Macaé/RJ, 27 de agosto de 2023.
* Dr. Fabricius Assumpção
Ano após ano, os ataques cibernéticos vêm crescendo e causando graves danos, muitas vezes de difícil reparação, a empresas, profissionais liberais e autônomos. E à medida que esses ataques vêm crescendo, os métodos de prevenção e detecção implantados também vêm se mostrando ineficazes contra investidas cada vez mais sofisticadas, criando um ambiente de incerteza e aflição, tendo em vista que para o enfrentamento da questão costuma ser exigido investimento em recursos diversos.
A infraestrutura crítica de um país é tão vital para ele que ao ser promulgado em 26 de outubro de 2001, o “USA PATRIOT Act” (“Unindo e fortalecendo a América por meio do fornecimento de ferramentas apropriadas para interceptar e obstruir o terrorismo”, que incorporou disposições de projetos de lei antiterrorismo anteriores) alertava que a incapacidade ou destruição de seus sistemas e ativos (sistemas e ativos esses físicos – instalações, serviços, bens, e os compatíveis não físicos, digitais) “teria um impacto debilitante sobre a segurança econômica nacional, saúde e segurança pública nacional, ou na combinação de qualquer uma dessas áreas” (UNITED STATES, 2001).
De iniciativa do Departamento de Segurança Interna dos Estados Unidos (Department of Homeland Security – DHS), em 25 de novembro de 2002 foi publicada a Lei de Informações sobre Infraestruturas Críticas [The Critical Infrastructure Information Act of 2002 (CII Act)], que veio facilitar um maior compartilhamento de informações sobre essas infraestruturas entre seus proprietários e operadores e entidades governamentais com responsabilidades de proteção, “reduzindo assim a vulnerabilidade da nação ao terrorismo” (HOMELAND SECURITY, 2002).
Para fortalecer esta infraestrutura, e em conformidade com a Ordem Executiva 13.636 do Presidente (“Melhorando a Segurança Cibernética de Infraestruturas Críticas”, de 12 de fevereiro de 2013), no ano seguinte (fevereiro de 2014), o setor privado e o Governo dos Estados Unidos, através do Instituto Nacional de Padrões e Tecnologia (National Institute of Standards and Technology – NIST) colaboraram na criação da denominada “Estrutura para melhorar a segurança cibernética de infraestruturas críticas” – Framework for Improving Critical Infrastructure Cybersecurity (OFFICE OF JUSTICE PROGRAMS). Tal estrutura é baseada em risco que usa uma linguagem comum para abordar e gerenciar a segurança cibernética, e nas necessidades do negócio, sem impor requisitos regulamentares adicionais às empresas (IBIDEM).
Em seguida, o Congresso americano aprovou, em 18 de dezembro de 2014, um projeto originário do Senado que se transformou na “Lei Nacional de Proteção à Cibersegurança” a qual, entre outros objetivos, veio estabelecer um centro nacional de segurança cibernética e integração de comunicações no Departamento de Segurança Interna (DHS) para cumprir as responsabilidades do Subsecretário deste órgão e responsável pela supervisão e proteção de infraestrutura crítica, segurança cibernética e programas relacionados (UNITED STATES, 2014).
Na mesma época foi aprovado outro projeto originário do Senado que foi nominado Lei de Aprimoramento da Segurança Cibernética de 2014 (Cybersecurity Enhancement Act of 2014), cujo objetivo principal é fornecer uma parceria público-privada voluntária e contínua para melhorar a segurança cibernética e fortalecer a pesquisa e desenvolvimento em segurança cibernética, o desenvolvimento e a educação da força de trabalho, e a conscientização e preparação do público, e para outros fins (UNITED STATES).
