Por Martha Funke | Para o Valor, de São Paulo
O interesse em conquistar níveis mais confortáveis de segurança digital seria maior caso se as exigências regulatórias fossem mais rigorosas. Hoje, com poucas determinações, empresas e instituições são estimuladas por ameaças de mercado, como perda de reputação, de clientes ou de capacidade concorrencial, enquanto a autoregulamentação e as normas técnicas ganham espaço por conta da ausência legislatória. O setor financeiro é o melhor exemplo do impacto da regulação na maturidade da segurança. Desde 1999, o Banco Central edita cartas circulares e instruções normativas relacionadas ao tema. Genéricas de início, e, com o tempo, cada vez mais pormenorizadas, elas cobrem da necessidade de uso de certificações digitais ao estabelecimento de auditorias próprias. Um exemplo recente é a Medida Provisória 615, de 2013, que estrutura pagamentos móveis e detalha obrigações, como necessidade de seguro e responsabilidades dos gestores equiparados a administradores de bancos, entre outras. Mesmo assim, há lacunas. Uma delas é a inexistência de lei específica sobre como deve ser feita a guarda dos dados. “O Banco Central tem uma série de exigências para os bancos pegarem dados dos clientes que querem abrir uma conta, mas não define como devem ser guardados, apenas indica que isso deve ser feito de forma segura”, exemplifica o advogado Marcelo Crespo, coordenador da pósgraduação em direito digital da Damásio Educacional. Mesmo setores aparelhados com dados sensíveis, como varejo e saúde, prescindem de arcabouço regulatório relacionado às necessidades de segurança. O varejo, particularmente o ecommerce, apoiase em processos e tecnologias de segurança por diferencial competitivo, não por exigência legal. Exigese da saúde certificação digital para acesso ao prontuário eletrônico do paciente, além de orientações do Conselho Federal de Medicina sobre padrões de segurança, mas o segmento mostra atraso ante ataques de ransomware cada vez mais constantes em área médica, compara o especialista Renato Opice Blum, professor e coordenador do curso de Direito Digital do Insper. Ele lembra que frente ao cenário em que a tecnologia evolui mais rápido que a capacidade das pessoas de compreender os riscos do avanço, a regulamentação é a melhor forma de redução dos riscos. Mas não é o que ocorre por aqui. A par de situações avançadas, como a certificação digital, o advogado relaciona outras em que a legislação já nasceu desatualizada ou incorreta, por razões que vão da falta de agilidade ao desconhecimento técnico. É o caso da ausência de lei específica voltada à proteção de dados pessoais coletados, tratados, guardados e utilizados pelas mais diferentes empresas. O tema é alvo de artigo do Marco Civil da internet, mas apenas exige a anuência da pessoa que tem os dados coletados, sem contrapartida de responsabilidade da empresa – mesmo que ela possa ser enquadrada genericamente pelo Código Civil ou do consumidor, frente à regra geral que pressupõe indenização frente a qualquer dano. O atraso na matéria custa caro ao Brasil. “Como o país é considerado porto inseguro pela União Europeia, trocas de dados e transações comerciais que envolvam dados pessoais ocorrem de forma mais lenta e com mais burocracia”, diz Opice Blum. De acordo com o especialista, mesmo o Marco Civil trouxe retrocessos, como a determinação do prazo de guarda de logs (registros) de apenas seis meses, frente à média anterior adotada por tribunais em torno de três anos – o prazo mais curto pode fazer com que fraudes e invasões deixem de ser apuradas caso descobertas depois de vencido o período de guarda. Outro ponto é a necessidade de ordem judicial para remoção de informações protegidas que cheguem à internet por via de práticas criminosas. Atualmente, a proteção de dados é foco de pelo menos dois projetos de lei em discussão no congresso, dois deles mais avançados. “É necessária uma norma que diga qual é o requisito mínimo de segurança para não haver negligência pelas empresas como depositária fiel de dados, o que acarretaria responsabilidade civil”, diz a advogada Patricia Peck Pinheiro.
Fonte: Valor Econômico – 22/08