03/10/21

Um bate-papo com Erika Patara, Diretora Jurídica da ODATA

Agosto chegou e ela entrou em vigor. Em todo o País, organizações de todos os tamanhos e setores tiveram mais alguns meses para se adequar. E agora, considerando o impacto da LGPD para Data Centers, você sabe dizer se a sua estrutura de dados está em conformidade? Ou está expondo a empresa a sanções?

Nunca se falou tanto sobre dados pessoais, seja em relação às informações que precisam ser compartilhadas ou sobre a responsabilidade das organizações na custódia desses ativos. E, sem dúvida, tal comportamento se deve à implementação da Lei Geral de Proteção de Dados, que passou a reger as relações comerciais no Brasil desde setembro de 2020.

Fato é que a chamada LGPD ingressou, recentemente, em uma nova fase: desde de 2 de agosto de 2021, todas as organizações que descumprirem os requisitos da lei ficam sujeitas a sanções administrativas, que partem de simples advertências à cobrança de até R$ 50 milhões por infração.

Na verdade, desde o ano passado, líderes empresariais estão correndo contra o tempo para se ajustar às determinações da lei, em um processo que se assemelha à troca de rodas de um carro em plena corrida. 

Isso porque os incidentes de segurança vêm aumentando exponencialmente: conforme as organizações aceleram sua evolução digital e mantêm seus colaboradores no trabalho remoto, os riscos cibernéticos crescem proporcionalmente.

Para ajudar as empresas a se manterem em conformidade e a evitarem as punições da LGPD, trazemos o segundo episódio da série de entrevistas com especialistas da ODATA. 

A proposta é que os experientes ‘Profissionais Sangue Roxo’ compartilhem suas percepções como líderes de pensamento e ajudem as empresas a sanarem suas dores de negócio, em questões que vêm sendo discutidas em suas áreas de especialidade. 

Para isso, convidamos a diretora de jurídica da ODATA, Erika Patara, para uma conversa sobre a entrada da LGPD em vigor e seus impactos práticos para os gestores de Data Centers.

Ficou interessado? Confira abaixo a entrevista na íntegra:

#1. O que é a Lei Geral de Proteção de Dados Pessoais?

Essa é uma pergunta bastante pertinente. Pode parecer simples, mas antes de nos aprofundarmos nas sanções da LGPD para Data Centers, vale entendermos melhor o objeto da lei.

Assim, a Lei Geral de Proteção de Dados Pessoais, aprovada em agosto de 2018 sob o nº 13.709 e com vigência a partir de agosto de 2020, cria um cenário de segurança jurídica com a padronização de normas e práticas, para promover a proteção (considerando o respeito à privacidade) dos dados pessoais de todo cidadão que esteja no Brasil. 

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Nesse sentido, a LGPD estabelece, ainda, que não importa se a sede de uma organização ou o seu Data Center estão localizados no Brasil ou no exterior, ou ainda se os dados são tratados no meio físico ou nos digitais: todos estão sujeitos à regulação. 

Portanto, se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Desse modo, a lei também determina que é permitido compartilhar dados com organismos internacionais e com outros países, desde que esse processo siga protocolos seguros e que cumpra as exigências legais.

---

LEIA MAIS: LGPD: como a segurança de dados impulsionará a evolução das empresas

---

#2. Qual o impacto da LGPD para as empresas que operam no Brasil?

Um trabalho científico publicado em janeiro de 2021 no Journal of Data and Information Quality aponta que os vazamentos de dados aumentaram 493% no Brasil entre 2018 e 2019. Adicionalmente, a tese elaborada pelo pesquisador brasileiro Nelson Novaes Neto, do Massachusetts Institute of Technology (MIT), identificou mais de 26 bilhões de informações à disposição de criminosos no mundo, em dois anos.

Isso significa que o risco de penalidade a qualquer empresa que não tenha se adaptado corretamente aos requisitos da norma é enorme. 

De um modo geral, organizações com bases de dados já consolidadas provavelmente precisarão buscar o ‘reconsentimento’ dos usuários, já que é comum que as companhias mantenham listas cujas procedências desconhecem, o que é inadequado perante a LGPD. 

E para as informações coletadas de novos contatos, é essencial buscar o ‘opt-in’ do usuário, para que os dados dele sejam mantidos em sua base e que novas comunicações autorizadas sejam enviadas a ele.

#3. Mas o que, afinal, são dados pessoais?