A União Europeia, se preocupando igualmente com o tema adotou uma estratégia específica, a chamada “Comunicação da Comissão sobre a Estratégia da UE para a União da Segurança”, de 20 de julho de 2020 (COMISSÃO EUROPEIA). Na introdução deste documento consta o seguinte:
A presente estratégia abrange o período 2020-2025 e centra-se no reforço das capacidades e recursos para garantir um ambiente de segurança a longo prazo. Estabelece uma abordagem da segurança que mobiliza toda a sociedade suscetível de responder eficazmente a um cenário de ameaça em rápida mutação de uma forma coordenada. Define as prioridades estratégicas e as ações correspondentes para fazer face aos riscos digitais e físicos de uma forma integrada em todo o ecossistema da União da Segurança, concentrando-se nos domínios em que a UE pode acrescentar valor. O seu objetivo é proporcionar um dividendo de segurança para proteger todas as pessoas na UE (Ibidem).
A Comunicação da Comissão sobre a Estratégia da UE para a União da Segurança aponta quatro prioridades estratégicas interdependentes a apresentar, no pleno respeito dos direitos fundamentais, quais sejam: i) um ambiente de segurança a longo prazo, ii) fazer face à evolução das ameaças, iii) proteger os europeus do terrorismo e da criminalidade organizada, iv) um sólido ecossistema de segurança (IBIDEM). Na introdução da comunicação, são verificadas preocupações relevantes:
(…) Os ciberataques e a cibercriminalidade continuam a aumentar. As ameaças à segurança estão, por outro lado, a tornar-se mais complexas: valem-se das potencialidades do trabalho transfronteiriço e da interconectividade; exploram a indefinição das fronteiras entre o mundo físico e o mundo digital; aproveitam-se dos grupos vulneráveis e das divergências sociais e econômicas. Os ataques podem ocorrer sem aviso prévio e podem deixar poucos ou nenhuns vestígios; os intervenientes tanto estatais, como não estatais, podem recorrer a uma grande variedade de ameaças híbridas e o que acontece fora da UE pode ter repercussões particularmente graves na segurança da UE.A crise provocada pela pandemia de COVID-19 também modificou a nossa concepção de ameaças à segurança e as políticas correspondentes. Assinalou a necessidade de garantir a segurança tanto no contexto físico como digital. Sublinhou a importância de uma autonomia estratégica aberta das nossas cadeias de aprovisionamento em termos de produtos, serviços, infraestruturas e tecnologias críticos. Reforçou a necessidade de mobilizar todos os setores e todos os cidadãos num esforço comum para garantir que a UE está, à partida, mais preparada e resiliente e dispõe de melhores instrumentos para responder, quando necessário.
A proteção dos cidadãos não pode ser alcançada através de ações isoladas dos Estados-Membros. Tirar partido dos nossos pontos fortes para trabalhar em conjunto nunca foi tão essencial, e a UE nunca teve tanto potencial para fazer a diferença. Pode dar o exemplo, reforçando o seu sistema global de gestão de crises e trabalhando dentro e fora das suas fronteiras para contribuir para a estabilidade mundial. Embora a responsabilidade pela segurança caiba em primeiro lugar aos Estados-Membros, os anos mais recentes mostraram de forma cada vez mais evidente que a segurança de um Estado-Membro depende da segurança de todos. A UE pode dar uma resposta multidisciplinar e integrada, ajudando os intervenientes no domínio da segurança nos Estados-Membros com os instrumentos e as informações de que necessitam (Ibidem).
Em 16 de dezembro do mesmo ano, a Comissão Europeia lançou a “Estratégia de cibersegurança da UE para a década digital”, com o objetivo de preservar uma internet global e aberta, mediante a utilização e o reforço de todos os instrumentos e recursos disponíveis, a fim de garantir a segurança e proteger os valores europeus e os direitos fundamentais de cada um deles (COMISSÃO EUROPEIA).
