A Internet é um ambiente maravilhoso, que ajudou o mundo a se desenvolver. Ela democratizou o acesso à educação, facilitou o trabalho, aproximou pessoas. No entanto, neste universo circulam informações como fotos, vídeos, dados bancários, documentos pessoais, arquivos de empresas, entre outras. Diante da necessidade de proteger esses dados, há quatro anos surgiu no Brasil o Marco Civil da Internet (Lei nº 12.965/14). Esta legislação posicionou o Brasil como um dos países precursores no mundo na proposta de regular a Internet. No entanto, a tecnologia não deixa de evoluir. Segundo a Lei de Moore, a capacidade de processamento de um chip dobra a cada 18 meses. Ou seja, uma regulamentação referente à tecnologia não pode ficar sem atualizações de tempos em tempos, pois a dinâmica das mudanças é muito veloz.
Com o escândalo do vazamento de dados do Facebook divulgado recentemente, muito tem se discutido sobre segurança digital ao redor do mundo. Todos os dias somos bombardeados com informações referentes ao roubo de credenciais, vazamentos e sequestros de dados. Estamos vivendo um momento em que, pela primeira vez, as empresas contabilizam prejuízos reais (não estimados) gerados por ataques cibernéticos. As organizações finalmente perceberam que podem quebrar por conta de problemas de segurança, sejam eles simples ou complexos.
Apesar do vanguardismo, o Marco Civil tem um longo caminho evolutivo. As regulações geralmente chegam tardiamente e com a velocidade atual da tecnologia, a distância entre o que a sociedade espera e o mundo real fica cada vez mais longa. Ainda há muito a ser feito e muito a ser testado também. Um exemplo claro é que não há menção às criptomoedas, que tanto têm sido discutidas nos últimos tempos. Talvez tenhamos que esperar uma catástrofe para que algo seja discutido.
Além disso, o texto da lei brasileira tomou como base famosas ocorrências de segurança em grandes provedores de acesso e de serviço. É natural que se redija a legislação com base em grandes casos, mas devemos pensar em como enquadrar todos. Uma coisa é aplicar o Marco Civil no WhatsApp, outra é aplicar em uma pequena aplicação B2B ou em um pequeno e-commerce nacional. Por exemplo: Será que o café que fornece Wi-Fi pública mantém seus registros por 12 meses? Será que o dono do estabelecimento sabe dessa norma? O risco de não cumprir a mesma é ser acusado de alguma ação feita por um cliente ou funcionário.
Para não dizer que isso é “coisa de brasileiro”, na Europa, essa discussão tem sido o foco do momento. A GDPR (General Data Protection Regulation), lei aprovada pelo Parlamento Europeu em abril de 2016, que entrou em vigor no último dia 25 de maio, segue também se baseando em casos de grandes provedores de serviços e aplicações. Seu foco é armazenamento de dados de clientes, estabelecendo multas exorbitantes, de 4% do volume de negócios global da empresa ou 20 milhões de Euros, o valor que for maior, que, se aplicadas, podem literalmente inviabilizar a continuidade de um pequeno negócio. O Marco Civil é muito mais focado na rastreabilidade dos dados do que de fato punir a empresa responsável por eventuais vazamentos dos mesmos; isso fica sendo avaliado caso a caso. Há dois projetos de lei tramitando no Congresso Nacional para solucionar estes gargalos que existem no Brasil, que devem ser unificados em algum momento e serem influenciados pela legislação europeia.
De qualquer modo, o que percebemos é uma corrida contra o tempo. O mercado se organiza mais rápido do que a sociedade consegue absorver as mudanças, enquanto a legislação vem aos trancos e barrancos tentando de algum modo acompanhar este ritmo, gerando lacunas que dificultarão a sua aplicabilidade.
Talvez estejamos vivendo um paradoxo, no qual os modelos normativos devam ser repensados, já que os mesmos não conseguem acompanhar a tecnologia. Arrisco dizer que nunca o conseguirão.
Independentemente dessa discussão regulatória, as empresas têm que compreender que a segurança defasada é um aspecto limitante para o crescimento do negócio e que as regulações propostas abrangem aspectos específicos do problema. Isso significa que não se deve focar única e exclusivamente em atender as regulamentações, pois as mesmas são e serão inerentemente incompletas.
* Rodrigo Fragola é CEO da Aker N-Stalker
