A nova realidade da tecnologia, do compartilhamento de informações e da internet – mais presente do que nunca, principalmente, após a pandemia – é mais uma lição que todos os brasileiros precisam saber lidar e aprender.

Até por isso, o Entrevistão deste domingo (11) é com o advogado Paulo Vidigal, sócio fundador do escritório Prado Vidigal, em São Paulo, e especializado em Direito Digital, Privacidade e Proteção de Dados.

Ele completou 33 anos recentemente, mas o currículo é de dar inveja a qualquer “veterano”: além de advogado, tem MBA em Direito Eletrônico pela Escola Paulista de Direito; é especialista em Direito Processual Civil pela PUC-SP; membro da Comissão de Direito Digital da OAB/SP e do Comitê de Compliance da LEC, com extensão em Privacidade e Proteção de Dados pela Universidade Presbiteriana Mackenzie e em Privacy by Design pela Ryerson Univerisity; e certificado pela International Association of Privacy Professionals (IAPP).

“Construí minha carreira trabalhando com direito digital e proteção de dados, que é uma área em que sou apaixonado. É um tema muito quente agora, porque a pandemia trouxe a digitalização, principalmente nas empresas. Elas tiveram de se reinventar e encontrar formas de trabalhar remotamente e nem todas estavam preparadas para isso.  As próprias políticas de segurança da informação também não contemplavam esse trabalho massivamente remoto e, obviamente, as pessoas passaram a ser alvos mais evidentes dos hackers do mal”, contou Vidigal.

Confira o bate-papo:

Tribuna de Jundiaí – Crimes cibernéticos: o Brasil é um dos países onde mais se aplica golpes e clonagens pela internet. Não estamos seguros em nenhum momento usando a internet?

Paulo Vidigal – De fato, o Brasil tem índices de crimes bastante preocupantes com relação à internet. Sempre é importante desmistificar a ideia de que a internet é um território sem lei, sem regras, porque não é. Ela é só um meio: assim como consigo praticar um crime no ambiente analógico, fisicamente, eu também posso utilizar a internet como ferramenta para potencializar isso.  Todo tipo de crime que acontece na internet tem os seus rótulos fora: pode ser um estelionato, uma fraude, por exemplo, que também ocorrem no mundo real.

É relevante dizer que há duas formas de enxergar esse tema: uma delas critica um pouco as normas que a gente tem em direito penal, que foram originalmente construídas para o mundo analógico e, portanto, não preveem um grande cardápio de crimes eletrônicos. Assim, há quem diga que precisamos renovar o nosso Código Penal, trazer crimes previstos propriamente para o ambiente online.

Uma segunda corrente vai dizer que não há problema em aplicarmos analogias para enquadramento de crimes cometidos on-line, mas o ponto a ser combatido é a dificuldade grande de investigar esses crimes. Principalmente quando a pessoa que comete o delito é tecnicamente um expert, pois ela vai conseguir driblar as formas tradicionais que hoje a gente tem para investigar e apurar isso.

A Justiça, às vezes, é morosa; a própria investigação, ainda que em âmbito de inquérito, demora; nem toda delegacia sabe lidar com esse tipo de demanda… isso faz com que o tempo passe e as pessoas tenham uma sensação de impunidade. Chega no fim e parece que tudo o que foi feito não levou a lugar nenhum, surgindo assim a ideia de que faltam leis.

Na minha perspectiva, me filio mais a essa segunda corrente. Na minha visão, nós temos leis, sim. Claro que podemos sempre revisar a própria dureza da lei, se as penas estão ou não efetivas, se poderiam ser mais duras, mas  o grande problema ainda é uma falta de cultura, de modo geral. Tanto para quem persegue o crime se habituar mais com essas características próprias da internet – como a agilidade e o dinamismo – quanto também as vítimas que, eventualmente, com uma maior educação digital poderiam minimizar essas ocorrências. Há uma curva de maturidade que a sociedade precisa percorrer para começar a baixar esses índices.

Até porque há uma incidência de crimes ou de situações que são bastante simplórias, como aquela pessoa que recebe um link pedindo para clicar porque vai marcar o lugar dela na fila da vacinação. Isso é repassado pelos aplicativos de mensagem, mandam para familiares e amigos sem checar se é verídico ou não. A clonagem do WhatsApp, por exemplo, pode ser minimizada com a aplicação de duplo fator de autenticação – uma atitude simples, mas que ainda acontece bastante. São boas práticas de segurança que as pessoas precisam se conscientizar para evitar prejuízos desse tipo.