Em seguida, o Parlamento e o Conselho da União Europeia, em 14 de dezembro de 2022, estabeleceu o programa Década Digital para 2030, através da Decisão (UE) 2022/2481 (UNIÃO EUROPEIA). O programa Década Digital para 2030 tem entre seus objetivos gerais, de acordo com o art. 3º, nº 1, letras “c” e “k”:
Artigo 3º
Objetivos gerais do programa Década Digital para 20301. O Parlamento Europeu, o Conselho, a Comissão e os Estados-Membros cooperam para apoiar e alcançar os seguintes objetivos gerais a nível da União («objetivos gerais»):
(…)
c) Assegurar a soberania digital da União de forma aberta, em particular através de infraestruturas digitais e de dados seguros e acessíveis, com capacidade para processar, armazenar e transmitir de forma eficiente grandes volumes de dados que permitam outros desenvolvimentos tecnológicos, apoiando a competitividade e a sustentabilidade da indústria e economia da União, em particular das PME, e a resiliência das cadeias de valor da União, bem como promovendo o ecossistema de empresas em fase de arranque e o bom funcionamento dos polos europeus de inovação digital;
(…)
k) Melhorar a resiliência aos ciberataques, contribuir para aumentar a sensibilização para os riscos e o conhecimento dos processos de cibersegurança e aumentar os esforços das organizações públicas e privadas para alcançar, pelo menos, níveis básicos de cibersegurança (Ibidem).
Em 24 de março de 2023, a Comissão Europeia apresentou sua Decisão de Execução sobre o financiamento do Programa Europa Digital e a adoção do programa de trabalho para 2023-2024 voltado para a cibersegurança – Anexo 2 (COMISSÃO EUROPEIA). O Programa Europa Digital “visa acelerar a recuperação econômica e moldar a transformação digital da sociedade e da economia europeias, trazendo benefícios para todos, mas em especial para as pequenas e médias empresas” (IBIDEM).
No Anexo 2 do Programa Europa Digital é ressaltado que um pilar da estratégia de cibersegurança da UE é o Centro Europeu de Competência Industrial, Tecnológica e de Investigação em Cibersegurança (ECCC) o qual desenvolverá e implementará, com os Estados Membros e países associados ao Objetivo Específico 3 do programa, a indústria e a comunidade acadêmica uma agenda comum para o desenvolvimento e implantação de tecnologias de cibersegurança em áreas estratégicas (IBIDEM). O Centro Europeu de Competência Industrial, Tecnológica e de Investigação em Cibersegurança (ECCC), juntamente com Rede de Centros Nacionais de Coordenação (NCCs) irá reforçar a capacidade da União Europeia quanto à soberania tecnológica, apoiando projetos em áreas críticas e beneficiando, em particular, as pequenas e médias empresas (IBIDEM).
No Brasil, a Política Nacional de Segurança de Infraestruturas Críticas (PNSIC), que “tem por finalidade garantir a segurança e a resiliência das infraestruturas críticas do País” e a continuidade da prestação de seus serviços (art. 1º, caput e inciso I), é tratada no Anexo do Decreto nº 9.573, de 22 de novembro de 2018 (BRASIL, 2018). Estas infraestruturas são as que a “interrupção ou destruição, total ou parcial, provoque sério impacto social, ambiental, econômico, político, internacional ou à segurança do Estado e da sociedade” (IBIDEM).
E para implementar tal Política Nacional, definindo, entre outras questões, “quais são as principais ações a serem adotadas no sentido de assegurar a integridade da prestação de serviços indispensáveis ao Estado e à sociedade brasileira”, o que inclui o reforço da segurança e da resiliência dos diversos setores estratégicos mencionados, foi aprovado em 9 de dezembro de 2020 o Decreto nº 10.569, que trata da Estratégia Nacional de Segurança de Infraestruturas Críticas – Ensic (BRASIL, 2020). No nº 1 (INTRODUÇÃO), Anexo, da Estratégia Nacional de Segurança de Infraestruturas Críticas é trazida uma noção do que seriam essas infraestruturas:
ANEXOESTRATÉGIA NACIONAL DE SEGURANÇA DE INFRAESTRUTURAS CRÍTICAS
1.INTRODUÇÃO
As infraestruturas de comunicações, de energia, de transportes, de finanças e de águas, entre outras, possuem dimensão estratégica, uma vez que desempenham papel essencial tanto para a segurança e soberania nacionais, como para a integração e o desenvolvimento econômico sustentável do País. Fatores que prejudiquem o adequado fornecimento dos serviços provenientes dessas infraestruturas podem acarretar transtornos e prejuízos ao Estado, à sociedade e ao meio ambiente (ibidem).
