Penalizar empresas por vazamentos de dados é polêmica entre especialistas

Nos Estados Unidos, à medida que várias multas começam a ser cobradas contra as organizações já atacadas ou com empregados que violaram políticas de privacidade de dados, alguns especialistas sobre a matéria questionam-se sobre se o governo não estará penalizando uma das vítimas dos crimes – em vez de mitigar riscos de roubo de identidade e de dados, objetivo maios da implantação das leis.

A prática começa a preocupar também as empresas brasileiras, em função da iniciativa do ministério da Justiça de criação de uma Lei para Proteção de Dados Pessoais. Nos últimos meses, a sociedade brasileira teve a oportunidade de debater o texto do projeto de lei que será submetido ao Congresso. Entre os pontos cobertos pela Lei estarão o monitoramento online, a interconexão entre os bancos de dados, o papel e a competência da “autoridade de garantia”, das propostas para fiscalizar e regulamentar as atividades relacionadas à coleta, tratamento e armazenamento de dados pessoais, bem como requisitos para a coleta, gestão e segurança no tratamento dos dados pessoais.

A proposta de formalizar um marco regulatório para a proteção de dados pessoais, sobretudo na Internet, apoia-se em experiências internacionais da União Européia, dos EUA e alguns países da América Latina, que já possuem legislação específica sobre o tema. Ademais, acompanha a movimentação legislativa recente para instituir um Marco Civil da Internet no país.

Vejamos alguns exemplos práticos do que poderá ocorrer aqui. Considere-se a acão da Procuradoria-Geral do estado de Massachusetts contra o dono do restaurante da cadeia Briar Group. Algumas semanas atrás, o procurador-geral anunciou ter fechado um acordo com a organização, levando-a a pagar 110 mil dólares em multas.

O acordo decorre de alegações de que a cadeia de restaurantes não protegeu adequadamente os dados de pagamentos feitos por clientes após uma aplicação nociva ter sido instalada nos seus sistemas. O malware esteve instalado na rede de Abril a Dezembro de 2009.

O grupo é acusado de não alterar as informações de autenticação dos funcionários e continuar aceitando cartões de crédito e de débito, mesmo depois de descobrir a vulnerabilidade, explicou o Procurador-Geral do Massachusetts. Os queixosos também acusam a cadeia de negligência quanto à segurança dos meios de acesso remoto e das redes sem fios.

Não são práticas de segurança que mereçam aplauso. No entanto, especialistas afirmam – devido ao elevado estado de insegurança de aplicações e sistemas de TI – que as empresas podem ter todas as tecnologias de segurança adequadas, políticas e procedimentos em vigor, e ainda acabar processadas. “Essas leis sobre notificação de violações de bases de dados não tinham a intenção de definir normas de prevenção “, diz Mark Rasch, director da consultora de segurança informática e protecção da privacidade Computer Sciences Corporation.

“Destinavam-se a ajudar os consumidores cujos dados foram roubados e para evitar o roubo de dados de identidade”, explica. “O fato é que as empresas podem fazer tudo bem e terem as suas infraestruturas violadas, e podem prescindir de tomar medidas e não sofrer qualquer violação reconhecível”, acrescenta.

O director-executivo da Enloe Medical Center (Califórnia), Mike Wiltermood, concorda. A Enloe decidiu lutar contra a aplicação de uma multa a que foi sujeita no ano passado, depois de ter informado as autoridades sobre a descoberta de que os registos médicos de um paciente foram indevidamente acedidos em várias instâncias.

O centro médico diz que descobriu as violações através das suas próprias ações de monitoramento e investigação. O resultado? O Departamento de Saúde Pública da Califórnia (CDPH) optou por multar a Enloe. O centro médico achou que as ações do Estado não tinham justificativa.

“O Enloe Medical Center vai além das exigências da lei para proteger a privacidade dos pacientes, razão pela qual fomos capazes de detectar o vazamento”, diz Wiltermood num comunicado. “Da nossa perspectiva, a detecção precoce da violação de privacidade das informações do paciente, juntamente com as nossas medidas de precaução de longa data e os processos de garantia de privacidade, não foram tidos em consideração, como a lei prevê quando a CDPH optou por aplicar a multa de 130 mil dólares “, argumenta Wiltermood.

“Se o objetivo dos reguladores aqui é aumentar a divulgação de vazamentos, falharam, e se é elevar a segurança, também falharam”, diz Pete Lindstrom, diretor de investigação da Spire Security. “A lição para outras organizações é que mais vale esconder os seus incidentes”, diz ele.

Fonte: Redação da CIO

cofre_digital1

Posted in:

Deixe uma resposta