Penalizar empresas por vazamentos de dados é polêmica entre especialistas
4 de maio de 2011
Especialistas divergem se as multas aplicadas a empresas com bases de dados de clientes, por roubo ou vazamento de dados, protegem realmente o consumidor.
Por Redação da CIO
Publicada em 04 de maio de 2011 às 07h00inShare
Publicada em 04 de maio de 2011 às 07h00inShare
Leia Também: Penalizar as empresas por vazamentos de dados pode ser mais nocivo do que benéfico – quinta-feira, 5 de maio de 2011
Nos Estados Unidos, à medida que várias multas começam a ser cobradas contra as organizações já atacadas ou com empregados que violaram políticas de privacidade de dados, alguns especialistas sobre a matéria questionam-se sobre se o governo não estará penalizando uma das vítimas dos crimes – em vez de mitigar riscos de roubo de identidade e de dados, objetivo maios da implantação das leis.
A prática começa a preocupar também as empresas brasileiras, em função da iniciativa do ministério da Justiça de criação de uma Lei para Proteção de Dados Pessoais. Nos últimos meses, a sociedade brasileira teve a oportunidade de debater o texto do projeto de lei que será submetido ao Congresso. Entre os pontos cobertos pela Lei estarão o monitoramento online, a interconexão entre os bancos de dados, o papel e a competência da “autoridade de garantia”, das propostas para fiscalizar e regulamentar as atividades relacionadas à coleta, tratamento e armazenamento de dados pessoais, bem como requisitos para a coleta, gestão e segurança no tratamento dos dados pessoais.
A proposta de formalizar um marco regulatório para a proteção de dados pessoais, sobretudo na Internet, apoia-se em experiências internacionais da União Européia, dos EUA e alguns países da América Latina, que já possuem legislação específica sobre o tema. Ademais, acompanha a movimentação legislativa recente para instituir um Marco Civil da Internet no país.
Vejamos alguns exemplos práticos do que poderá ocorrer aqui. Considere-se a acão da Procuradoria-Geral do estado de Massachusetts contra o dono do restaurante da cadeia Briar Group. Algumas semanas atrás, o procurador-geral anunciou ter fechado um acordo com a organização, levando-a a pagar 110 mil dólares em multas.
O acordo decorre de alegações de que a cadeia de restaurantes não protegeu adequadamente os dados de pagamentos feitos por clientes após uma aplicação nociva ter sido instalada nos seus sistemas. O malware esteve instalado na rede de Abril a Dezembro de 2009.
O grupo é acusado de não alterar as informações de autenticação dos funcionários e continuar aceitando cartões de crédito e de débito, mesmo depois de descobrir a vulnerabilidade, explicou o Procurador-Geral do Massachusetts. Os queixosos também acusam a cadeia de negligência quanto à segurança dos meios de acesso remoto e das redes sem fios.
Não são práticas de segurança que mereçam aplauso. No entanto, especialistas afirmam – devido ao elevado estado de insegurança de aplicações e sistemas de TI – que as empresas podem ter todas as tecnologias de segurança adequadas, políticas e procedimentos em vigor, e ainda acabar processadas. “Essas leis sobre notificação de violações de bases de dados não tinham a intenção de definir normas de prevenção “, diz Mark Rasch, director da consultora de segurança informática e protecção da privacidade Computer Sciences Corporation.
“Destinavam-se a ajudar os consumidores cujos dados foram roubados e para evitar o roubo de dados de identidade”, explica. “O fato é que as empresas podem fazer tudo bem e terem as suas infraestruturas violadas, e podem prescindir de tomar medidas e não sofrer qualquer violação reconhecível”, acrescenta.
O director-executivo da Enloe Medical Center (Califórnia), Mike Wiltermood, concorda. A Enloe decidiu lutar contra a aplicação de uma multa a que foi sujeita no ano passado, depois de ter informado as autoridades sobre a descoberta de que os registos médicos de um paciente foram indevidamente acedidos em várias instâncias.
O centro médico diz que descobriu as violações através das suas próprias ações de monitoramento e investigação. O resultado? O Departamento de Saúde Pública da Califórnia (CDPH) optou por multar a Enloe. O centro médico achou que as ações do Estado não tinham justificativa.
“O Enloe Medical Center vai além das exigências da lei para proteger a privacidade dos pacientes, razão pela qual fomos capazes de detectar o vazamento”, diz Wiltermood num comunicado. “Da nossa perspectiva, a detecção precoce da violação de privacidade das informações do paciente, juntamente com as nossas medidas de precaução de longa data e os processos de garantia de privacidade, não foram tidos em consideração, como a lei prevê quando a CDPH optou por aplicar a multa de 130 mil dólares “, argumenta Wiltermood.
“Se o objetivo dos reguladores aqui é aumentar a divulgação de vazamentos, falharam, e se é elevar a segurança, também falharam”, diz Pete Lindstrom, diretor de investigação da Spire Security. “A lição para outras organizações é que mais vale esconder os seus incidentes”, diz ele.
Fonte:IDGNOW!
Eu particularmente acredito que as empresas devam ser responsáveis pela guarda dos dados dos clientes e devem sim responder por isso.
Regina Tupinambá |
Para operar na internet uma empresa deve estar preparada e utilizar processos e recursos tecnológicos já disponíveis para segurança de suas informações, senão que continue vendendo no balcão.
Acredito também que as autoridades governamentais deveriam exigir no mínimo a identificação inequívoca dos sites e criar mecanismo de auditoria em relação a segurança das informações.
Se não estiverem devidamente em conformidade com as normas de segurança, além de multa será que as empresas não deveriam ser suspensas e seus sites retirados do ar até que a situação seja regularizada?
Do contrário o que os consumidores e usuários de serviços online devem fazer?
Esquecer a internet? Só fazer pagamentos em dinheiro? E quem não tem outra alternativa, pois suas informações estão sendo enviadas para sevidores online para cumprimento de alguma obrigatoriedade? Precisam torcer os dedos e fazer um pedido para que suas informações não sejam violadas?
Regina Tupinambá
Artigos escritos por mim expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.
Leia também
Cristina De Luca Vazamento de informações pode custar US$ 2 bilhões à Sony http://folha.com/me911080 #folha via Twitter
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.