A International Data Corporation (IDC), empresa fundada em 1964 nos Estados Unidos, num estudo denominado “Cybersecurity e Governança em Ambientes Híbridos”, apresentado em janeiro de 2020 e patrocinado pela multinacional brasileira de tecnologia TIVIT, ressalta que o avanço na modernização e digitalização dos ambientes de tecnologia e negócios faz acelerar o uso de soluções que consomem cada vez mais infraestrutura, bem como espaço físico e lógico de data centers, sejam eles próprios ou contratados de terceiros, assim como nuvens privadas e públicas (IDC – ABOUT – HOME; TIVIT).
O mesmo estudo informa ainda que, aliado aos processos de transformação digital, a implementação massiva do trabalho remoto e o aumento do consumo de todo tipo de aplicação, não apenas por empresas, mas por uma sociedade cada vez mais conectada, propicia o consumo de dados e serviços a todo momento e de qualquer lugar (TIVIT).
Já a empresa britânica Deloitte Touche Tohmatsu Limited (Deloitte), com mais de 178 anos de atividade, ao elaborar seu estudo denominado “Tendências em Gestão de Riscos Cibernéticos e Segurança da Informação na América Latina e Caribe 2019”, trouxe informações obtidas junto a ocupantes de cargos estratégicos naquela região que revelaram que, entre outros dados, 4 de cada 10 organizações (empresas privadas e setor público) sofreram um incidente de segurança cibernética nos últimos 24 meses (DUCARME et. al., 2020; DELOITTE BRASIL).
O citado estudo também informa que 70% (setenta por cento) das organizações afirmam não ter certeza da eficácia de seu processo de resposta diante de desses incidentes, enquanto apenas 3% (três por cento) realizam simulações para testar suas capacidades efetivas de resposta diante de um evento cibernético (DELOITTE BRASIL).
Apesar da proporção das organizações que sofreram incidentes cibernéticos, da elevada incerteza quanto à eficácia do processo de resposta escolhido e da porcentagem insignificante de simulações para testar suas capacidades efetivas de tal resposta, o estudo da Deloitte apontou que as organizações da América Latina estão aumentando seus orçamentos dedicados à gestão de riscos cibernéticos e à segurança da informação e que, inclusive, 89% (oitenta e nove por cento) dos entrevistados atribuem uma importância muito alta à gestão de riscos cibernéticos em um contexto de negócios cada vez mais digital (IBIDEM).
Outros dados importantes a serem mencionados e relacionados ao estudo da Deloitte é que embora 7 de cada 10 organizações informarem ter implantado um programa de conscientização sobre segurança cibernética, apenas 9% (nove por cento) delas declararam ter desenvolvido Políticas de proteção de dados no âmbito de cada divisão/departamento e que são constantemente revisadas e melhoradas (IBIDEM). E dessas organizações que desenvolveram Políticas de proteção de dados, 47% (quarenta e sete por cento) declararam que as fizeram de maneira básica, incluindo alarmes e algum nível de monitoramento, e outras 29% (vinte e nove por cento) declararam não ter desenvolvido nenhuma política nesse sentido (IBIDEM).
No ano de 2021, quando todo o mundo vivia o ápice da pandemia do covid-19 e de ataques cibernéticos, segundo matéria jornalística veiculada no site Você S.A, dois grandes incidentes ocorridos com dados pessoais assustaram o Brasil.