Tribuna – Fake news, vazamento de dados e até extorsões para não divulgar fotos e informações particulares… a pandemia facilitou os crimes, por conta da utilização maior da rede?

Paulo – O fato de ter de se conectar mais, pois não se têm as interações presenciais, fez com que crescesse o número de vítimas. Quando se pensa no mundo corporativo, por exemplo, a gente vê que as empresas tiveram de se lançar ao ambiente digital de uma forma drástica e, às vezes, até sem muita preparação. Já existem análises sendo feitas de que (por conta da pandemia) avançamos em anos a previsão natural de migração do físico para o mundo online, em algumas situações, de maneira abrupta. E, de fato, cresceu o número de vítimas que não tiveram a oportunidade de conhecer mais os recursos e evitar esse tipo de situação. Se a gente fizer uma analogia, podemos dizer que há pessoas que na direção de um veículo se permitem errar, num primeiro momento, quando estão em um processo de capacitação no CFC (Centro de Formação de Condutores), sob supervisão: escolhem uma rua, depois uma via expressa e só depois vão para a estrada. Na atual situação, a grosso modo, pode-se dizer que pegamos a chave do carro e fomos direto para a estrada sem saber guiar.

 

“A clonagem do WhatsApp, por exemplo, pode ser minimizada com a aplicação de duplo fator de autenticação – uma atitude simples, mas que ainda acontece bastante. São boas práticas de segurança que as pessoas precisam se conscientizar para evitar prejuízos desse tipo”.

 

Tribuna – Dados vazados de milhões de pessoas, no mundo todo, após ataques de hackers. As empresas que administram essas informações não têm responsabilidade nisso?

Paulo – Temos no Brasil, hoje, aprovada e vigente, a nossa LGPD (Lei Geral de Proteção de Dados). Em 2018, a lei foi aprovada e tivemos dois anos para que as empresas e o próprio governo se adaptassem às novas regras. É muito abrangente, pois trata de qualquer operação que envolve o tratamento de dados pessoais, com raras exceções. A princípio, ela se direciona tanto para empresas privadas quanto para os órgãos públicos e implica numa mudança de cultura bastante marcante.

No que diz respeito aos incidentes de segurança, como o vazamento de dados, a lei traz uma obrigação: a empresa ou instituição que vier a sofrer esse incidente deve, primeiro, ter meios para identificar que isso aconteceu, avaliar os riscos e comunicar tanto a Autoridade Nacional de Proteção de Dados (ANPD), órgão criado pelo governo para fiscalizar essas situações, quanto notificar os próprios titulares dos dados, as pessoas físicas – independentemente da relação que ela tenha: pode ser desde um consumidor, colaboradores da empresa, servidores públicos. A lei não dá prazo específico para isso, mas é a autoridade que vai regulamentar. Por ora, temporariamente foi recomendado pela autoridade dois dias úteis para isso. Deve-se mandar um e-mail, uma carta, telefonar ou até fazer um anúncio público a fim de que as pessoas tenham ciência de que seus dados foram envolvidos neste incidente.

Essa legislação trouxe também as penalidades que podem ser aplicadas pela ANPD: na prática, a autoridade vai ter de investigar o ocorrido e se entender que houve uma conduta irregular daquela organização, pode-se aplicar uma multa, que pode chegar até 2% do faturamento desta empresa – limitada a R$ 50 milhões. Há outras penalidades, também, como a organização ser obrigada a interromper, excluir ou bloquear aquelas informações vazadas. Mas essas penalidades só podem ser aplicadas a partir de agosto deste ano, embora a lei já esteja vigente.

Até lá, ficamos desamparados? Não! Pode-se recorrer a outras instâncias: se for consumidor, pode-se bater na porta do Procon, Ministério Público, ou acionar o próprio poder Judiciário com uma ação. Por isso é relevante que as empresas já se adequem no sentido de atender essas obrigações da lei porque, mais do que uma questão regulatória, é também uma demanda de mercado.

