Rafael Zanatta, diretor do Data Privacy Brasil - Foto: Divulgação

Rafael Zanatta, diretor do Data Privacy Brasil – Foto: Divulgação

A Associação Nacional de Proteção de Dados Pessoais (ANPD) lançou em consulta pública, na semana passada, a proposta de regulamentação da Lei Geral de Proteção de Dados (LGPD) que afetará os micros e pequenos negócios.

“A noção de justiça tem de ser proporcional à capacidade de cada um, e não aplicar a mesma regra para todos”, diz Rafael Zanatta, diretor do Data Privacy Brasil, em entrevista  ao Digital Money Informe.

Zanatta, que também trabalhou no Instituto de Defesa do Consumidor (Idec), fala dos estímulos que a LGPD traz aos processos de inovação no país e chama atenção para os riscos dos ataques cibernéticos. “O país precisa de uma estrutura de defesa civil digital, que alerte a população. É a lógica da defesa civil dos desastres ambientais para o ambiente informacional.”

Que estímulos a Lei Geral de Proteção de Dados traz ao processo de inovação das empresas? Os grandes players são os maiores beneficiados nesse processo?

Zanatta – É evidente que há barreiras de entrada para os pequenos negócios, na medida em que existe um conjunto de regras de compliance imposta pela lei de proteção de dados. Um governo que olha para isso terá que pensar em outras formas de indução da competição, como está fazendo o Reino Unido, que criou Digital Market Unit para tentar estimular a interoperabilidade e o compartilhamento de dados.

A estratégia europeia privilegiou a entrada dos pequenos negócios?

Zanatta – A Europa sempre considerou o Regulamento Geral de Proteção de Dados (RGPD) como um fator de inovação de fomento às economias locais para o fortalecimento das empresas europeias e dos pequenos negócios. Os grandes players têm facilidade de superar a questão de custo para estar em compliance com a lei. No entanto se tornam alvo do processo transformatório e, na medida em que se tornem alvos reiterados, podem ser suspensos, além de sofrer danos reputacionais, o que é grave. Como já aconteceu com algumas bigtechs na Europa.

A ANPD lançou em consulta a resolução para pequenos e médios negócios na semana passada. Quais são as considerações do Data Privacy Brasil?

Zanatta: Consideramos a estrutura e o conteúdo acertados, pois há uma calibragem de regulação assimétrica e um conjunto de procedimentos bem mais leves para os pequenos e médios. Mas ainda há alguns cuidados, pois mesmo as pequenas empresas podem fazer um tratamento de altíssimo risco.

É o caso da Clear View AI, uma das startups mais abomináveis do mundo. Outra coisa que tememos muito são as fakes startups com acesso a um conjunto de dados massivo. É importante fomentar o livre empreendedorismo, mas também não permitir que maus atores se aproveitem para criar espaços de exceção regulatória.

Só a legislação é capaz de gerar descentralização econômica?

Zanatta: Claro que não, seria muito pueril pensar assim. Não dá para colocar tudo nas costas da LGPD. Ela é muito bem dosada e fundamental, pois garante o direito de titulares. Porém, sob a perspectiva da indução econômica em outros mercados, ela tem que ser casada com outras estratégias regulatórias.

Os europeus, por exemplo, estão jogando em múltiplas frentes. Lançaram a GDPR em 2016, e já colocaram na mesa o Digital Market Act, que é uma regulação econômica severa que cria uma série de obrigações para os grandes players. Ela proíbe de antemão o favorecimento próprio, o tratamento de dados pessoais por meio de terceiros, que aumenta a capacidade de coleta de dados, ou um outro desenvolvimento de software em um mesmo sistema operacional.

Como o Brasil está lidando com essas questões?

Zanatta: No Brasil, esse movimento é ainda tímido. Salvo algumas exceções, como é o caso de regulação financeira. Mesmo na área de saúde em que o país é uma potência, não há programas federais de investimento em ‘data commons’ na saúde, para poder induzir heathechs, por exemplo. Quem vai abocanhar o mercado de healthechs no país, as bigtechs? As grandes farmácias?

O sistema financeiro é o que está mais compatível com a LGPD no momento?

Zanatta – O setor financeiro é o que mais sinaliza a compatibilização da LGPD com propostas de compartilhamento de dados. E o protótipo de open banking é muito sofisticado em termos internacionais. Por outro lado, open banking gera um problema, pois, na medida em que centraliza a infraestrutura de API, vulnerabiliza a infraestrutura como um todo, pois ela é compartilhada.

