Aspectos jurídicos da segurança digital empresarial contra o vazamento de dados
A ideia que deve prevalecer é a de que aqueles que coletam dados pessoais de terceiros se tornam responsáveis pela segurança dessas informações, atraindo para si o dever de protegê-las da melhor forma possível.
terça-feira, 12 de junho de 2018
Atualizado em 8 de junho de 2018 10:55
Com certa frequência, empresas de todos os portes, nacionais ou multinacionais, têm sido vítimas de ataques cibernéticos, que visam sobretudo a captura de dados pessoais (vide conceito no art. 14, do Decreto regulamentador do Marco Civil da Internet) constantes dos registros dessas companhias, como nomes, endereços, número de documentos, histórico de compras e dados financeiros cadastrados. Afinal, no atual contexto tecnológico, informação é uma valiosa moeda com cotação universal - segundo reportagem da Rádio Câmara, "o mercado de dados pessoais movimenta cerca de 3 trilhões de dólares por ano no mundo todo".
Algumas vezes, essas empresas passam a sofrer tentativas de extorsão por parte dos crackers, que demandam o pagamento de altas quantias para a "não divulgação" dos dados obtidos. Em outros casos, essas informações são facilmente vendidas na internet (especialmente na Deep Web) àqueles que possuem a intenção de aplicar golpes, seja no mundo virtual ou fora dele - por exemplo, através de ferramentas de engenharia social ou mesmo a solicitação de segunda via de documentos, como cartões de crédito.
Tal violação também pode ter uma origem interna, quando praticada por funcionários da própria empresa ou autorizados a manusear o sistema, os quais podem agir dolosamente, como na hipótese de vingança por uma advertência, ou mesmo culposamente, como quando são negligentes no armazenamento de suas senhas, por exemplo. Confira na imagem abaixo, da Assessoria de Seguros Chalff, um resumo das diversas fontes de ameaça à segurança digital de uma empresa:
Diante disso, a proteção contra a ocorrência de falhas nos sistemas da empresa ou, ao menos, a redução das consequências negativas aos cadastrados caso ocorram é uma das funções que podem ser atribuídas à segurança digital e que não pode ser ignorada pelas empresas no contexto atual, notadamente no Brasil, elencado como o segundo país com maior prejuízo em razão de ataques cibernéticos no ano de 2017, atrás apenas da China, segundo relatório da Norton Cyber Security.
Sob a perspectiva empresarial, e não apenas dos consumidores, os vazamentos de dados também podem acarretar prejuízos consideráveis - principalmente levando em consideração a extensão desses ataques, chegando a milhares de cadastros, como nos casos da Netshoes e do Uber, amplamente divulgados pela mídia recentemente.
Em várias jurisdições ao redor do mundo, quando ocorre um vazamento de certa extensão, as empresas são legalmente obrigadas a informar aos consumidores: é o que ocorre há anos, por exemplo, com o setor de telecomunicações na Europa, assim como no setor financeiro nos Estados-Unidos. No Brasil, contudo, tal obrigatoriedade não está prevista na legislação vigente (o PL 4060/12, em andamento no Congresso, busca estabelecer esse dever).
Assim, com frequência, cabe ao Ministério Público demandar judicialmente que as empresas promovam as "medidas adequadas", como o devido aviso aos clientes afetados (ou possivelmente afetados). Além disso, atualmente, o Brasil também não conta com uma norma específica voltada à proteção dos dados dos consumidores, como já se vê quando se trata de empresas no Québec (Canadá) e, a partir de 25 de maio de 2018, de empresas que armazenem dados de cidadãos europeus.
No Brasil, como dito, as regras aplicáveis encontram-se espalhadas em diversos diplomas legais, indo da Constituição Federal ao Marco Civil da Internet, passando pelo Código de Defesa do Consumidor, Lei de Acesso à Informação e Lei Geral de Telecomunicações, por exemplo. Pretende-se prorrogar a comissão especial instalada em outubro de 2016 na Câmara dos Deputados para analisar a questão legislativa da proteção de dados pessoais, encabeçada atualmente por alguns projetos de lei, como o PL 5.276/16, apensado ao PL 4060/12. No Senado, encontra-se também o PL 330/13. Diante disso, ainda não é possível apontar com exatidão qual será o teor da proteção e obrigações legais específicas no direito brasileiro.
Contudo, observando o panorama atual, é possível registrar que as consequências às empresas atingidas por um vazamento acabam comumente recaindo no aspecto financeiro, seja através do pagamento de indenizações aos lesados ou mesmo pela perda de negócios futuros e clientes. Há quem considere, entretanto, que mesmo essa publicidade negativa gerada por um eventual vazamento pode ter um efeito reverso e passar a atrair novos clientes, simplesmente em razão da ampla divulgação da empresa, como alguns apontam no episódio de vazamento de dados pessoais dos usuários do site de encontros extraconjugais Ashley Madison.
Enquanto por um lado as empresas que atribuem a terceiros a tarefa de segurança dos dados tentam, em razão dessa terceirização, se exonerar da responsabilidade por vazamentos, por outro lado, há quem aponte a solidariedade e a responsabilidade objetiva na reparação de danos acarretados na esfera consumerista.
Quanto à possível condenação ao pagamento de indenização, há de se registrar que será necessária a comprovação judicial de um dano efetivo, seja ele material ou moral. Ou seja, a jurisprudência ainda não considera presumida a existência de um prejuízo simplesmente em razão do vazamento, devendo haver prova do dano apontado.
Com isso, para se evitar ou ao menos mitigar uma eventual responsabilização da empresa na ocorrência de vazamentos, cabe a ela comprovar que agiu conforme a regulamentação pertinente e que aplicou todos os recursos possíveis e razoáveis para a proteção dos dados constantes de seus registros. Uma solução, inclusive, seria a criação de redes privadas alternativas à "internet pública", como sugeriu Erin Linch, Vice Presidente da Syniverse, empresa americana voltada para a área de cybersegurança, assim como a reiterada realização de testes de vulnerabilidade do sistema.
De toda sorte, hoje existem também seguros "para proteção de empresas com banco de dados contra prejuízos financeiros causados pelo vazamento de informações sigilosas dos consumidores ou usuários". Esses seguros podem servir não apenas para a cobertura de eventuais indenizações e processos judiciais, mas também para a realização de investigações e para a reparação da imagem pública da empresa, por exemplo.
Em resumo, portanto, a ideia que deve prevalecer é a de que aqueles que coletam dados pessoais de terceiros se tornam responsáveis pela segurança dessas informações, atraindo para si o dever de protegê-las da melhor forma possível, antes ou após um ataque, o qual pode ser interno ou externo. E essa responsabilização é possível mesmo diante da ausência de regramento específico à proteção de dados pessoais no Brasil, onde a tutela desses dados é feita com base no texto da Constituição Federal, do Marco Civil da Internet e de outras normas esparsas.
*Maria Godoy é mestranda em Direito da tecnologia e colaboradora do blog.avisourgente.com.br (Aviso Urgente).