por Renato Leite Monteiro
As empresas brasileiras vêm se familiarizando cada vez mais com dois termos quando o assunto é segurança da informação: sequestro e o vazamento não autorizado de dados. O primeiro conceito, tecnicamente conhecido por ransonware, se refere às situações em que os sistemas das empresas são indevidamente acessados por indivíduos e grupos mal-intencionados que sequestram os dados corporativos, ou os criptografam, tornando ininteligíveis, exigindo para a sua liberação quantias em dinheiro ou em bitcoin, esta última forma para dificultar eventual identificação.
O acesso aos sistemas das empresas pode se dar por meio de falha humana ou da exploração de vulnerabilidades. Independente da forma, não são poucos os episódios em que o corpo diretivo de grandes e pequenas empresas viram reféns desses grupos, muitas vezes optando pelo pagamento para recuperarem logo o acesso aos dados e, assim, tentarem evitar maiores danos.
Apesar do que é propagandeado em muitos momentos, a legislação brasileira já prevê punições para quem pratica tal conduta. Em 2012, o Código Penal foi modificado para incluir o crime de acesso não autorizado a sistema informático. As penas podem variar entre três meses a um ano de detenção, que pode ser aumentada em até um terço se resultar em prejuízo econômico, como no caso de ransonware. Desta forma, a grande dificuldade está no procedimento investigatório, uma vez que tanto o aparato policial brasileiro quanto as próprias empresas não possuem ferramentas adequadas para coletar registros eletrônicos que poderiam colaborar efetivamente para identificação dos responsáveis pelos ilícitos.
Em casos de ransonware, a maioria destes passa longe dos holofotes da mídia, sendo resolvidos internamente, diferentemente dos casos de vazamentos de dados, que muitas vezes só são percebidos pelas empresas após serem amplamente notificados na internet, como o recente incidente envolvendo a Yahoo Inc. No meio de um processos de aquisição pela outra gigante da internet Verizon, um dos maiores provedores de acesso dos EUA, a Yahoo noticiou que os dados de mais de 500 milhões de usuários, incluindo contas de email, senhas e outras informações pessoais, haviam vazado. A reputação da empresa foi imediatamente atingida, seu valor de mercado foi drasticamente reduzido e hordas de clientes migraram para outras plataformas. O processo de fusão está, devido ao incidente, sendo rediscutido e pode até mesmo não ser finalizado. Tudo isso devido a uma falha de segurança que permitiu que os dados de milhões de clientes fossem livremente negociados em confins obscuros da internet.
Uma pergunta pode ser feita: porque a Yahoo publicamente noticiou tal vazamento, no lugar de tentar resolver o problema internamente? Resposta: em todos os 50 estados americanos existem leis que obrigam as empresas a informarem incidentes de vazamento de dados que possam eventualmente causar algum dano aos seus titulares. Tal obrigação não existe no Brasil, ainda.
Atualmente, vários projetos de lei vêm sendo discutidos no sentido de impor esse fardo às empresas visando proteger direitos individuais de cidadãos. Um deles merece destaque: o Projeto de Lei Geral de Proteção Dados Pessoais, que pretende estabelecer princípios e balizas para a coleta e o tratamento de dados pessoais não só na internet, mas em qualquer setor da sociedade que baseie seus modelos de negócio no uso de dados, conhecidos como “data driven business models”. Essa lei, quando estiver em vigor, não só obrigará as empresas a informarem casos de vazamento de dados, como também sugere a criação de uma nova agência reguladora para supervisionar todas as práticas, em território nacional, que se valem do uso de dados, independentemente do mercado em que atue.
Desta forma, as empresas nacionais, caso não queiram ser apanhadas de surpresa, devem, já, se adequar às novas leis e também se proteger dos diferentes riscos que a economia digital traz consigo. Caso contrário, poderão ter sua reputação manchada ou serem alvos de práticas extorsivas que poderiam ter sido evitadas.
Renato Leite Monteiro é professor de Direito Digital da Universidade Presbiteriana Mackenzie