Sob o ponto de vista do fraudador, fazer um ataque de ramsoware nessa infraestrutura do BC é um bom negócio, pois gera pânico e pode paralisar tudo. Estruturas descentralizadas que são menos integradas se tornam menos atrativas para os ataques. Isso é um dilema construtivo do open banking. Essa tem que ser uma agenda prioritária do país, e acho que o BC não está preparado para isso ainda.

O Comitê gestor do open banking, formado apenas por representantes dos bancos e fintechs, não está ouvindo a sociedade. Não tem uma entidade como o Idec e outras para falar sobre as perspectivas de como estão ocorrendo os golpes. Esse é um ponto crítico, pois eles estão muito tecnocratas e centrados economicamente.

Mas especialistas de segurança garantem que as APIs do open banking estão alinhadas às melhores práticas de segurança do mundo.

Zanatta: Estamos vivendo um cenário bastante novo. Quando ocorreu o ataque ao JBS, um líder de segurança da CIA declarou que foi o golpe mais sofisticado que presenciou e que não havia procedimentos para antever. É um outro nível de risco para a sociedade. A indústria de ataques cibernéticos hoje é bem estruturada internacionalmente e funciona em uma estrutura de plataforma. Trata-se de um business pesado. Os bancos americanos estão oferecendo linhas de crédito para investimentos em cibersegurança, com taxas de juros menores.

E que medidas poderiam ser tomadas no Brasil?

Zanatta: É o caso de pensarmos grande por aqui também. Não será o caso de mobilizar o BNDEs ou outras instituições financeiras para oferecer uma taxa especial de crédito? Por que a gente consegue comprar trator mais barato e não consegue contratar estrutura de TI para segurança da informação mais barata? É preciso começar a pensar em normas premiais. Pensamos muito em usar o direito como uma sanção premial para tentar induzir esse comportamento. Temos que pensar grande nesse sentido enquanto nação: o que podemos fazer de melhor para superar isso, pois é uma crise social que atinge a todos e corrói a confiança.

O que está sendo feito de movimentação da ANPD no plano formal?

Zanatta: A ANPD fez um conjunto de acordos de cooperação técnica, nos últimos meses, que foram notáveis e inclusive são bastante inéditos sob a perspectiva internacional. Fez também parceria com o Nic.br, a Fundação Certi, a Secretaria Nacional do Consumidor (Senacom) de acordo formal de cooperação institucional. Dadas as fragilidades institucionais do país, a atuação da ANP tem sido de se fortalecer por meio desses acordos quase como uma governança em rede, apoiada em muitos nódulos. Trata-se de o mecanismo de co-regulação que o artigo 50 da lei permite.

E como a gestão Biden está lidando com o tema nos Estados Unidos?

Zanatta: Os EUA estão se mexendo. O pacto das cinco legislações apresentadas pelo Biden veem as regras de fusões e aquisições em mercado de dados. São coisas que aqui também já estamos olhando. Soltamos em maio um relatório, pedindo ao Cade para rever as regras. São medidas que garantem interoperabilidade nos mercados de infraestrutura e tecnologia, interoperabilidade entre os sistemas operacionais e interoperabilidade entre redes sociais. São regras que preveem também um conjunto de noções bem claras de práticas abusivas em coleta de dados. Como, por exemplo, fazer certos tipos de padrões que induzem as pessoas a ceder mais dados, prática aliás muita usada pela indústria de games, mas que tem que ser proibida de antemão.

Há estruturas no país como fundo garantidor de crédito ou outras estruturas de fundos sociais para poder amparar pessoas que sofreram grandes golpes?

Zanatta: Estamos bem precários nessa parte e acho isso gravíssimo, especialmente, quando se tem uma bancarizaçao e inclusão financeira via aplicativo de internet banking e Pix, que a pandemia acelerou. Na parte de tipificação do crime de invasão de dispositivo ou golpe de engenharia social, não temos legislação penal adequada nessa área. A única lei que se aproxima disso é a lei Carolina Dickman, mas que fala mais de invasão de dispositivo, propriamente, do que fraude de engenharia social. Quando o cidadão faz um boletim de ocorrência de crime cibernético na delegacia, registra tudo como estelionato.

O trabalho de comunicação no país não está à altura para as pessoas serem conscientizadas. Além disso, o governo opera com uma lógica extremamente neoliberal, de que o problema é de cada um. Esse discurso individualizante é muito poderoso. Precisamos de uma estrutura de defesa civil digital. Em caso de surto de Pix e golpes ter algo que avise a população. É a lógica da defesa civil dos desastres ambientais para o ambiente informacional.