Nesta segunda-feira, o presidente Barack Obama convocou o Congresso a aprovar novas medidas para proteger os americanos on-line, incluindo a exigência para que as empresas dos EUA notifiquem os clientes com mais rapidez quando as informações pessoais dos consumidores forem violadas.
“Se estamos conectados, precisamos nos proteger”, disse Obama em um discurso na sede da Comissão Federal de Comércio o que é chamou atenção considerando que o último presidente dos EUA a visitar agência foi o presidente Franklin D. Roosevelt.
“Como americanos, não precisamos perder nossa privacidade ao realizar um negócio on-line”, acrescentou.
Obama pediu ao Congresso que aprove a “Notificação de Dados Pessoais e Lei de Proteção” que trata de uma legislação específica que obriga as empresas a notificar os clientes no prazo máximo de 30 dias após a descoberta de uma violação de dados.
A legislação também tipifica como crime a venda de informações sobre a identidade dos indivíduos obtidas de forma ilícita no exterior.
A declaração do presidente chega na sequência de uma série de ataques de alto nível contra empresas norte-americanas, incluindo a Sony Pictures.
Em setembro passado, Home Depot anunciou que hackers haviam violado durante meses informações confidenciais dos clientes. Foram 50 milhões de contas de cartão de crédito e endereços de e-mail. No ano anterior, dezenas de milhões de contas de clientes foram violados na Target.
Os ciberataques têm levantado dúvidas sobre as responsabilidades por dados roubados. Sony, Home Depot e Target foram bombardeadas por ações judiciais por parte de seus clientes.
Obama também pediu ao Congresso aprovação do projeto “Student Digital Privacy Act“. Um projeto de lei que visa a proteger a privacidade do aluno, impedindo que empresas comercializem dados de estudantes a terceiros para fins não relacionados à educação e sim a publicidade.
Obama anunciou uma série de outras medidas referentes a privacidade dos americanos.
Obama não falou nenhuma novidade, mas sem dúvida sua visita a sede da Comissão Federal de Comércio deu peso a questão do sigilo de dados e sinalizou ao mundo à premência de que as empresas se voltem para a segurança da informação como deveriam fazer desde que iniciaram suas atividades no meio eletrônico.
Eu falo isso há muitos anos, quem não entende o valor da proteção de seus dados sensíveis não deveria ter um site na internet muito menos transacionar informações e dados de terceiros via este canal de vendas. Tão pouco deveriam utilizar computadores em suas empresas.
Vi muitas empresas de grande porte abrirem mão, por questões financeiras, de projetos para segurança da informação com investimentos ínfimos para seus servidores dos sites e servidores de e-mails. Por outro lado, esbanjam na construção e manutenção de suntuosas sedes e outros gastos supérfluos.
Para as empresas que não cuidam das informações de seus clientes caberia a multa precisa ser muito elevada mesmo para que os investimentos necessários em segurança da informação sejam confrontados com os riscos de sanções judiciais.
Essa proposta de lei ainda é branda em minha opinião. As empresas realmente investirão pesado na segurança quando a balança: investimentos em segurança da informação x riscos financeiros, estiver equilibrada. Só a obrigatoriedade da comunicação sobre violação em 30 dias ainda é muito pouco, mas não deixa de ser mais um elemento para os confrontos dos CFOs X CIOs. De qualquer forma será considerada pois pesará nos processos movidos pelos clientes contra as empresas hackeadas.
E os CIOS agradecem!!