A proposta de formalizar um marco regulatório para a proteção de dados pessoais, sobretudo na Internet, apoia-se em experiências internacionais da União Européia, dos EUA e alguns países da América Latina, que já possuem legislação específica sobre o tema. Ademais, acompanha a movimentação legislativa recente para instituir um Marco Civil da Internet no país.
Vejamos alguns exemplos práticos do que poderá ocorrer aqui. Considere-se a acão da Procuradoria-Geral do estado de Massachusetts contra o dono do restaurante da cadeia Briar Group. Algumas semanas atrás, o procurador-geral anunciou ter fechado um acordo com a organização, levando-a a pagar 110 mil dólares em multas.
O acordo decorre de alegações de que a cadeia de restaurantes não protegeu adequadamente os dados de pagamentos feitos por clientes após uma aplicação nociva ter sido instalada nos seus sistemas. O malware esteve instalado na rede de Abril a Dezembro de 2009.
O grupo é acusado de não alterar as informações de autenticação dos funcionários e continuar aceitando cartões de crédito e de débito, mesmo depois de descobrir a vulnerabilidade, explicou o Procurador-Geral do Massachusetts. Os queixosos também acusam a cadeia de negligência quanto à segurança dos meios de acesso remoto e das redes sem fios.
Não são práticas de segurança que mereçam aplauso. No entanto, especialistas afirmam – devido ao elevado estado de insegurança de aplicações e sistemas de TI – que as empresas podem ter todas as tecnologias de segurança adequadas, políticas e procedimentos em vigor, e ainda acabar processadas. “Essas leis sobre notificação de violações de bases de dados não tinham a intenção de definir normas de prevenção “, diz Mark Rasch, director da consultora de segurança informática e protecção da privacidade Computer Sciences Corporation.
“Destinavam-se a ajudar os consumidores cujos dados foram roubados e para evitar o roubo de dados de identidade”, explica. “O fato é que as empresas podem fazer tudo bem e terem as suas infraestruturas violadas, e podem prescindir de tomar medidas e não sofrer qualquer violação reconhecível”, acrescenta.
O director-executivo da Enloe Medical Center (Califórnia), Mike Wiltermood, concorda. A Enloe decidiu lutar contra a aplicação de uma multa a que foi sujeita no ano passado, depois de ter informado as autoridades sobre a descoberta de que os registos médicos de um paciente foram indevidamente acedidos em várias instâncias.
O centro médico diz que descobriu as violações através das suas próprias ações de monitoramento e investigação. O resultado? O Departamento de Saúde Pública da Califórnia (CDPH) optou por multar a Enloe. O centro médico achou que as ações do Estado não tinham justificativa.
“O Enloe Medical Center vai além das exigências da lei para proteger a privacidade dos pacientes, razão pela qual fomos capazes de detectar o vazamento”, diz Wiltermood num comunicado. “Da nossa perspectiva, a detecção precoce da violação de privacidade das informações do paciente, juntamente com as nossas medidas de precaução de longa data e os processos de garantia de privacidade, não foram tidos em consideração, como a lei prevê quando a CDPH optou por aplicar a multa de 130 mil dólares “, argumenta Wiltermood.
“Se o objetivo dos reguladores aqui é aumentar a divulgação de vazamentos, falharam, e se é elevar a segurança, também falharam”, diz Pete Lindstrom, diretor de investigação da Spire Security. “A lição para outras organizações é que mais vale esconder os seus incidentes”, diz ele.