Mídia & Notícias

NECESSIDADE OU LOBBY: PORQUE O COMÉRCIO ELETRÔNICO É TÃO MALTRATADO

Se fizéssemos uma análise sobre a utilização da Internet como negócio, desde seu surgimento, poderíamos verificar como é importante a questão da privacidade dos seus usuários, bem como concluiríamos que a regulamentação da matéria no âmbito na rede mundial poderia trazer reflexos inesperados para diversos tipos de negócio.
Logo em seu início a Internet era vista como um negócio com fim em si mesmo. Chegou-se a cogitar sua cobrança por acesso, desconsiderando-se (até porque inexistentes até então) as funcionalidades e seu valor agregado, que ultrapassaria e muito a simples cobrança por acesso (serviço que atualmente é prestado de graça por diversos provedores).
Por outro lado, a Internet nasceu estática. Era como um livro que se folheia, sem nenhuma interatividade deste em relação ao leitor. Os tempos atuais, que são outros, permitem toda a sorte de interatividade e funcionalidade por meio da Internet, com a disseminação de serviços que já partem da premissa de que “navegar” na rede mundial de computadores é verbo conjugado pela maioria de seu público alvo.
Ocorre que, se por um lado se vem oferecendo funcionalidades, por outro os seus fornecedores desejam receber dos usuários uma contrapartida, não em espécie, mas em ativo cada vez mais valioso, qual seja, os dados pessoais dos internautas. A febre pegou inclusive o e-Commerce e aplicativos, que vem não apenas reunindo seu próprio banco de dados, mas também utilizando banco de dados de terceiros, como do Google e do Facebook.
Atento ao movimento, o Governo iniciou uma série de iniciativas para a regulamentação do tratamento dos dados pessoais dos internautas. Citamos, por exemplo, o fato de o Ministério da Justiça ter promovido, durante um período de tempo, um debate nacional sobre seu Anteprojeto de Lei de Proteção de Dados Pessoais (APL), que recentemente deixou de ser Anteprojeto para virar Projeto de Lei. Há também a base encontrada no Marco Civil da Internet (MCI), que acabou de ser regulamentada pelo Decreto n. 8.771/2016, o qual deveria ser objeto de atenção de todos os provedores de acesso e de aplicações, incluindo entre estes últimos todos aqueles que oferecem qualquer tipo de funcionalidade por meio da Internet (e-commerce, aplicativos, portais de notícias, canais de vídeos, etc.).
O MCI já havia estabelecido que os provedores de acesso e de aplicações deveriam guardar os registros de utilização de seus serviços, que no primeiro caso seria a data e hora de início e término da conexão à internet, sua duração e o endereço IP e, no segundo, o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP. Todavia, o MCI não previu os parâmetros de tal guarda, deixando a incumbência para posterior regulamento, o que se deu com o advento do Decreto n. 8.771/2016.
Segundo o referido decreto, a guarda, armazenamento e tratamento dos dados não pode ser dar de qualquer forma, mas deve obedecer certas regras: 
I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários. A providência poria fim ao acesso irrestrito no âmbito da empresa, bem como, de forma indireta, atribui responsabilidade às pessoas autorizadas, permitindo diminuir o risco de vazamento de informações por ação de colaboradores e facilitando a identificação do responsável pelo eventual vazamento. 
II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros. A regulamentação menciona o “responsável pelo tratamento dos registros”, o que reforça a ideia de individualização das condutas a fim de ser ter precisão quanto às falhas de segurança.
III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado. A sistemática objetiva a possibilidade de auditoria, com logs de acesso e atividade. 
IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes. Além das regras de acesso e segurança contra ações humanas, há também a previsão de soluções técnicas, especialmente voltada contra as investidas de outras ferramentas tecnológicas. 
Há de se destacar que, ao contrário de uma lei, que possui maior burocracia para ser aprovada, a regulamentação por meio de um decreto facilita a revisão do seu texto, vez que só dependerá da vontade do Poder Executivo.
As implicações práticas que se pode vislumbrar com a regulamentação são amplas, desde a questão financeira, especialmente problemática aos pequenos provedores de aplicação, devido à implementação das medidas técnicas que geralmente são custosas, até o compliance jurídico e implementação/complementação das políticas de segurança da informação das empresas, que deverão prever adequadamente o acesso aos dados pessoais que estão sendo tratado ou armazenados, a responsabilidade dos colaboradores, os planos de contingência em caso de não conformidade, entre outras regras.