À luz da LGPD, entendemos por ‘dados pessoais’ (uma ou um conjunto de) informações capazes de identificar direta ou indiretamente um indivíduo, tais como:

• nome
• RG
• CPF
• gênero
• data e local de nascimento
• telefone
• endereço residencial
• localização via GPS
• retrato em fotografia
• prontuário de saúde
• cartão ou conta bancária
• renda
• histórico de pagamentos
• hábitos de consumo
• preferências de lazer
• endereço de IP (Protocolo da Internet)
• cookies

entre outros. Há, ainda, dados sujeitos a cuidados ainda mais específicos, tais como informações sensíveis (como prontuário médico, por exemplo) ou todas aquelas relacionadas a crianças e adolescentes.

Nesse cenário, vale entender os papeis dos agentes envolvidos no processo de proteção de dados, conforme o previsto pela LGPD:

• TITULAR: é o indivíduo (pessoa física) proprietário dos dados;
• CONTROLADOR: é o tomador dos dados (organização com a qual o cliente está se relacionando);
• OPERADOR: é o responsável pela coleta de dados e, principalmente, por sua efetiva segurança;
• ENCARREGADO: é a pessoa indicada pelo controlador para atuar como canal de comunicação entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

#4. O que determina o mau uso dos dados pessoais, passível às sanções da LGPD?

De um modo geral, o que caracteriza o uso adequado é o consentimento do titular para que seus dados pessoais sejam tratados e/ ou utilizados pela organização, a fim de que se mantenha um relacionamento com ele. 

Assim, na contramão, entende-se como mau uso qualquer tipo de ação ou abordagem baseada em dados pessoais que não tenha sido autorizada pelo proprietário (ação que o mercado chama de ‘opt-in’). Como exemplo, vale ressaltar o envio de mensagens comerciais indesejadas, oferecendo-se produtos ou serviços em seu e-mail (ou aplicativo de telemensagem ou qualquer outro canal de contato), a abordagem de telemarketing, entre outros. 

Nesse sentido, não oferecer ao titular a opção de parar de receber contatos não solicitados também poderá motivar sanções por parte da ANPD. 

No entanto, há algumas exceções. É possível, ainda, tratar dados sem consentimento do titular nas seguintes hipóteses: 

• cumprimento de uma obrigação legal; 
• execução de política pública prevista em lei;
• realização de estudos via órgão de pesquisa;
• execução de contratos; 
• defesa de direitos em processo; 
• preservação da vida e da integridade física de uma pessoa;
• tutela de ações por profissionais das áreas da saúde ou sanitária;
• prevenção a fraudes contra o titular; 
• proteção do crédito;
• atendimento a um interesse legítimo, desde que não fira direitos fundamentais do cidadão.
  

#5. À luz da LGPD, qual é a função de um Data Center?

Por via de regra, Data Centers consistem em um conjunto de equipamentos utilizados por uma organização para o processamento e armazenamento de dados, sistemas e aplicações. Essa estrutura geralmente reúne servidores, bancos de dados informatizados e componentes auxiliares, como storages e ativos de rede (switches e roteadores). 

Atualmente, há diversos modelos de hospedagem desses equipamentos dos Centros de Processamentos de Dados (ou CPDs, como podem ser chamados em Português). Entre eles, vale destacar os principais:

• Tradicional ou ‘on-premise’: é quando toda a infraestrutura fica instalada dentro da empresa proprietária em um espaço dedicado. Toda a manutenção e gestão de segurança (física, patrimonial e cibernética) é realizada por uma equipe própria ou por parceiros contratados;
• Colocation: modelo no qual a empresa proprietária aluga (um rack, uma sala ou o prédio inteiro) e move seus equipamentos para um edifício construído e mantido por um provedor especializado em serviços de Data Center – como a ODATA, por exemplo. Nesse caso, toda a manutenção (energia, limpeza, arrefecimento, etc) e condições de segurança física e patrimonial são de responsabilidade do provedor. Contudo, a responsabilidade sobre o conteúdo inserido nesses equipamentos e sua proteção contra ataques virtuais é do proprietário, que deve dispor de tecnologias de segurança, como a criptografia de dados e firewalls, por exemplo;
• Cloud: nesse modelo, a empresa não utiliza equipamentos físicos. Ao contratar um serviço especializado, move seus dados e aplicações virtualmente para o Data Center do fornecedor que, nesse caso, é incumbido de manter e garantir toda a segurança física, patrimonial e cibernética – e responde legalmente por isso. No entanto, a empresa cliente permanece responsável por tudo o que roda nessa estrutura – especialmente os dados pessoais que coletou;
• Arquitetura Híbrida: nesse modelo, a empresa pode integrar todos esses modelos de acordo com a necessidade do negócio em termos de acessibilidade, latência, e/ ou criticidade da aplicação ou do conteúdo. Aqui, as atribuições de manutenção e segurança são divididas, de acordo com as especificações de cada modelo de contrato 

