Na última sexta-feira, dia 25 de
novembro, ocorreu a Black Friday, evento em que lojas físicas e de E-commerce
prometem elevados descontos nos seus produtos, levando inúmeros clientes à insanidade,
fazendo compras que muitas vezes sequer precisam ou antecipando presentes
natalinos. Não me cabe aqui falar se a promoção é de fato real, ou se é do tipo
“metade do dobro”.
O viés da “Sexta Maluca” obriga-me
a fazer uma reflexão sobre os sites de comércio eletrônico e como tratam as
informações dos clientes, cuja coleta aumenta consideravelmente nesta época do
ano. Além do benefício pelo aumento das vendas, a captação de novos dados de
consumidores é também um fator positivo para a data, vez que com esses dados
poderão direcionar futuras publicidades e buscar fidelizar novos clientes. E
olhem que no Brasil ainda nem adotamos, com a mesma repercussão, a Cyber Monday
(data para descontos ainda mais agressivos para compras online.
Para a coleta de dados pessoais
em ambiente eletrônico, o Direito Brasileiro prevê algumas regras, que não
raras vezes têm sido descumpridas pela maioria das empresas de E-commerce. Em
2013, o Decreto nº 7.962, conhecido como Decreto do Comércio Eletrônico,
regulamentou dispositivos do Código de Defesa do Consumidor com o escopo de dar
maior transparência às relações de consumo em que haja contratação eletrônica,
seja ela para serviços ou produtos. São regras mais voltadas para a arquitetura
da informação, tais como a forma de exposição de preços, meios para contato e,
também, obrigando os provedores de aplicações – isso, sites de e-commerce também podem ser enquadrados na definição da
Lei nº12.965/14 e se sujeitam àquelas regras, tais como de guarda mínima dos
registros de acesso (o conjunto de informações referentes à data e hora de uso
de uma determinada aplicação de internet a partir de um determinado endereço
IP) – a utilizar mecanismos de segurança eficazes para pagamento e para
tratamento de dados do consumidor.
Com o advento desse decreto não
basta aos sites terem mecanismos para que os pagamentos ocorram de forma
criptografada ou instituir certificado digital. Mais do que isso, os dados uma
vez coletados devem ser tratados de forma segura, impedindo acesso a terceiros
de forma a evitar vazamentos e consequente responsabilização da empresa. Tais
obrigações ficaram ainda mais claras com a promulgação do Marco Civil da
Internet e a edição recentíssima do seu regulamento, Decreto nº 8.771/16.
Dentre os direitos dos usuários de Internet previstos no artigo 7º do Marco
Civil estão o da inviolabilidade da intimidade e da vida privada, das
comunicações e o de não ter seus dados, inclusive registros de acesso,
repassados a terceiros sem consentimento expresso.
Por sua vez, o regulamento em seu
artigo 13 trouxe diretrizes de segurança, tais como: I – o estabelecimento de controle estrito sobre o acesso aos dados
mediante a definição de responsabilidades das pessoas que terão possibilidade
de acesso e de privilégios de acesso exclusivo para determinados usuários; II –
a previsão de mecanismos de autenticação de acesso aos registros, usando, por
exemplo, sistemas de autenticação dupla para assegurar a individualização do
responsável pelo tratamento dos registros; III – a criação de inventário
detalhado dos acessos aos registros de conexão e de acesso a aplicações,
contendo o momento, a duração, a identidade do funcionário ou do responsável
pelo acesso designado pela empresa e o arquivo acessado, inclusive para
cumprimento do disposto no art. 11, § 3º, da Lei nº 12.965, de 2014; e IV – o
uso de soluções de gestão dos registros por meio de técnicas que garantam a
inviolabilidade dos dados, como encriptação ou medidas de proteção
equivalentes.
Como se vê, não basta aos sites
buscarem captar novos clientes, coletando cada vez mais dados se não instituem
um compliance legal na segurança da
informação, fechando o cerco desde a contratação eletrônica, revisando a
arquitetura da informação, contratos e procedimentos de atendimento, até a
adoção de políticas internas voltadas a cumprir a legislação, evitando acessos
indevidos e vazamentos.
O risco de não adotar tais
medidas é financeiro, pela possibilidade de sofrer sanções administrativas,
como multas, e também de imagem, haja vista que casos de vazamento repercutem
muito mal na mídia e jogam o valor da marca ao chão, atrapalhando até processos
de aquisição, como o que ocorreu com a Yahoo que, após o vazamento de milhões
de e-mails, viu sua negociação com a Verizon esfriar.