O mercado de segurança brasileiro se espelha muito nos Estados Unidos e em países mais avançados na área de segurança da informação. No entanto, o Brasil e o país norte-americano têm muitas diferenças quanto ao incentivo das leis no investimento em segurança.
Enquanto nos Estados Unidos existe uma regulação do mercado para tratar da segurança da informação, no Brasil não existe nem a obrigatoriedade de comunicar os incidentes, nem para governos e, muito menos, para empresas.
Enquanto nos Estados Unidos as empresas sabem que, se sofrerem uma invasão, a marca vai perder valor e as ações vão cair – algumas correm até o risco de sair do mercado –, no Brasil a maioria das empresas não sofre com essa possibilidade, pois simplesmente não divulga seus números.
Inclusive, por essa razão, os números de segurança no Brasil são bem pouco confiáveis. Afinal, que empresa vai querer ter uma mancha em sua marca se não for obrigada a isso?
Confira a seguir as principais características das leis de segurança da informação nos Estados Unidos e no Brasil:
Estados Unidos
Os Estados Unidos têm cerca de 20 leis específicas por setor de privacidade ou leis de segurança de dados e centenas de leis estaduais. Só a Califórnia, onde está localizado o Vale do Silício, tem mais de 25 leis estaduais de privacidade e segurança de dados.
Ainda que não haja uma autoridade nacional responsável pela segurança da informação, a Federal Trade Commission (FTC) tem jurisdição em casos de segurança da informação.
No país, a definição de dados pessoais varia de acordo com cada regulação. O FTC considera informação pessoal aquela que pode ser usada para contatar ou distinguir uma pessoa, incluindo endereços de IP e identificadores de dispositivos.
Os dados pessoais sensíveis também variam de acordo com a regulação. De maneira geral, dados pessoais de saúde, dados financeiros, dados estudantis, informações pessoais de crianças abaixo de 13 anos coletadas online e informações que possam ser usadas para praticar ou identificar atos criminosos ou fraudes são considerados sensíveis.
Todas as empresas americanas devem arcar com medidas técnicas, físicas e organizacionais razoáveis para proteger informações pessoais sensíveis. Alguns estados têm leis mais específicas quanto às exigências de segurança para os dados. O estado de Massachusetts, por exemplo, tem leis que se aplicam a qualquer empresa que coleta e mantém informações pessoais sensíveis de residentes do estado.
Além do estado de Massachusetts, o estado de Nevada também impõe exigências de criptografia na transmissão de dados pessoais sensíveis em redes wireless e armazenados em notebooks e dispositivos portáteis.
Entre as leis específicas para cada setor, podemos citar o Health Insurance Portability and Accountability Act (HIPAA), que regula entidades do setor de saúde. O setor financeiro também impõe uma série de exigências por meio de reguladores federais, incluindo a exigência de auditorias de segurança.
Em grande parte do território americano, as empresas são obrigadas a notificar violações de dados envolvendo informações sensíveis de residentes, incluindo números de seguro social, outros dados de documentos, cartões de crédito ou contas bancárias. Em cada vez mais estados, dados sensíveis incluem informações médicas, números de plano de saúde, dados biométricos e credenciais de acesso, além de datas de nascimento e certidões de nascimento e casamento.
Brasil
O Brasil não tem leis específicas de segurança da informação, mas têm alguns princípios gerais para proteção de dados e privacidade definidos na Constituição Federal e leis e regulações específicas para alguns tipos de relacionamento, como o Marco Civil da Internet, o Código Civil Brasileiro e as Leis do Trabalho.
A Constituição Federal prevê que a intimidade, a privacidade, a honra e a imagem sejam invioláveis, que a confidencialidade da correspondência e dos meios de comunicação eletrônicos seja protegida e que todos tenham garantia de acesso à informação sempre que necessário para exercício de atividade profissional, ainda que a confidencialidade da fonte seja protegida.
O Marco Civil da Internet, que estabeleceu princípios, direitos e obrigações gerais para o uso da internet, contém algumas diretrizes importantes para o armazenamento, o uso, o tratamento e a divulgação de dados coletados online. Porém, além de não haver obrigatoriedade de divulgar incidentes de segurança, não existe uma definição legal do que são considerados dados pessoais ou dados pessoais sensíveis. O país também não tem uma autoridade nacional em proteção de dados.
Apesar de haver princípios gerais, como a obrigatoriedade de medidas organizacionais, físicas e técnicas razoáveis para proteger a segurança de dados pessoais, não há exigências, restrições ou detalhes específicos de como a segurança deve ser implementada. O Marco Civil da Internet, por exemplo, apenas estabelece que provedores de serviços e de redes e aplicações devem manter registros de acesso confidenciais, em um ambiente controlado e seguro. O tempo de retenção obrigatório de dados varia de acordo com a natureza do negócio. O período ainda pode ser estendido com base em pedidos de autoridades públicas.
Qual o impacto dessa diferença
A presença de uma legislação forte em segurança da informação acaba fazendo com que as empresas invistam mais nessa área. Afinal, quando há obrigatoriedade de comunicar violações de dados, as empresas sentem mais a pressão de manter seus dados seguros para proteger o negócio.
O Marco Civil da Internet, apesar de ter trazido uma série de princípios necessários para proteger os dados do usuário, detalha bem pouco os controles e procedimentos necessários para proteger as informações.
Enquanto isso, as empresas brasileiras seguem “desobrigadas” pela lei a investir em sua estrutura de segurança da informação de maneira mais proativa.
Leonardo Moreira, diretor da PROOF.
