Quais são algumas das leis relativas à segurança da Internet e de dados?

O que é lei da Internet?

A lei da Internet, às vezes chamada de lei cibernética, refere-se aos princípios e regulamentos legais que regem o uso da Internet. As leis da Internet nem sempre são claras e diretas porque:

• A Internet é relativamente nova e continua a evoluir, o que significa que as estruturas jurídicas podem ter dificuldade para se manter atualizadas.
• As leis da Internet geralmente incorporam e aplicam princípios de diferentes campos jurídicos, como leis de privacidade ou leis de contratos, que são anteriores à Internet e podem estar abertas a interpretação.
• Não existe uma lei única que regule a privacidade on-line. Em vez disso, aplica-se uma colcha de retalhos de leis federais e estaduais. Além disso, diferentes jurisdições ao redor do mundo podem ter interpretações diferentes sobre como aplicar as leis de privacidade na Internet.

A União Europeia tem uma lei abrangente de privacidade de dados conhecida como GDPR, o Regulamento Geral de Proteção de Dados. Em contraste, os Estados Unidos não têm uma lei de privacidade da Internet em nível federal central. Em vez disso, existem várias leis de privacidade federais com foco vertical e várias leis de privacidade voltadas para o consumidor entre os diferentes estados. Esta visão geral examina algumas das leis críticas de segurança da Internet que você deve conhecer.

Lei de Privacidade dos EUA de 1974

Embora seja anterior à Internet, a Lei de Privacidade de 1974 é indiscutivelmente a base de muitas leis que cobrem a privacidade de dados e da Internet nos Estados Unidos. A Lei foi aprovada em reconhecimento à quantidade de dados pessoais mantidos em bancos de dados de computador por agências governamentais dos Estados Unidos. A lei abrangia:

• O direito dos cidadãos dos EUA de acessar dados mantidos por agências governamentais e o direito a uma cópia desses dados.
• O direito dos cidadãos de corrigir quaisquer erros de informação.
• A necessidade de as agências coletarem apenas as informações mínimas relevantes e necessárias para o cumprimento de seus objetivos.
• Restringir o acesso aos dados com base na 'necessidade de saber'.
• Restringir o compartilhamento de informações entre agências federais (e não federais), ou seja, permitido apenas sob certas condições.

No entanto, a invenção da Internet mudou a definição de privacidade e tornou necessária a promulgação de novas leis de segurança de dados relativas às comunicações eletrônicas.

Lei da Comissão de Comércio Federal

A Lei da Comissão de Comércio Federal de 1914 estabeleceu a Comissão Federal de Comércio dos Estados Unidos e foi projetada para proibir métodos desleais de concorrência, e atos ou práticas desleais que afetem o comércio.

Atualmente, embora a FTC não regule explicitamente quais informações devem ser incluídas nas políticas de privacidade do site, ela usa sua autoridade para emitir regulamentações, fazer cumprir as leis de privacidade e proteger os consumidores. Por exemplo, a FTC pode agir contra organizações que:

• Não seguem uma política de privacidade publicada.
• Transferem informações pessoais de uma forma que não esteja devidamente definida em uma política de privacidade.
• Façam declarações de privacidade e segurança imprecisas aos consumidores e nas políticas de privacidade. 
• Não implementem e mantenham medidas razoáveis de segurança de dados.
• Não sigam os princípios de autorregulação que podem se aplicar ao setor da organização.

A FTC desempenha um papel na regulamentação da Internet, até porque examina representações enganosas feitas por empresas líderes de tecnologia e mídia social sobre a privacidade dos dados do consumidor que coletam. Por exemplo, anteriormente, a FTC investigou reclamações contra o Facebook pelo uso de dados de clientes.

Lei de Proteção à Privacidade Infantil On-line

A Lei de Proteção à Privacidade Infantil On-line de 1998, também conhecida como COPPA, é uma lei federal dos EUA. Seu objetivo é colocar os pais no controle de quais informações são coletadas on-line de seus filhos pequenos. A COPPA se aplica a operadoras de sites comerciais e serviços on-line (incluindo aplicativos móveis e dispositivos da Internet das Coisas) direcionados a crianças menores de 13 anos, que coletam informações pessoais de crianças.

Alguns dos principais requisitos da COPPA incluem:

• Sites, aplicativos e ferramentas on-line voltados para crianças com menos de 13 anos devem avisar e obter o consentimento dos pais antes de coletar informações de crianças.
• Eles devem ter uma política de privacidade clara e abrangente.
• Eles devem manter todas as informações que obtiverem das crianças protegidas e seguras.

Embora a lei tenha se originado nos primórdios da Internet, ela se tornou especialmente relevante em uma era de mídia social e anúncios programáticos. Uma questão importante com a COPPA é até que ponto um site é "direcionado" a crianças menores de 13 anos. Nos EUA, a Federal Trade Commission avalia os sites com base em vários critérios, incluindo:

• Assunto
• Conteúdo
• Uso de personagens animados
• Uso de atividades ou incentivos voltados para crianças
• Idade dos modelos
• Presença de celebridades infantis ou celebridades que atraem as crianças
• Publicidade no site voltada para crianças

Alguns sites ou serviços selecionam seus usuários por idade, para que eles não tenham que cumprir os regulamentos da COPPA. Por exemplo, muitas redes sociais, cujo modelo de negócios é baseado na coleta e monetização de dados do usuário, definem 13 como idade mínima para usuários registrados.

