falta de cuidado pode levar a impactos muitas vezes nocivos à imagem da empresa? Quais seriam os efeitos na credibilidade de todo o cooperativismo financeiro no caso de vazamento de informações sigilosas e estratégicas de cooperados?
Face à importância do tema e entendimento de todo o processo envolvido, advogados especializados na área estarão entre os palestrantes do 2º Fórum Integrativo Confebras, que será realizado nos dias 10 e 11 de outubro, no Centro de Convenções Parque Cidade Corporate, em Brasilia.
Afinal, a segurança e proteção de dados nunca esteve tão em evidência no cenário nacional, de forma a impactar a todos os setores, sem distinção. Nós, do segmento cooperativista, vamos unir forças para estar à frente deste desafio e trazer ainda mais segurança a todas as pessoas que utilizam os serviços de nossa rede em todo o País.
Kedson Macedo é Presidente da Confebras e Diretor Executivo na Cooperforte