Leia na Fonte: SEGS
[28/07/14]  Obrigação de notificar violação de dados é essencial à regulamentação da Internet - por Márcia Alves

Marcia Cicarelli, sócia da JBO Advocacia, adverte que Marco Civil da Internet será mais eficaz se a regulamentação garantir aos usuários o direito de serem informados sobre a violação de seus dados.

A garantia da proteção de dados pessoais, uma das inovações do Marco Civil da Internet, poderá perder a eficácia se a regulamentação da Lei 12.965/2014 não impuser a obrigatoriedade de notificação sobre a violação de dados. O alerta foi feito pela sócia da JBO Advocacia, Marcia Cicarelli Barbosa de Oliveira, em sua participação no seminário “O Marco Civil da Internet e seus reflexos no setor de seguros”, realizado pela Agência Seg News, em 23 de julho, em São Paulo (SP).

Segundo a advogada, o dever de notificação nos casos de quebra de confidencialidade não está previsto em nenhuma das propostas de regulamentação da Internet. A ausência desse dever é verificada tanto no texto do Marco Civil da Internet como no Projeto de Lei 4060/2012 sobre Proteção de Dados. A Proposta de Atualização do Código de Defesa do Consumidor para o Comércio Eletrônico (Projeto de Lei nº 281/2012) também não abrange esse aspecto da proteção de dados.

Embora o dever de informação esteja previsto no CDC, Marcia Cicarelli considera não ser suficiente para garantir o direito de usuários da Internet de serem informados sobre como e em que circunstâncias a confidencialidade de seus dados foi quebrada. “Se não houver uma lei que positive esse dever será difícil implementar o principio de proteção de dados”, disse. Ela se preocupa com a hipótese de a regulamentação da Internet não contemplar essa obrigação devido à comprovada exposição do país aos riscos cibernéticos.

Dados publicados em recente edição da revista Valor revelam um aumento de mais de 100% de ataques de hackers no país entre 2011 e 2013, quando o número de casos saltou de 2.562 para 4.665. “O Brasil é um dos países mais vulneráveis do mundo ao ataque de hackers, seja pelo crescente número de usuários da rede, seja pelo uso de softwares piratas, ou pela falta de legislação punitiva e de fiscalização”, declarou a advogada.

De acordo com Marcia Cicarelli, a obrigatoriedade de notificação de quebra de confidencialidade foi um fator-chave no crescimento do mercado de seguros contra riscos cibernéticos nos Estados Unidos. O ponto de partida foi a aprovação na Califórnia, em 2003, do “Notice of Security Breach Act”.

Desde então, outros países têm incluído esta previsão em suas leis, como a Alemanha, com o “Federal Data Protection Act”, de 2009; e o Reino Unido, que estabeleceu esse dever em 2011, por meio do “Privacy and Electronic Communications Regulation”. Na América Latina, o México aprovou legislação semelhante em 2010.

“O dever de notificar a violação de dados é uma espécie de gatilho para o seguro de riscos cibernéticos”, disse. Ela explicou que a partir dessa notificação já começa a se estabelecer o valor de indenização, que representa os gastos das empresas com notificação, monitoramento e consultoria a todos que tiveram seus dados violados, além dos custos para restabelecer o sistema.

“Sem a notificação da empresa que teve seus dados violados, é impossível para o consumidor tomar conhecimento de que teve suas informações repassadas por aquele agente em específico. Sem o conhecimento do fato ou de quem o cometeu, o consumidor que teve sua privacidade afetada nunca tomará as ações cabíveis contra a empresa que deixou de proteger seus dados e por isso o dever de notificação é fundamental, o que já ocorre nos casos de recall de produtos”, afirmou Marcia Cicarelli.

No Brasil, apenas duas seguradoras comercializam seguro para riscos cibernéticos e uma terceira se prepara para operar neste ramo. Além das coberturas abrangendo riscos do próprio segurado, denominadas First Party ou Property, a apólice tem como cobertura principal a de Responsabilidade Civil - Third Party Claims -, que prevê indenização para a reparação de prejuízos causados a terceiros como resultado de uma violação de dados. Outras coberturas são oferecidas como extensão, como a de responsabilidade por empresas terceirizadas, além das tradicionais coberturas adicionais de RC, como custos de defesa e danos morais.

Já a cobertura de First Party Loss prevê indenização para as despesas emergenciais em caso de violação de dados, como assessoria em TI, interrupção de negócios e até demandas de extorsão, para casos em que um hacker exija dinheiro para restabelecer o sistema ou para não atacá-lo.

Considerando o crescimento do comércio eletrônico no país, Marcia Cicarelli reconhece a urgência do Marco Civil da Internet, que, apesar de incipiente, possibilitou avanços, como a maior visibilidade do seguro para riscos cibernéticos. Porém, ela destaca que muitas questões relacionadas à proteção de dados ainda deverão ser respondidas, como é o caso da quantificação dos danos.

“A tendência de crescimento de usuários da Internet e do comércio eletrônico aumentam a importância da proteção de dados. Mas, a sociedade terá de cobrar a aprovação de regulamentação que inclua o dever de notificação sobre a violação de dados”, disse.