De acordo com estudo divulgado nesta semana pela Gemalto (Consumers vs Businesses: Consumers are increasingly aware of online security risks, but hold businesses responsible for data breaches), para 70% dos 9.000 consumidores entrevistados em mais de 10 países diferentes (o Brasil não foi incluído), as empresas devem se responsabilizar com exclusividade pela guarda dos dados pessoais coletados, sendo que apenas 29% acreditam que as companhias estão tomando as medidas necessárias.
E aqui no Brasil… já há alguma lei que dispõe acerca da proteção dos dados pessoais?
No Brasil ainda não há uma Lei Geral de Proteção de Dados – encontram-se atualmente em tramitação no Congresso Nacional 5 Projetos de Lei sobre o assunto, com especial destaque para estes: Projeto de Lei 5.276/2016, Projeto de Lei 4.060/2012 e Projeto de Lei do Senado 330/2013. Apesar disso, diversas leis em vigor já tratam sobre o tema e precisam ser observadas pelas companhias!
Dentre as leis que contam com disposições sobre privacidade e proteção de dados, destacamos: o Código de Defesa do Consumidor, a Lei Geral de Telecomunicações, Código Civil, Lei do Cadastro Positivo (já Regulamentada), Lei de Acesso à Informação (já Regulamentada) e o Marco Civil da Internet (já Regulamentado).
E já há alguma obrigação legal direcionada à segurança dos dados pessoais coletados?
Especificamente relacionado a obrigações legais de segurança da informação, o artigo 13 do Decreto 8.771/2016, que regulamentou o Marco Civil da Internet, dispõe acerca das seguintes diretrizes sobre padrões de segurança que devem ser observadas pelos provedores de aplicação e de conexão que tratam dados pessoais e comunicações privadas:
- Há necessidade de controle para acesso aos dados, os quais devem estar disponíveis apenas para quem efetivamente deles necessitar;
- Deve haver Regra Interna de Segurança da Informação, na qual haja definição da responsabilidade daqueles que terão acesso ao dados, sendo importante também que o consentimento do funcionário a essa Regra seja devidamente coletado, a fim de que tenha validade jurídica;
- Implementação de mecanismos de autenticação de acesso aos dados, sendo sugerido o uso de duplo fator de autenticação, ou de qualquer outro mecanismo que permita a inequívoca identificação de quem teve acesso aos dados;
- Criação de inventário detalhado dos acessos aos dados, o qual deve conter: o momento; a duração; a identidade do funcionário ou do responsável pelo acesso; e o arquivo acessado; e
- Garantia de inviolabilidade dos dados, sendo sugerido o uso de encriptação ou medidas equivalentes.
Além disso, existem regras setoriais específicas (aplicáveis à indústria de saúde, aos bancos, seguradoras, entre outros), além de Normas Técnicas, sendo importante também verificar essas demais disposições diante de cada caso concreto.
E para você… quem deve se preocupar com a segurança dos dados pessoais?
Caio César Carvalho Lima é professor de direito digital e sócio do escritório Opice Blum, Bruno, Abrusio e Vainzof.
