O que une empresas e organizações tão diferentes como Adobe, Deloitte, Equifax, Uber, Yahoo! e o aeroporto de Heathrow, em Londres? Todas foram atingidas por algum tipo de ataque ou vazamento dedados capaz de expor informações pessoais ou confidenciais de um grande número de pessoas.

Esses casos mostram uma situação cada vez mais evidente: em um mundo cada vez mais conectado, não há mais empresa, ONG ou órgão governamental que possa se dar ao luxo de não fazer nada sobre segurança da informação. Dá até para dizer que está em vigor uma nova versão da Lei de Murphy: se uma informação pode ser vazada —e nada é feito para evitar isso—, aquela informação será vazada.

Em outras palavras, quando não há a adoção de medidas básicas de segurança de dados, cedo ou tarde eles serão expostos. Campanhas como a "Encrypt All Things" (criptografe todas as coisas) definem uma lista de sete passos essenciais a serem seguidos por qualquer organização. Entre eles: criptografar toda a informação, em trânsito ou armazenada. Controlar de forma segura quem pode ou não acessar os dados. Se um vazamento ocorrer, informar imediatamente o público e consertar a vulnerabilidade que lhe deu causa.

Essas medidas são um começo. Além delas, é preciso também definir por meio da lei quais são as regras do jogo no país com relação à proteção de dados. O caso do Brasil é peculiar. Estamos atrasados 30 anos nessa questão. Olhando o mapa global, o país faz parte do seleto grupo de países que fazem pouco ou nada sobre o assunto.

Nesse quadro, países como Angola, Arábia Saudita, Egito, Gana ou Nigéria possuem legislação de dados mais sofisticada do que a brasileira. Regionalmente, Argentina, Chile, Colômbia, México, Peru e Uruguai, todos possuem leis específicas sobre dados pessoais. O Brasil não.

Há três projetos em curso no Congresso Nacional para tratar do tema. No entanto, o Congresso prefere, infelizmente, fazer avançar pautas estapafúrdias como a CPI da Baleia Azul, a autorização de bloqueios de sites ou formas de proibir que cidadãos falem mal de políticos na internet a enfrentar pautas estruturantes como uma lei dados pessoais. Essa lei é estruturante porque é sobre ela que se deve construir iniciativas como governo eletrônico, cidades inteligentes ou internet das coisas. Avançar em qualquer uma dessa agendas sem ter antes uma lei de proteção de dados beira a irresponsabilidade.

Em uma nota positiva, várias cidades estão se movimentando para criar leis de privacidade municipais. Na semana passada, uma coalizão multipartidária de vereadores assinou em São Paulo um projeto de lei para proteger dados no âmbito do município, seguindo a proposta do projeto "Sua Cidade, Seus Dados". Um passarinho me contou que há mobilizações acontecendo para que outros municípios sigam o mesmo caminho. Enquanto o Congresso adormece, as cidades tomam a dianteira desse debate global.

Ronaldo Lemos - advogado, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITSrio.org). Mestre, pesquisador e representante do MIT Media Lab no Brasil.

Fonte: colina jornal FSP