Quase qualquer contrato vai envolver uma troca de dados pessoais, correto? As empresas já impõem umas às outras obrigações contratuais com relação a esse assunto, independentemente da lei vigente ou da autoridade nacional existir, para que sejam aplicadas naquela relação as medidas de segurança aptas à garantia dessas informações. E isso tira a empresa do mercado se não estiver adequada, porque ela não vai conseguir, por exemplo, passar na checagem de compliance (conjunto de disciplinas a fim de cumprir e se fazer cumprir as normas legais e regulamentares) de outras empresas: vai receber um questionário perguntando se tem os controles com relação ao assunto e não será capaz de dizer que tem, enquanto um concorrente que já conta com isso acaba ganhando o mercado.

É uma situação que não tem como fugir, porque é uma lei que já pegou. Já existe uma série de pesquisas que mostram que os consumidores não estão dispostos a fazer negócio com quem não lida bem com os seus dados.

 

“Se a gente fizer uma analogia, podemos dizer que há pessoas que na direção de um veículo se permitem errar, num primeiro momento, quando estão em um processo de capacitação no CFC (Centro de Formação de Condutores), sob supervisão: escolhem uma rua, depois uma via expressa e só depois vão para a estrada. Na atual situação, pode-se dizer que pegamos a chave do carro e fomos direto para a estrada sem saber guiar”.

 

Tribuna – A LGPD é algo que as pessoas devem comemorar? Quais são os prós e contras da legislação, na sua opinião?

Paulo – Consigo ver muitos pontos positivos na lei, senão todos. Primeiro porque ela traz um valor relevante na nossa democracia, na sociedade, que é a tal da segurança jurídica. Tendo essa lei, fica muito mais fácil para montar minha operação. Antes havia leis esparsas, em que era muito difícil navegar. Não tínhamos um manual, uma regra geral como é a LGPD, em que pudéssemos bater o olho e saber exatamente como proceder, como projetar as atividades. Ela trouxe esse elemento de segurança, de previsibilidade para as organizações, o que é muito positivo.

Quando você pensa sob a ótica do titular de dados, da pessoa física, ela trouxe também muitos direitos relevantes. Hoje temos o direito de acesso aos dados: você pode bater na porta de qualquer organização e dizer que quer conhecer como os seus dados são tratados e quais são eles. É claro que existem limitações, como qualquer direito. Não é possível querer saber dentro de uma empresa o andamento de uma investigação de compliance contra determinada pessoa, por exemplo. Isso pode envolver dados sigilosos e o segredo comercial da empresa, ali, então há limitações, mas existe o direito.

Outra situação é o pedido de retificação dos meus dados, no momento em que decisões são tomadas a partir daquilo: numa análise de crédito, o endereço pode estar desatualizado ou cadastrado de maneira errada e isso geraria um score mais baixo. São direitos relevantes na lei e que trazem instrumentos para impactar positivamente o titular. Há um controle maior sobre os dados pessoais que antes não se tinha com tanta clareza.

Tribuna – Recentemente, empresas que se utilizam de Inteligência Artificial tiveram de mudar a forma de abordagem neste tipo de serviço, porque passou-se a ter, entre outras situações, até assédio de usuários. Ainda não estamos preparados para toda essa evolução?

Paulo –  Sempre que se fala de evolução tecnológica, normalmente se tem uma quebra de paradigmas. Isso traz um desafio grande de aprender a arbitrar e ter padrões de conduta que preservem os valores éticos, justos, dentro desse outro ambiente, dessa novidade. É normal, portanto, nesse aspecto, um movimento inicial de estranheza e até de alguns desvios, mas precisamos tomar cuidado para que a legislação não seja um entrave ao avanço tecnológico.

Essa é uma discussão interessante e a nossa legislação de proteção de dados andou bem nesse sentido, quando ela trabalha com normas abertas, princípios e ideais ao invés de obrigações duras e muito fechadas. Vou dar um exemplo: dados pessoais não podem ser utilizados de maneira a discriminar uma pessoa de forma abusiva. Ela não está dizendo que não se pode trabalhar com Inteligência Artificial, a lei jamais falaria algo como isso porque condenaria essa tecnologia à morte e levaria nosso país a um atraso. A LGPD traz ideias, princípios, e compete às organizações quando estão explorando essa tecnologia avaliar e entender se estão alinhadas ou não com essas condutas.

É difícil para um advogado dizer se pode ou não fazer isso, porque depende de como será executado, já que é muito particular de cada contexto. Será que não vai ter um resultado discriminatório? Será que aqui você não deveria coletar menos informações? Será que não deveria ser mais transparente? São essas provocações que temos de trazer quando atuamos ao lado de organizações que exploram essas tecnologias e, por outro lado, enquanto sociedade só temos um caminho: ter a educação como pilar para utilizar essas ferramentas de maneira justa e respeitosa.