No primeiro, veio à tona a exposição na internet de 223 milhões de CPFs contendo dados de pessoas vivas e falecidas, como identidades e datas de nascimento, além de informações de 104 milhões de veículos e de 40 milhões de empresas, como CNPJ, razão social, nome fantasia e data de constituição (PEREIRA; SILVA). No segundo caso foram reveladas informações detalhadas de 140 milhões de pessoas, como telefone, formação acadêmica, salário, endereços, se a pessoa mudou de cidade e fotos, ficando esses dados expostos durante meses ou anos, não sendo possível saber quantas vezes foram compartilhados e vendidos (IBIDEM).
Ainda no Brasil, com o lançamento (em 16/11/2020) pelo Banco Central do meio de pagamento instantâneo denominado PIX, em que “os recursos são transferidos entre contas em poucos segundos, a qualquer hora ou dia”, e disponibilizado a pessoas físicas e jurídicas, muitos incidentes de segurança com dados pessoais (“vazamentos”) vêm ocorrendo desde então (BRASIL; BARCELLOS; VENTURA). Incidentes de segurança podem ocorrer por motivos relacionados a ausência da adoção de boas práticas (ou pelo menos em nível suficiente) da parte do usuário ou, por isso também, em razão da atuação de criminosos cibernéticos por intermédio de diversas artimanhas.
Devido às crescentes pressões de ameaças externas e internas, é preciso ter uma abordagem consistente e interativa para identificar, avaliar e gerenciar o risco de segurança cibernética, e independentemente do tamanho da empresa, do volume de dados pessoais que ela e que o profissional liberal e o autônomo tratam, bem como da exposição a ameaças ou nível atual de sofisticação da segurança que cada um possui.
Para gerenciar os riscos de segurança cibernética, faz-se necessário ainda um entendimento claro dos indicadores de negócio da empresa, das atividades do profissional liberal e do autônomo, além de considerações de segurança específicas a sua utilização da tecnologia. Contudo, como os riscos, as prioridades e os sistemas de cada um são diferentes, haverá, evidentemente, variações quanto às ferramentas e aos métodos utilizados por cada uma.
Com a entrada em vigor da Lei nº 13.709, de 14 de agosto de 2018 – a Lei Geral de Proteção de Dados Pessoais (LGPD), e especialmente desde agosto de 2020, ao coletar e praticar outras operações com o objetivo de ofertar ou oferecer bens ou serviços, a empresa, o profissional liberal e o autônomo devem proceder de maneira a proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade dessas pessoas (BRASIL). Devem ser observados também fundamentos como a inviolabilidade da intimidade, da honra e da imagem, a livre iniciativa e a livre concorrência e a defesa do consumidor (IBIDEM).
Na primeira hipótese de aplicação da LGPD, a empresa, dados coletados e pessoas naturais devem estar localizados em território brasileiro. A proteção aos direitos e a observância dos fundamentos mencionados é obrigatória, ainda, quando o tratamento de dados pessoais ocorre com aqueles dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado com agentes que operam no Brasil ou os que são objeto de transferência internacional com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção adequado ao previsto na mesma lei.
A observância da LGPD cabe a quem desenvolve atividade econômica, seja ela organizada por empresário individual, microempresário individual ou sociedade limitada unipessoal, seja pessoa jurídica e constituída como grande, micro ou pequena empresa de ramos como:
– de comércio em geral (inclusive o eletrônico);
– de serviços de complementação diagnóstica e terapêutica (exames de saúde diversos e laboratoriais);
– de atividades de atendimento hospitalar e de atenção ambulatorial executadas por médicos e odontólogos e outras de atenção à saúde humana executadas por outros profissionais de saúde;
– de atividades de assistência psicossocial e à saúde a portadores de distúrbios psíquicos, deficiência mental e dependentes químicos dentro de centros de assistência psicossocial, e exercidas por psicólogos e psicanalistas;
– de atividades auxiliares dos serviços financeiros, seguros, previdência complementar e planos de saúde;
– de atividades de condicionamento físico (fitness), tais como ginástica, musculação, yoga, pilates, alongamento corporal, etc., realizadas em academias, centros de saúde física e outros locais especializados;
– atividades de fisioterapeutas realizadas em centros e núcleos de reabilitação física;
– de atividades de contabilidade e de auditoria;
– de pesquisas de mercado e de opinião pública;
– de atividades de administração de condomínios, shopping centers e outros imóveis.
