"Cada vez mais prestadores de serviços serão cobrados por segurança da informação"


Dr. Rony Vainzof, Advogado Especialista em Direito Digital e Eletrônico e Sócio da Opice Blum

Por Claudia Penteado

Segurança de dados se torna, cada vez mais, uma vantagem competitiva para as agências de publicidade, se transformando em  item de contrato e de avaliação por parte de anunciantes e contratantes de maneira geral. Neste bate-papo, o advogado Rony Vainzof,  da Opice Blum, empresa especializada em Direito Digital, fala um pouco da cartilha que a empresa preparou a pedido da Associação Brasileira de Agências de Publicidade para ser distribuída entre as agências e contribuir para ampliar o conhecimento em torno da proteção de dados.  A cartilha parte de informações básicas de proteção pessoal porque, segundo Vainzof, é a partir de hábitos muito pessoais incorporados ao dia a dia que se cria e amplia a cultura da segurança de dados de uma maneira geral dentro das empresas.

Como nasceu a ideia da cartilha?

Essa cartilha lida com segurança da informação e de dados pessoais. Segurança da informação, em um sentido macro, é qualquer tipo de dado que possa ser sensível, confidencial, importante para uma entidade. Pode ser um planejamento estratégico, um projeto, um arquivo confidencial de uma nova campanha para um determinado anunciante - tudo o que envolve o segredo do negócio. Dentro do aspecto de segurança da informação, uma das vertentes é a proteção de dados pessoais. Usualmente, para que seja realizada uma campanha mais direcionada, cada vez mais os dados de comportamento e dados cadastrais são relevantes para atingir um determinado público-alvo pré-determinado. Hoje em dia, dados comportamentais são quase que uma condição para se conseguir fazer um marketing direcionado. Muitas vezes as agências acabam tendo que utilizar esses dados para as mais diversas campanhas. Seja na proteção desses arquivos, dos projetos confidenciais, seja na proteção de dados pessoais, cada vez mais as empresas de publicidade têm que proteger esse tipo de informação, esse tipo de dado pessoal.

A discussão vem se tornando ainda mais forte, não é?

Sim. Como quando houve a Lei anticorrupção e todas as empresas precisaram se adequar em termos de compliance e de práticas de anticorrupção. Agora, ainda sem uma lei geral de proteção de dados no Brasil, há um movimento muito grande das empresas - qualquer empresa - para ter esse tipo de proteção de dados e de dados pessoais de forma geral. Ou seja, cada vez mais prestadores de serviços serão cobrados por segurança da informação. Porque nos contratos, inclusive de prestação de serviços de publicidade e marketing, as empresas começarão a exigir isso. Então são duas as questões: a primeira é a necessidade de ter algo interno, para que dados não sejam vazados, sejam protegidos. E a segunda é que as empresas terão de comprovar que possuem requisitos de segurança da informação. E isso é positivo em termos contratuais. É uma vantagem competitiva.

E como vai a Lei Geral de Proteção de Dados no país? O que você pode falar, por exemplo, da Lei aprovada na Europa?

A lei brasileira está em discussão no Congresso. A Europeia foi aprovada recentemente, inclusive várias empresas brasileiras têm que estar em conformidade com ela. A futura lei brasileira, que ainda está em discussão como projeto de lei, provavelmente vai seguir diversos pontos do GDPR (General Data Protection Regulation). Ou seja, seria importante que as empresas brasileiras já se adequassem. Outra questão é que existem decisões judiciais no Brasil que já utilizam como fundamentação alguns princípios do GDPR. Há tribunais no Brasil que já o utiliza como princípio. A terceira questão é que, se de alguma forma as empresas brasileiras direcionam seu produto ou serviço e contratam algum tipo de dado de europeus, terão que cumprir a legislação brasileira. Por enquanto muitas coisas do GDPR não se aplicam, naturalmente. Não existe a figura do Data Protection Officer obrigatória, não existe a obrigação de noticiar a uma autoridade competente no caso de vazamento de informação, não existem na nossa legislação requisitos para a transferência internacional de dados. Mas vão existir e já são boas práticas atualmente no Brasil. Por exemplo: Data Protection By Design, que é, desde a concepção de um projeto, já pensar na sua proteção de dados - isso não existe. Mas é interessante, relevante e aconselhamos que seja feito.