É legal até porque a LGPD provocou isso, ela incentiva bastante a conscientização. Hoje, nos ambientes corporativos, acontecem muitas palestras, treinamentos, dinâmicas e workshops para a conscientização. Isso vai criando uma cultura que hoje é carente na sociedade, porque não adianta só criar uma lei, um pedaço de papel… precisa trazer a cultura e a lei provoca isso, seja pelas ações da ANPD como também pelas iniciativas de conscientização das organizações dentro do ambiente de trabalho.

Esse movimento vai provocar um dia, mais para a frente porque não acontece do dia para a noite, esse avanço interessante de cultura no sentido de tentar nivelar, ou seja, ter o cumprimento da lei e também o entendimento das pessoas com relação às normas, aos valores. No começo pode até parecer algo duro, ter de cumprir porque é uma obrigação, mas o passo adiante é já ter o entendimento disso.

Tribuna – Como as pessoas devem se proteger para não cair em golpes ou sofrer ataques?

Paulo – Há uma série de dicas divulgadas hoje e que as pessoas precisam ter esse cuidado. O primeiro é em relação aos links que a gente recebe, as próprias notícias que na verdade são fake news e inundam esse ambiente. Todo conteúdo recebido, mesmo que seja de pessoas próximas, precisa ser checado sempre.

Deve-se utilizar os recursos próprios de cada plataforma para segurança, adotar os duplos fatores de autenticação para evitar a invasão dos dados. Manter atualizados os sistemas operacionais, pois existem muitos golpes que usam essas brechas para atacar. A atualização dos sistemas serve para corrigir falhas e, se isso não é feito, mantém essa vulnerabilidade ativa.

Também é preciso usar senhas fortes com caracteres especiais, números, letras maiúsculas e não ter uma mesma senha para diferentes serviços – com o gerenciamento de senhas é possível, hoje. Ter técnicas para formar senhas com coisas que você gosta: usar temas específicos, pessoais, tudo para dificultar os acessos estranhos.

O e-mail, por exemplo, pode servir como acesso para todos os seus dados. Se você tem a mesma senha para tudo, quem tomar posse disso através dele vai, obviamente, entrar em outras contas, outros serviços. Existe um mercado em que essas informações vazadas são comercializadas pelos malfeitores, os hackers do mal, na chamada Dark Web. Por isso é importante trocar as senhas constantemente, para dificultar uma possível invasão.

Tribuna – Raio X: quem é Paulo Vidigal?

Paulo – Sou um entusiasta de tecnologia e não me considero um especialista, porque estamos sempre aprendendo. Me apaixonei por esse tema há uns seis, sete anos e passei a lidar com esse assunto no dia a dia. Sou um defensor do mercado nesse sentido, porque a lei não pode ser um empecilho para um avanço tecnológico, mas precisa ser feita com muita responsabilidade.

Prefiro me rotular como um entusiasta de tecnologia e não um especialista, porque estamos sempre aprendendo. Me apaixonei por esse tema há uns seis, sete anos e passei a lidar com esse assunto no dia a dia. Sou um defensor do mercado nesse sentido, porque a lei não pode ser um empecilho para um avanço tecnológico, mas precisa ser feita com muita responsabilidade.

Sou casado há quatro anos, ainda não temos filhos mas consideramos nosso cão, o Gengibre, como um filho pet. Moro em São Paulo, nasci aqui mas fui criado em Hortolândia até os 17 anos. Fiz faculdade na PUC-SP e tenho um escritório especializado em direito digital, privacidade e proteção de dados. Ele nasceu durante a pandemia, em agosto do ano passado, numa sociedade com o Luis Fernando Prado. Nasceu remoto por conta da pandemia e nos ressentimos da falta de convívio em ambiente físico.

Contamos com alguns colaboradores e estamos lidando com tudo isso, de ter que gerir uma equipe de maneira remota. Isso mostra como o mercado mudou, não é? Há um tempo atrás, não era possível conceber algo desse tipo, criar uma empresa e não ter uma magnífica sede física. Estamos atendendo empresas dos mais variados portes dessa forma e felizmente conseguimos ultrapassar essa barreira da falta do presencial.