– de atividades imobiliárias (com a intermediação na compra, venda de imóveis e terrenos por agentes e corretores imobiliários sob contrato);
– startups.
A observância da LGPD também cabe a quem desenvolve atividade econômica organizada na condição de sociedade simples, profissional liberal ou autônomo, a exemplo de:
– Advogados;
– Agentes e corretores imobiliários;
– Arquitetos;
– Contadores;
– Dentistas;
– Engenheiros;
– Fisioterapeutas;
– Fonoaudiólogos;
– Médicos;
– Prestadores de serviços de assessoria e consultoria diversos;
– Prestadores de serviços de marketing em geral (inclusive digital) e de publicidade;
– Psicólogos e psicanalistas (fora de centros de assistência psicossocial).
Os dados pessoais que identifiquem ou tornem identificáveis os clientes, sejam tais dados obtidos por meio de suporte físico ou por suporte eletrônico, inclusive através de acesso ao site por meio de smartphones ou computadores (desktop, notebooks, tablets etc.), são aqueles como:
– nome completo;
– nacionalidade
– estado civil;
– profissão;
– data e local de nascimento;
– RG;
– CPF;
– título de eleitor;
– número de passaporte;
– carteira de habilitação;
– endereço residencial;
– telefone;
– e-mail;
– retrato em fotografia,
– cartão bancário;
– renda;
– histórico de pagamentos;
– hábitos de consumo;
– preferências de lazer;
– endereço de IP (Protocolo da Internet);
– “cookies” de sites;
– localização por GPS etc.
Já dentre os dados pessoais sensíveis coletados de clientes têm-se aqueles que podem trazer alguma discriminação quando do seu tratamento, a saber:
– sobre origem racial ou étnica;
– convicção religiosa;
– opinião política;
– filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
– dado referente à saúde ou à vida sexual;
– dado genético ou biométrico, quando vinculado a uma pessoa natural.
Salvo quando para outras hipóteses previstas na lei, o tratamento de dados pessoais para ocorrer, deve ser consentido pela manifestação livre (ou seja, mediante a opção, expressamente ou não, de aceitação ou recusa e da possibilidade de retirada posterior do consentimento sem haver prejuízo para o cliente), manifestação esta que deve também ser informada (ou seja, que haja conhecimento e capacidade anteriores para a tomada de decisão de forma consciente). A manifestação do cliente ainda deve ser explícita (ou seja, a decisão do cliente deve estar clara), bem como o consentimento, ao ser dado por ele, deve atender a uma finalidade determinada.
Além disso, o tratamento, sem deixar de observar os direitos fundamentais e fundamentos já citados e a boa-fé, deve ser adequado, necessário, de livre acesso ao titular dos dados, feito com qualidade, transparência e segurança. E isso de maneira a promover a prevenção da ocorrência de danos e a não realização para fins discriminatórios ilícitos ou abusivos, e com responsabilização e prestação de contas por parte de quem coleta os dados, sendo todos esses fatores representativos dos princípios relativos as atividades de tratamento de dados pessoais.
Dessa forma, a LGPD e demais normas com ela relacionadas (com os requisitos, diretrizes, condições, regras, obrigações e direitos nelas preceituados) devem ser observadas pelas empresa, profissionais liberais e autônomos, especialmente quando da ocorrência de incidentes de segurança com dados pessoais. Esses incidentes são desde os chamados “vazamentos de dados” aos acessos não autorizados a eles e que possam acarretar risco ou dano relevante aos titulares desses dados.
