* Thiago Bento – Escritório DPO everis Brasil
O dia 14/01/2020 marcou o fim de uma história de amor entre sistema operacional e usuário: está encerrado o suporte ao Windows 7. O prazo de suporte de 10 anos fazia parte das políticas da Microsoft, de modo que não foi surpresa para ninguém a “morte” do S.O. Entretanto, 37%[1] dos computadores brasileiros ainda rodam o Windows 7, inclusive nas empresas.
Outro agravante é que a Microsoft, além de encerrar o suporte, não oferece nenhuma vantagem ou facilidade para a atualização do sistema, praticamente forçando as pessoas ou empresas a comprarem o Windows 10, ou outra versão posterior ao Windows 7.
Será que vale a pena investir em uma nova versão do software? A Microsoft tem o direito de agir dessa maneira? Mas qual é a relação disso com a Lei Geral de Proteção de Dados?
Sistemas Operacionais são produtos - quer venham em uma caixa fechada, sejam comprados em lojas, pré-instalados com o computador novo ou baixados na internet. Sendo assim, existe uma relação de consumo entre o software e seu fabricante e a empresa ou pessoa que o comprou. Ou seja, sua aquisição está sujeita às exigências do Código de Defesa do Consumidor, que combate o fenômeno da obsolescência programada (fabricação de produtos com tempo de vida útil intencionalmente reduzido).
É esse o caso do fim do suporte ao Windows 7? O Código de Defesa do Consumidor não especifica tempo de suporte, mas define que “o fabricante e o importador devem prover serviços e peças de reposição ao consumidor por período razoável de tempo na forma da lei.” A Lei de Software, por sua vez, estabelece a obrigação de que o contrato, documento fiscal ou embalagens informem o prazo de validade técnica da versão comercializada.
Neste sentido, considerando a rápida evolução da tecnologia, pode se dizer que o prazo de 10 anos para a validade técnica de um sistema operacional é bastante razoável. Quanto à informação da validade, uma pesquisa rápida mostra que a Microsoft tem políticas de suporte publicadas, em suportes físicos e na internet.
Se o prazo de 10 anos para a validade técnica de um software é razoável, é possível constatar que, após esse período, o software não pode ser considerado funcional. Isso significa que o fabricante não tem mais o dever de disponibilizar atualizações, mesmo que de segurança e que a responsabilidade por qualquer violação do software não pode ser atribuída a ele.
O problema é que, atualmente, 37% dos computadores no Brasil usam o Windows 7. Isso não significa que esses usuários com certeza sofrerão uma violação de dados, mas demonstra que o usuário, que na maior parte das vezes é uma empresa, não adota as melhores práticas de mercado, utilizando softwares obsoletos e inseguros. Se a falta de atenção às melhores práticas já era preocupante, torna-se ainda mais quando se trata de dados pessoais - sejam dos colaboradores, fornecedores, representantes comerciais ou clientes cadastrados.
O vazamento ou acesso indevido, o uso fora do que foi informado ou o desrespeito aos direitos da pessoa física (dona dos dados) pode ter consequências gravíssimas. Por isso, leis de proteção de dados pessoais vêm sendo criadas em todo o mundo, inclusive no Brasil, como a Lei de Proteção de Dados Pessoais, que entrará em vigor no mês agosto de 2020, trazendo pesadas sanções para as empresas que não respeitarem as novas obrigações.
Apesar de rígida, a lei não veio para inviabilizar os negócios. Todos sabem, inclusive o legislador, que sistemas 100% seguros não existem e incidentes eventualmente acontecerão. Por esta razão, é fundamental que as empresas se preparem para evitar ou reduzir uma possível multa:
Art. 52:
§ 1º As sanções serão aplicadas (...) de acordo com as peculiaridades do caso concreto e considerados (...):
II - a boa-fé do infrator;
VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX - a adoção de política de boas práticas e governança.
O uso de softwares não obsoletos, reconhecidamente seguros e com suporte do fabricante é uma boa prática. O mesmo se dá com o mapeamento dos dados pessoais na empresa, a criação de processos, políticas e procedimentos, o aculturamento de pessoal sobre o assunto, entre outras ações, visando aumentar a maturidade no assunto.
Em outras palavras, as empresas precisarão atualizar suas versões do Windows, adotar as melhores práticas e ser capazes de demonstrá-las para adequarem-se a LGPD. Mostrar que os sistemas da empresa são seguros pode ser uma demonstração de boa-fé, ainda que o incidente não esteja diretamente relacionado aos sistemas. Outra providencia é mostrar que a adequação foi feita, com medidas de governança, segurança e aculturamento, e, entre outras coisas, que não são utilizados softwares obsoletos, como o Winwdows 7, para convencer a ANPD de que houve real esforço para estar em conformidade e ser a diferença entre uma multa de R$ 50 milhões e uma advertência.