A postura errática e reativa do governo brasileiro em relação à segurança digital foi um dos temas debatidos no Seminário LGPD, Cibersegurança e Governança de IA, organizado pela FecomercioSP, com apoio da ABES (Associação Brasileira das Empresas de Software) e do INCC (Instituto Nacional de Combate ao Cibercrime).
O evento contou com especialistas, representantes do setor privado e do poder público, líderes empresariais, autoridades e consultores para discutir os desafios da proteção de dados e da inteligência artificial no país, destacando a necessidade de medidas mais proativas para evitar vulnerabilidades e fortalecer a governança digital.
Dentre os diversos painéis, o de Cibersegurança e o Custo da Inação discutiu os problemas da segurança digital no Brasil.
“Nós temos uma preocupação meio errática no governo brasileiro, e não quero falar só do executivo não, mas de todas as esferas. O judiciário, o legislativo e o executivo tem esse problema. A gente é muito errático e a gente é meio que reativo”, conta Marcelo Malagutti, assessor especial do ministro do GSI.
Um dos exemplos apontados por Malagutti é a lei Carolina Dieckmann, sancionada em 2012, que trata da criminalização da invasão de dispositivos eletrônicos para obtenção de dados ou informações privadas, como computadores, celulares e outros aparelhos.
“Um projeto que estava engavetado por três anos, que não era prioridade, ganhou visibilidade, porque precisava resolver o assunto. Aí, o congresso correu e aprovou. E temos alguma coisa.”
De acordo com Malagutti, a Lei Carolina Dieckmann acabou pautando outros problemas relacionados à segurança e proteção digital, surgindo em sua esteira o Marco Civil da Internet e a Lei Geral de Proteção de Dados, por exemplo. “De repente a gente tem uma série de coisas que não estão harmônicas, e não se fecham adequadamente.”
Cada setor uma regulação de cibersegurança
Essa falta de homogeneidade gerou lacunas no setor, já que cada um possui regras específicas para a sua regulamentação e proteção digital.
Malagutti explica que, no Brasil, nenhuma agência reguladora possui, de fato, a prerrogativa legal específica para atuar sobre cibersegurança de maneira ampla. Diante dessa lacuna, órgãos como o Banco Central, a Anatel e a Aneel desenvolveram suas próprias regulamentações para lidar com a segurança digital dentro de seus respectivos setores.
Mesmo sendo setorizadas, essas regulações ainda apresentaram problemas, com o setor financeiro enfrentando dificuldades, apesar de ser o mais desenvolvido no país.
“Similarmente, a gente tem a situação da área de telecom. É uma área bem muito bem regulada, a Anatel faz um trabalho primoroso. Mas também tem buracos.
A situação fica ainda mais complicada, já que não é possível juntar os bancos e a telecomunicações em uma mesma base, já que ambos possuem regulamentações separadas.
“O Banco Central não pode fazer um regramento para proteger o setor financeiro que atravessa para cima da área da Anatel, e vice e versa”, explica.
De acordo com Malagutti, o GSI tem buscado encontrar e desenvolver a proposta de uma instituição que seja capaz de harmonizar e regular setores diferentes no âmbito da cibersegurança. Mesmo que cada setor tenha regras específicas, é necessário um agente regulador para organizar tudo sobre uma base comum
A ideia é que um projeto com esse intuito seja entregue ainda no segundo trimestre deste ano no congresso brasileiro.
“A minha perspectiva é a gente entregar no primeiro semestre, para que seja aprovado no terceiro trimestre do ano em pelo menos uma das casas [do legislativo].”
Importância da proteção de dados
O debate sobre segurança da informação implica também a proteção de dados, já que não é possível garantir a integridade e a confidencialidade de informações pessoais se elas não estiverem devidamente protegidas contra acessos não autorizados.
“Não é possível se imaginar a garantia do direito fundamental à proteção de dados pessoais, sem a segurança da informação. Isso é absolutamente inviável”, fala Iagê Miola, membro do Conselho Diretor da ANPD (Autoridade Nacional de Proteção de Dados).
Segundo Miola, os dados devem estar seguros contra qualquer tipo de violação, seja ela de acessos maliciosos propositais, seja eventos acidentais que possam disponibilizar esses dados para o acesso de terceiros.
Nesse sentido, ele explica que a LGPD vai estabelecer a segurança como um dos seus princípios norteadores.
“Isso significa que todo e qualquer tipo de tratamento de dados precisa levar em conta, ou precisa se preocupar, com a segurança nesse tratamento. Da coleta à análise, ao armazenamento ou qualquer que seja a forma de tratamento desses dados pessoais”, explica o conselheiro.
Outro problema levantado durante o painel foi a quantidade de incidentes de segurança de dados. De acordo com Miola, os dados indicam que essa tem se tornado uma preocupação cada vez mais relevante, pois é possível que haja uma quantidade significativa de subnotificações nos casos relatados.
“Nos dois últimos anos, a gente teve algo como 650 comunicados de incidente de segurança ANPD. É muito ou é pouco? Acho que, olhando comparativamente, a gente pode entender que é pouco, porque há uma sensação de subnotificação. Então podemos esperar que isso vai aumentar.”
Esse aumento do número de comunicados de incidentes de segurança se deve principalmente ao processo de amadurecimento de uma cultura de proteção de dados no país.
Com o estabelecimento cada vez mais sólido de uma autoridade nesse setor, as organizações públicas e privadas começam a reconhecer a necessidade de comunicar à autoridade ao se depararem com um evento que represente ameaça à segurança da informação.
“Se a gente olhar para outros países, por exemplo. A autoridade de proteção de dados francesa, apenas em 2023, teve mais de 4 mil comunicados de incidentes de segurança. A autoridade britânica, em um trimestre no ano passado, mais de 3 mil. Então a gente pode esperar que, no Brasil, esse número tende a crescer”, concluiu.