Não só os clientes são considerados titulares de dados, mas também funcionários, estagiários e aprendizes (e candidatos a essas vagas) relacionados a empresa, ao profissional liberal e ao autônomo, circunstâncias que podem sujeitar os contratantes a aplicação de sanção administrativa por parte da Autoridade Nacional de Proteção de Dados (ANPD).
Sendo comprovado pela Autoridade Nacional de Proteção de Dados (ANPD) que ela ou mesmo o titular dos dados não recebeu comunicação do incidente de segurança por parte da empresa, do profissional liberal ou do autônomo de que não houve adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais, ou as necessárias para reverter ou mitigar os efeitos do prejuízo causado ao titular, a sanção administrativa é aplicável.
No aspecto pecuniário, a sanção aplicável pode variar entre uma multa simples, de até 2% (dois por cento) do faturamento da empresa no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração e multa diária, observado o limite total a que se refere a hipótese anterior. Outras sanções são previstas na LGPD e em outras normas com ela relacionadas, inclusive uma ou outra aplicável cumulativamente com a sanção pecuniária.
Quanto às microempresas, empresas de pequeno porte e startups que realizam tratamento de dados pessoais, nos termos da legislação vigente, a não observância da LGPD por parte de todos os sujeitará a sanções administrativas diferenciadas, desde que NÃO:
– realizem tratamento de alto risco para os titulares, salvo se organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
– aufiram receita bruta atualmente superior a R$ 4.800.000,00 (quatro milhões e oitocentos mil reais) ou, no caso de startups, de R$ 1.333.334,00 (um milhão, trezentos e trinta e três mil trezentos e trinta e quatro reais) multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 (doze) meses, independentemente da forma societária adotada;
– pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no item anterior, conforme o caso.
Desse modo, empresários, profissionais liberais e autônomos precisam ser orientados por especialistas da área do Direito e de Tecnologias de Informação e Comunicação (TICs) para procedimentos tais como a adoção de práticas (baseadas em documentos específicos) cujos requisitos visam estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação, incluindo requisitos para a avaliação e tratamento de riscos dessa segurança.
No mesmo sentido, empresários, profissionais liberais e autônomos precisam ser orientados quanto à adoção de práticas cujos requisitos e diretrizes visem o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) – Segurança da informação, segurança cibernética e proteção à privacidade.
Portanto, se você ou sua empresa exerce atividade econômica pertence a algum dos ramos mencionados e ainda não tenha adotado tais práticas objetivando a adequação à Lei Geral de Proteção de Dados Pessoais, entre em contato comigo.
* Dr. Fabricius Assumpção é advogado especialista em Direito Digital e associado ao Luiz Fernando Piersanti Sociedade Individual de Advocacia (Piersanti Advogados).
REFERÊNCIAS
BARCELLOS, T. BC comunica vazamento de dados de chaves PIX: veja quem foi afetado. Estadão, 2022. Disponível em: <https://einvestidor.estadao.com.br/comportamento/banco-central-vazamento-chaves-pix/>. Acessso em: 27 ago. 2023.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em: 27 ago. 2023.
_______. Decreto nº 9.573, de 22 de novembro de 2018. Aprova a Política Nacional de Segurança de Infraestruturas Críticas. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9573.htm>. Acesso em: 27 ago. 2023.
_______. Decreto nº 10.569, de 9 de dezembro de 2020. Aprova a Estratégia Nacional de Segurança de Infraestruturas Críticas. Disponível em: <https://www.planalto.gov.br/cCivil_03/_Ato2019-2022/2020/Decreto/D10569.htm>. Acesso em: 27 ago. 2023.
_______. Economia e Gestão Pública. Notícias: Pix é lançado oficialmente e está disponível para todos os clientes das 734 instituições cadastradas. Gov.br, 2021. Disponível em: <https://www.gov.br/pt-br/noticias/financas-impostos-e-gestao-publica/2020/11/pix-e-lancado-oficialmente-e-esta-disponivel-para-todos-os-clientes-das-734-instituicoes-cadastradas>. Acesso em: 27 ago. 2023.
