Facebook
Google
Twitter
O incidente recente ocorrido com a Netshoes - que, em função de uma falha de segurança, acabou tendo os dados de cerca de 2 milhões de clientes vazados - não é o primeiro e, certamente, não será o último. No mundo todo, os casos relacionados à violação de dados já atingiram grandes varejistas, instituições financeiras, provedores de aplicações e aplicativos de mobilidade urbana.
Para o advogado especialista em Direito Digital e sócio do Patricia Peck Pinheiro Advogados, Márcio Mello Chaves, situações como essas mostram a importância de o Brasil ter uma legislação específica sobre esse tema. O Marco Civil da Internet e o Código do Consumidor tratam desse tema, mas nenhum deles de forma aprofundada.
"Evidente que as pessoas não vão se isolar e evitar qualquer tipo de cadastro em lojas. Mas precisamos de uma lei que exija que quem manipula e armazena os dados mantenha um padrão mínimo de segurança", diz. Um exemplo é manter um sistema de criptografia para que, quando o dado for exposto, o criminoso não consiga entender o seu verdadeiro significado.
Chaves comenta que situações que levam a uma ampla exposição dos dados das pessoais, como o que ocorreu com a Netshoes, costumam acelerar a criação de legislações protetivas. A expectativa, então, é que isso se aplique à Lei Geral de Proteção de Dados, que está prevista para ser votada neste ano no Brasil.
Uma das questões previstas no projeto de lei é a portabilidade de dados. Na prática, a ideia é que, ao trocar de operadora de telefonia ou até mesmo de rede social, o consumidor tenha o direito de solicitar à empresa que ela colete todos os seus dados usados no período de interação cliente-empresa, apague e entregue uma espécie de dossiê para que o consumidor possa levar essas informações para outro provedor do seu interesse. "Com isso, passamos a ter a lógica de que a pessoa tem o direito à posse dos seus dados", explica.
As despesas mundiais com segurança da informação chegarão a US$ 96,3 bilhões em 2018, representando um crescimento de 8% em relação ao ano passado. A projeção é do Gartner, que atua com pesquisa e aconselhamento imparcial em tecnologia e que destaca o fato de que a conformidade regulamentar e a privacidade de dados têm estimulado os gastos com segurança nos últimos três anos.
Isso inclui regulamentos como a Lei de Portabilidade e Responsabilidade do Seguro de Saúde, nos Estados Unidos; o Instituto Nacional de Padrões e Tecnologia e Cidadania, na Índia; e, mais recentemente, o Regulamento Geral de Proteção de Dados (General Data Protection Regulation - GDPR), que entrará em vigor em 28 de maio de 2018 na Europa.
Uma das maiores especialistas em Direito Digital do Brasil, a advogada Patricia Peck Pinheiro afirma que é preciso analisar mais profundamente as tendências regulatórias, identificar e apontar os impactos socioeconômicos e os métodos para estar compliance com as novas regras.
"Não é uma questão de apenas atualizar a política de privacidade, mas sim de ajustar a governança de dados, de como a empresa lida com a gestão da informação, como está a blindagem da propriedade intelectual deste ativo tão importante numa era de Big Data e Machine Learning", afirma
Um exemplo prático é a GDPR, que atinge toda empresa ou organização que processa, controla, hospeda ou compartilha dados pessoais dos cidadãos da União Europeia. As companhias instaladas no Brasil que estejam de posse de dados de usuários europeus devem fazer uma análise de risco e conformidade de sua estrutura atual - o que alcança empresa, fornecedores e estrangeiros que trabalham no Brasil.
São várias as situações em que esse tema precisará de cuidados especiais. Uma empresa de gestão de condomínio que coleta biometria para acesso de um prédio, se estiver coletando biometria de um cidadão europeu, que é dado sensível, está sujeita à GDPR na categoria mais rigorosa do novo regulamento. O mesmo vale para os hospitais que tratam pacientes estrangeiros que trabalham no Brasil ou bancos que possuem contas deles, empresas de cartão de crédito, programas de fidelidade de companhias aéreas, de empresas hoteleiras. "Não é porque o dado está sendo acessado de um local fora da Europa que a empresa poderá deixar de cumprir a legislação", alerta Chaves. O prazo é curto. A partir de 25 de maio, já serão aplicadas multas.
Netshoes terá que avisar 2 milhões de clientes sobre vazamento ocorrido
O Ministério Público do Distrito Federal e Territórios (Mpdft) recomendou que o site de compras Netshoes, especializado em artigos esportivos, avise, por telefone ou correspondência, 1.999.704 de clientes a respeito de um vazamento de dados, ocorrido a partir de uma falha de segurança na empresa. No pedido, o promotor Frederico Meinberg diz se tratar de "um dos maiores incidentes de segurança já registrados no Brasil".
Segundo o Mpdft, a brecha, revelada no início deste mês, fez com que informações pessoais - como nome, CPF, e-mail, data de nascimento e histórico de compras - fossem reveladas a hackers. O órgão recomendou ainda que a empresa não faça nenhum tipo de pagamento aos cibercriminosos que causaram a falha de segurança.
De acordo com Meinberg, a atuação é necessária, "diante da gravidade dos fatos, do risco de prejuízos graves aos consumidores e da quantidade de titulares dos dados pessoais afetados", destacou. Entre os usuários afetados, diz o pedido do Mpdft, há contas de e-mails de servidores públicos, como da presidência da República, do Supremo Tribunal Federal, da Polícia Federal e da Advocacia-Geral da União. Além disso, ao vazar informações de pedidos feitos pelo site, os hackers expuseram dados pessoais sensíveis, como informações de compras de produtos de saúde, como monitores de pressão arterial.
O Mpdft deu à Netshoes o prazo de três dias úteis para avisar os quase 2 milhões de consumidores sobre o vazamento dos dados. Segundo o pedido, a comunicação só será considerada válida com confirmação de recebimento dos usuários. Caso isso não aconteça, a empresa poderá ser acionada na Justiça por danos morais e materiais causados aos consumidores. A Netshoes esclareceu que está em contato com o Ministério Público a fim de avaliar as medidas cabíveis no prazo estabelecido e reforçou que tem a proteção de dados como compromisso. A empresa acrescenta que, desde o princípio, envolveu órgãos competentes para a mais breve apuração, esclarecimento e solução do ocorrido.
O incidente com a Netshoes aconteceu em meio à celebração, no último domingo, do Dia Internacional de Proteção de Dados Pessoais. A data foi criada há 12 anos pelo Conselho Europeu e Comissão Europeia.