A GDPR (ou Lei Geral de Proteção de Dados) foi um dos assuntos mais comentados no universo da tecnologia durante 2018. Sua implantação na Europa e posteriores sanções feitas ao redor do mundo foram vistas como iniciativas extremamente positivas, capazes de trazer mais segurança a usuários e de obrigar empresas a terem um compromisso maior com as informações que armazenam.

Apesar da grande quantidade de informações disponíveis com o objetivo de desmistificar o que representa um passo como esse, um lado pouco abordado foi o das possíveis consequências negativas que a nova lei pode trazer ao longo do tempo. Especialmente quando se trata da habilidade de cibercriminosos.

Traduzindo, a nova Lei Geral de Proteção de Dados vai fazer com que as empresas tenham mais consciência de cibersegurança, mas, ao mesmo tempo, abre uma brecha para dificultar a descoberta da identidade de crackers.

Um artigo recente dos advogados Brian Finch e Steven Farmer publicado pelo Wall Street Journal exemplifica essa discussão ao enfatizar os malefícios do fim do Whois, serviço usado frequentemente por jornalistas e pela polícia para identificar donos de websites.

Com o fim do acesso livre a informações como essa, abre-se uma brecha para crimes virtuais serem cometidos com uma dificuldade ainda maior de localizar eventuais culpados. E, tendo em vista o fato de que a preocupação com cibersegurança ainda é algo recente em muitas empresas ao redor do mundo, esse cenário pode ter consequências devastadoras, como roubo de senhas e informações valiosas, prejudicando ainda mais organizações de vários setores.

É necessário estar cada vez mais atento. O CTO mundial da McAffee, Steve Grobman, pontuou recentemente que o excesso de normas da GDPR sem um direcionamento claro pode fazer com que empresas deixem de direcionar parte valiosa do tempo destinada a se proteger contra ameaças reais para passar a cumprir tarefas burocráticas apenas com o objetivo de atender à Lei de proteção de dados.

No Brasil, a Lei Geral de Proteção de Dados foi sancionada em agosto do ano passado e deve entrar em vigor no segundo semestre, exigindo mudanças de gestão, infraestrutura e tecnologia por parte das empresas. Inspirada na versão europeia, também pretende fazer com que companhias sejam mais claras a respeito dos dados que possuem de clientes e usuários, além de informarem como armazenam essas informações.

Por aqui, estamos um passo atrás do continente europeu. Ainda não há um consenso de empresas em diferentes setores a respeito da importância de se adequar à nova legislação e, mais do que isso, da necessidade de investimentos em pesquisa e desenvolvimento para cibersegurança.

Como forma de prevenir grandes riscos, é esperado que gigantes de tecnologia que também atuam no país promovam fóruns de conscientização e sejam capazes de trazer cada vez mais conhecimento a respeito de como implantar essa nova norma em setores variados.

Seguindo os passos do continente europeu, diferentes empresas também devem buscar seguir as novas normas, o que pode trazer distorções e abrir novas brechas para criminosos atuarem também em território nacional.

Vale lembrar que o país é o segundo colocado em nível mundial com maior número de crimes cibernéticos, de acordo com dados da Norton Cyber Security – atrás apenas da China – não é difícil prever a criatividade de quem quer cometer esse tipo de crime em um cenário ainda mais restritivo.

Assim, a meu ver, para uma implantação adequada da GDPR é imprescindível que as empresas, usuários finais e reguladores façam uma ampla e criteriosa análise de suas possíveis consequências, para que de fato sua adoção se traduza em benefícios reais que primem pela melhoria da segurança.

Com o Dia Internacional da Proteção de Dados comemorado recentemente (28 de janeiro), vale a reflexão: será que estamos preparados para nos adaptar a esse novo momento? Ou as consequências vão suprir os benefícios? É necessário estar atento.