COMISSÃO EUROPEIA. Comunicação da Comissão ao Parlamento Europeu, ao Conselho Europeu, ao Conselho, ao Comitê Econômico e Social Europeu e ao Comité das Regiões sobre a Estratégia da UE para a União da Segurança. Bruxelas, 2020. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A52020DC0605. Acesso em: 27 ago. 2023.
_______________________. Perguntas e respostas: Nova estratégia de cibersegurança da UE e novas regras para aumentar a resiliência das entidades críticas físicas e digitais. Bruxelas, 2020. Disponível em: <https://ec.europa.eu/commission/presscorner/detail/pt/qanda_20_2392>. Acesso em: 27 ago. 2023.
________________________. O Programa Europa Digital. Disponível em: <https://digital-strategy.ec.europa.eu/pt/activities/digital-programme>. Acesso em: 27 ago. 2023.
DELOITTE BRASIL. Cyber Survey: Risk Advisory. Disponível em: <https://www2.deloitte.com/br/pt/pages/risk/articles/cyber-survey.html>. Acesso em: 27 ago. 2023.
DUCARME et. al. How to stay competitive with non-traditonal competitors. Deloitte, 2020. Disponível em: <https://www.deloitte.com/conf/modern/settings/wcm/templates/modern–di-research-template/initial.html>. Acesso em: 27 ago. 2023.
HOMELAND SECURITY. The Critical Infrastructure Information Act of 2002 (CII Act). Disponível em: <https://www.dhs.gov/publication/critical-infrastructure-information-act>. Acesso em: 27 ago. 2023.
IDC. About: Home. Disponível em: <https://www.idc.com/about>. Acesso em: 27 ago. 2023.
OFFICE OF JUSTICE PROGRAMS. National Institute of Standards and Technology: Framework for Improving Critical Infrastructure Cybersecurity, february, 12, 2014. Disponível em: <https://www.ojp.gov/ncjrs/virtual-library/abstracts/framework-improving-critical-infrastructure-cybersecurity>. Acesso em: 27 ago. 2023.
PEREIRA, F. L. B; SILVA, C. A. C. Vazamentos de dados aumentaram 493% no Brasil, segundo pesquisa do MIT. Você S/A, 2021. Disponível em: https://vocesa.abril.com.br/sociedade/vazamentos-de-dados-aumentaram-493-no-brasil-segundo-pesquisa-do-mit/. Acesso em: 27 ag. 2023.
TIVIT. Cybersecurity e Governança em Ambientes Híbridos. Disponível em: https://go.tivit.com/cybersecurity-e-governanca-em-ambientes-hibridos-idc-vendor-spotlight. Acesso em: 27 ago. 2023.
UNIÃO EUROPEIA. Decisão (UE) 2022/2481 do Parlamento Europeu e do Conselho de 14 de dezembro de 2022 que estabelece o programa Década Digital para 2030. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32022D2481>. Acesso em: 27 ago. 2023.
UNITED STATES. H.R.3162 – 107th Congress (2001-2002): Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT ACT) Act of 2001. Disponível em: <http://www.congress.gov/bill/107th-congress/house-bill/3162/text/enr>. Acesso em: 27 ago. de 2023.
_________________. S.1353 – 113th Congress (2013-2014): Cybersecurity Enhancement Act of 2014. Disponível em: <https://www.congress.gov/bill/113th-congress/senate-bill/1353/text>. Acesso em: 27 ago. 2023.
_________________. S.2519 – 113th Congress (2013-2014): National Cybersecurity Protection Act of 2014. Disponível em: <http://www.congress.gov/bill/113th-congress/senate-bill/2519>. Acesso em: 27 ago. 2023.
VENTURA, I. Banco Central confirma o primeiro vazamento em massa de chaves PIX. Consumidor moderno, 2021. Disponível em: https://www.consumidormoderno.com.br/2021/10/01/banco-cen. Acesso em: 27 ag. 2023.