Uma das funções mais importantes de um Data Center é assegurar que os dados e sistemas hospedados nele possam ser acessados a qualquer momento. Por isso, a infraestrutura de rede não pode ficar inoperante em razão de um problema de link de internet, por exemplo.

Desse modo, o gestor da estrutura na qual estão hospedados os servidores precisa oferecer conexões redundantes, com mais de um fornecedor de rede.

Então, considerando-se que o Data Center do controlador é o local onde rodam os sistemas nos quais são instalados e mantidos os dados, é essa a estrutura que deve, prioritariamente, operar com base nos preceitos da LGPD.

E aqui vale a pena enfatizar, a título de esclarecimento, uma premissa: apesar de não atuarmos diretamente no processamento dos dados dos usuários, cabe a nós, provedores de infraestrutura, garantir a proteção física dos ambientes para a gestão segura das informações.

---

LEIA MAIS: Redundância de Data Centers: mais segurança e estabilidade para sua empresa

---

#6. Qual é o papel da segurança em relação aos dados inseridos em um Data Center, especialmente os que contenham informações pessoais e estratégicas?

A tecnologia tem papel fundamental no dia a dia das empresas, principalmente no cenário pós-COVID. Contudo, a aceleração da digitalização elevou a datasfera global a um volume de dados sigilosos jamais visto. 

Consequentemente, os hackers encontraram um novo cenário para a prática de crimes virtuais: uma brecha, quando bem explorada, pode render o acesso a registros com alto valor. Nesse cenário, investir em segurança de dados tornou-se primordial. 

A pressão do mercado levou os governos a normatizar o uso de dados de terceiros, conferindo maior controle ao usuário sobre suas informações. E, consequentemente, auxiliando negócios a seguirem uma política de privacidade mais objetiva e transparente. 

Diante desse cenário, uma boa forma de promover a segurança do Data Center é alinhá-lo a padrões internacionais de segurança de dados, como a ISO 27000 e a PCI DSS. Tais certificações estabelecem processos capazes de manter uma política de cibersegurança mais robusta e confiável na organização.

Portanto, investir nelas (e na posterior certificação), torna o negócio mais competitivo e preparado para mitigar e lidar com eventuais ataques. Além disso, alguns requisitos são fundamentais para assegurar as condições de segurança e as premissas da LGPD para Data Centers:

• Mapeamento de quais dados são tratados, por quais áreas e com qual finalidade;
• Atualização de softwares e sistemas de controle de hardware 
• Monitoramento frequente de recursos
• Política de controle de acesso
• Práticas de controle de acesso físico
• Restrição de acesso a recursos virtuais, como arquivos e sistemas de gestão
• Divulgação e treinamento dos colaboradores com relação às boas práticas de TI
• Garantia de que a informação, mesmo manipulada, mantenha seu conteúdo e suas características originais;
• Disponibilidade, ao manter a informação sempre disponível para uso legítimo.

Desse modo, pode-se dizer que uma empresa que mantém as certificações de segurança, conhece os tipos de dados tratados e a finalidade para qual referidos dados são usados, possui fluxos de tratamento definidos, bem como segue boas práticas como essas, já cumpre grande parte das políticas de gestão de segurança da informação determinadas pela Lei Geral de Proteção de Dados.

---

LEIA TAMBÉM: EHS em Data Centers: entenda o impacto no negócio

---

#7. Empresas que mantêm seus colaboradores em um modelo híbrido (com parte deles no escritório e parte em home office) estão mais sujeitas a vazamentos de dados – e, consequentemente, às sanções da LGPD? 

Não necessariamente. Independentemente de onde o operador dos dados (nesse caso, o empregado) esteja, a responsabilidade pelo tratamento dos dados será sempre do controlador (a empresa empregadora).

Contudo, em um âmbito mais técnico, as redes empresariais tendem, naturalmente, a serem mais seguras do que o ambiente doméstico, expondo o colaborador que eventualmente esteja operando fora dela (em home office, por exemplo) a mais riscos.

