Não sendo você Vinícius de Moraes que evitava ao máximo voar, sob o válido argumento de que "o avião é mais pesado que o ar e é movido por motor a explosão", a tendência é que você se sinta relativamente seguro ao entrar num avião sozinho ou com sua família.
A sensação de segurança que temos ao viajar de avião, é resultado de anos de investimento da indústria da aviação – a qual não existiria caso não nos sentíssemos relativamente seguros – e dos órgãos de regulação e fiscalização da atividade.
É justo afirmar que os padrões de segurança da aviação estão entre os mais rígidos de qualquer setor, o que se explica pela necessidade: a indústria tinha que lidar com o binômio ingrato do risco operacional inerente ao emprego de aeronaves e da exigência de percepção de segurança por passageiros e tripulação.
Agências como a Federal Aviation Administration (FAA) nos Estados Unidos e a European Aviation Safety Agency (EASA) emitem e fiscalizam o cumprimento de regras que garantem que todos os aspectos da aviação sejam seguros, incluindo o projeto, manutenção e operação de aeronaves. Há também requisitos rigorosos para treinamento e certificação de pilotos, bem como inspeções e auditorias de segurança regulares para garantir o cumprimento dessas regras.
Pois que em 2022 chegamos a uma situação de risco operacional para a tecnologia da informação que, embora não apresente os contornos trágicos possíveis para falhas de segurança de vôo, tem levado governos e setor privado à percepção de um "tipping point" quanto à necessidade de regulação do tema.
Por décadas, coube ao setor privado lidar incidentes de segurança de forma independente. Exceção feita aos casos que envolvam dados pessoais, e para alguns setores críticos, essa ainda é a realidade vigente. Disso resulta pouca troca de informações quanto às falhas de segurança e menor capacidade de defesa sistêmica. Organização colaborativa não é vocação do setor privado. É sintomático notar que é quase impossível saber quantos ataques cibernéticos realmente acontecem a cada ano, quanto menos suas causas e circunstâncias. Alguns estudos sugerem que a proporção de comunicação em relação à efetiva ocorrência, varia entre 10 a 25%.
O contraste com as exigências de segurança para a aviação é marcante.
Pelas normas de segurança de vôo, os "quase acidentes", situações em as aeronaves chegam perto de cair ou se acidentar, devem ser obrigatoriamente comunicadas e registradas em relatório para que as falhas que levaram a tais eventos possam ser identificadas e evitadas no futuro.
É nesse contexto e com essa inspiração que o governo americano e algumas agências federais, com destaque para Securities Exchange Comission – SEC, estão elaborando normas que exigirão a notificação de incidentes de segurança da informação. Embora configure seu aspecto mais marcante, esse é apenas um de seus aspectos da regulação vindoura. Assim como para a aviação civil, a definição de padrões, treinamentos, certificações e auditorias estarão entre as medidas exigidas.
Esperamos fenômeno semelhante para o Brasil. Muito embora não se possa afastar a proposição de lei de aplicação geral, em especial em caso de ocorrência de incidente com repercussões graves que impulsione a ação pelo congresso, a tendência é que a regulação avance setorialmente, o que já ocorre, mas tende a ser intensificado.
Gustavo Artese, titular da Artese Advogados.