(Você pode ler mais sobre os aspectos gerais da lei européia no Portal da Privacidade, assinado pela empresa de Rony: http://www.portaldaprivacidade.com.br/2018/05/25/entendendo-o-gdpr-infografico-01-de-05-aspectos-gerais/)

E o que mais podemos falar da cartilha? Ela é bem didática, passando pela parte de proteção pessoal?

Ela visa trazer um pouco mais de cultura e requisitos básicos de segurança da informação para você conseguir proteger melhor a informação e conseguir comprovar que há esse tipo de iniciativa interna. Fundamentalmente, abordamos o básico porque se você não tem isso em você, acaba se descuidando em qualquer ambiente - no pessoal e no corporativo. É uma cultura que começa "dentro de casa" e tem que se alastrar para todos os meios. A cartilha visa ajudar a aumentar a maturidade em relação ao tema.

Falta muita maturidade dentro das empresas da área de comunicação?

Falta em geral, não só nas empresas de comunicação. Faltam trabalhos como esse que estamos fazendo com a Abap para ajudar a disseminar o tema. Claro que há empresas que estão em compliance, ou que vão estar, mas falta esse tipo de trabalho que no mínimo gera uma conscientização interna.

Que erros típicos ocorrem devido a essa falta de maturidade?

O que posso comentar, devido ao sigilo da minha profissão, é que usualmente os dados vazam de terceiros de empresas contratadas pelos anunciantes para utilizá-los. E, como não é o core dessas empresas a segurança da informação, muitas vezes não há esse nível de maturidade mais alto. Existem casos em que dados pessoais vazam de agências de publicidade porque as vulnerabilidades são exploradas no elo mais fraco da cadeia - fraco no sentido da segurança da informação. O elo mais fraco costuma estar nos terceirizados. É mais fácil para o fraudador ir na agência obter os dados e depois extorquir a empresa de origem, afirmando que obteve os dados. Não são casos muito comuns, mas ocorrem. E se a agência de publicidade, por exemplo, terceiriza os dados, o mesmo nível de proteção de dados tem que obrigatoriamente existir. Por isso, na cartilha há quesitos sobre contratação e sub-contratação.

Como controlar e checar o nível de proteção de dados de empresas em que se lida com pessoas, já que elas podem falhar?

Há várias recomendações. Primeiro é preciso avaliar o tipo de dado que se está tratando e que se vai terceirizar e a sua sensibilidade. Depois, é preciso avaliar se as empresas terceirizadas têm o mesmo nível de maturidade em segurança da informação. Existem questionários que podem ser preenchidos para avaliar o nível de segurança da informação. Mas não basta isso: é preciso avaliar a reputação da empresa que vai lidar com dados dos seus clientes. E há controles contratuais: você pode colocar cláusulas em que essas empresas podem ser penalizadas com multa no caso de tratamento inadequado dos dados em caso de vazamentos. Também se pode fazer diligências para confirmar se tudo o que está sendo dito corresponde com a realidade. Aqui no escritório, para os nossos clientes que demandam nós disparamos um questionário de compliance em data protection para todos os prestadores de serviços. As respostas dão um score de quem tem o maior nível de proteção de dados. Depois, se estabelece contratualmente a proteção desses dados e todas as obrigações que devem ser mantidas e as penas de multa em caso de descumprimento.

Será mais num critério para escolher fornecedores daqui para frente?

É uma tendência. Temos feito isso para algumas empresas - este nosso serviço, o Score de proteção de dados para avaliação. A cartilha vem, portanto, para ajudar. Se as agências fizerem aquilo que está previsto nela, conseguirão um nível maior de maturidade.