De qualquer forma, desde o início da pandemia, vejo que as organizações vêm aprimorando significativamente suas práticas de segurança para restringir eventuais brechas e entendo que essa prática se acentuará rapidamente, para acompanhar as tendências do mercado, como a evolução do trabalho híbrido.

---

#8. Quais são as punições às organizações que deixarem dados pessoais de clientes, parceiros e funcionários vulneráveis ​​ao roubo de identidade?

No cenário da LGPD para Data Centers, dentre as sanções administrativas previstas no caso de violação das regras destacam-se:

• advertência, com possibilidade de medidas corretivas;
• multa de até 2% do faturamento, com limite de até R$ 50 milhões;
• bloqueio ou eliminação dos dados pessoais relacionados à irregularidade
• suspensão parcial do funcionamento do banco de dados 
• ou a proibição parcial ou total da atividade de tratamento.

Nesse sentido, vale ressaltar que em caso de descumprimento da norma, o artigo 53 prevê que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas, que a infração deverá ser objeto de consulta pública. 

---

LEIA MAIS: Segurança no Data Center: integrar soluções físicas e cibernéticas amplia a proteção da rede

---

#9. Na sua opinião, qual é o futuro da regulamentação de privacidade de dados?

Os dados pessoais serão ativos cada vez mais valiosos, já que é com base neles que se traçam análises de comportamento e padrões de compras. 

Assim, acredito que os indivíduos estarão proporcionalmente mais conscientes desse papel, mais seletivos e restritivos em relação às informações que estão dispostos a compartilhar. E sempre atentos às notícias, banirão severamente as empresas que não forem capazes de cuidar adequadamente dos seus dados.

Consequentemente, acredito que a legislação também precisará evoluir, gerenciando os dados pessoais coletados no desenvolvimento de suas atividade, a fim de que os direitos dos titulares estabelecidos na lei sejam efetivamente assegurados.

---

Saiba mais sobre essa profissional ‘Sangue Roxo’

Com mais de 10 anos de experiência profissional em direito empresarial, Erika Diogo Patara consolidou sua atuação em organizações dos setores elétrico e de infraestrutura, assessorando juridicamente companhias em financiamento de projetos, processos de fusão e aquisição e na negociação de contratos de grande complexidade. Além disso, prestou a assessoria aos Conselhos de Administração de companhias abertas e fechadas e geriu equipes de Compliance.

Erika se destaca na prestação de assessoria jurídica preventiva nas áreas contratual, imobiliária, tributária trabalhista, societária e ambiental. E, atualmente, lidera o departamento Legal da ODATA, onde atua como diretora jurídica e realiza treinamentos internos para as mais diversas áreas da empresa.

Advogada e mestre em Direito dos Mercados Financeiros e de Capitais (LL.M) pela pelo Insper, Erika ainda é especializada em Fusões, Aquisições e Due Dilligence pela Fundação Getúlio Vargas (FGV). É uma profissional certificada em Compliance e Anticorrupção (CPC-A) pela Legal, Ethics and Compliance.

Conheça a ODATA

A ODATA é uma provedora brasileira de serviços de Data Centers dedicada a fornecer infraestrutura de TI escalável, confiável e flexível na América Latina. Fundada em 2015, mantém, atualmente, seis Data Centers na região, sendo três no Brasil, um na Colômbia, um no México e um no Chile. 

Especializada em Colocation, atende à crescente demanda por energia, espaço e confiabilidade de organizações de diversos setores, interessadas em avançar em suas jornadas de transformação digital. Em suas operações, a aplicação da LGPD para Data Centers é considerada uma premissa essencial.

É uma empresa do Patria Investimentos, uma das maiores organizações de investimentos alternativos da América Latina, pioneira na indústria de Private Equity no Brasil. 

Também tem como acionista a CyrusOne, uma REIT americana de alto crescimento, focada na construção e operação de Data Centers de classe mundial e neutros em operadoras. É um dos maiores players internacionais do setor. 

---

LEIA MAIS: Data Centers ODATA: expansão na América Latina para apoiar crescimento digital da região

---

Fale com a ODATA

Ficou interessado em entender melhor a aplicação da LGPD para Data Centers e em saber mais sobre como a ODATA garante maior segurança aos servidores instalados em seus edifícios? 

• Se você é um cliente e precisa de ajuda para modernizar sua infraestrutura de Data Centers, AGENDE AQUI uma reunião com um dos nossos especialistas

• Se você é um candidato e deseja trabalhar conosco, CLIQUE AQUI