Outra questão levantada pela COPPA é o que constitui "coleta de informações pessoais". Coletar nomes, endereços e fotografias se enquadra nesta categoria. Mas os anúncios comportamentais são menos óbvios, ou seja, anúncios que rastreiam o comportamento do usuário em sites e aplicativos, que também constituem coleta de informações pessoais de acordo com a COPPA. Mesmo que um provedor terceirizado veicule esses anúncios comportamentais, o proprietário do site é responsável por eles, caso apareçam em um site voltado para crianças. Dado que os anúncios comportamentais constituem uma parte tão grande do ecossistema da Internet, isso tem implicações significativas para sites voltados para crianças.

Lei de Privacidade do Consumidor da Califórnia

A Lei de Privacidade do Consumidor da Califórnia, ou CCPA, foi sancionada em 2018. Seu objetivo era abordar a privacidade do consumidor para os residentes da Califórnia, estendendo as proteções de privacidade do consumidor para a Internet. A CCPA é considerada a legislação de privacidade de dados com foco na Internet mais abrangente dos Estados Unidos, sem equivalente em nível federal.

Como o GDPR da UE, ela dá aos consumidores o direito de acessar seus dados, junto com o direito de excluir e cancelar o processamento de dados a qualquer momento. No entanto, a CCPA difere do GDPR pelo fato de que o GDPR concede aos consumidores o direito de corrigir ou retificar dados pessoais incorretos, ao passo que a CCPA não. O GDPR também exige consentimento explícito no momento em que os consumidores fornecem seus dados. Por outro lado, a CCPA especifica apenas que uma nota de privacidade está disponível em sites informando aos consumidores que eles têm o direito de optar por não participar de determinada coleta de dados. Outros recursos da CCPA incluem:

• Os consumidores têm o direito de acessar seus dados por meio de uma solicitação de acesso do titular dos dados.
• As empresas não podem vender informações pessoais dos consumidores sem fornecer um aviso na web e dar a oportunidade de cancelar.
• Os consumidores têm um direito limitado de ação para processar se forem vítimas de uma violação de dados.
• O Procurador-Geral do Estado tem uma capacidade mais geral de processar empresas em nome dos residentes.

A CCPA tem uma definição ampla de informações pessoais: "informações que identificam, se relacionam, descrevem, são capazes de ser associadas ou podem ser razoavelmente vinculadas, direta ou indiretamente, a um determinado consumidor ou família". Isso é semelhante à visão ampla de dados pessoais do GDPR.

Regulamento Geral de Proteção de Dados

O Regulamento Geral de Proteção de Dados da UE, GDPR, entrou em vigor em 2018. É um quadro jurídico que estabelece diretrizes para a coleta e o processamento de informações pessoais de indivíduos que vivem na União Europeia. O GDPR aplica-se independentemente da localização dos sites, o que significa que deve ser respeitado por todos os sites que atraem visitantes europeus. O GDPR é considerado uma das leis de segurança de dados mais rígidas do mundo.

O GDPR especifica que os usuários do site devem ser notificados sobre os dados que um site está coletando, e os usuários devem dar expressamente seu consentimento para a coleta de dados. É por isso que muitos sites têm pop-ups que pedem aos usuários que autorizem a coleta de cookies, ou seja, pequenos arquivos que contêm informações pessoais, como configurações e preferências do site.

Os principais recursos do GDPR incluem:

• Os consumidores têm o direito de saber como seus dados são coletados e usados.
• Os consumidores podem perguntar aos sites quais informações foram coletadas sobre eles (sem pagar uma taxa).
• Se houver erros nos dados dos consumidores, eles podem solicitar que sejam corrigidos.
• Os consumidores podem solicitar que seus dados sejam excluídos dos registros.
• Os consumidores têm o direito de recusar o processamento de dados, por exemplo, para fins de marketing.
• Os sites devem notificar os usuários se seus dados foram comprometidos ou violados.

A Comissão Europeia explica em detalhes o GDPR em seu site oficial. Houve algumas penalidades muito divulgadas concedidas a grandes empresas por violações do GDPR, incluindo o Google recebendo uma multa de US$ 57 milhões porque informações importantes foram ocultadas quando os usuários configuraram novos telefones Android, o que significa que os usuários não sabiam quais políticas de coleta de dados estavam concordando e a British Airways sendo multada em US $ 28 milhões quando 500.000 registros de reservas de clientes foram roubados em um ataque.

Lei de Portabilidade e Responsabilidade de Seguro Saúde

A Lei de Portabilidade e Responsabilidade de Seguro Saúde de 1996, HIPAA, é uma lei federal dos EUA focada na regulamentação de seguro saúde, incluindo privacidade de dados e seções de segurança. Ela impede que os prestadores de cuidados de saúde, empresas e as pessoas que trabalham com eles divulguem informações de saúde dos consumidores sem a sua permissão.

Quando as pessoas falam sobre a HIPAA, normalmente se referem à cláusula da Regra de Privacidade estabelecida em 2003. Essa regra foi introduzida em parte porque o Congresso dos Estados Unidos reconheceu que a Internet tornava as violações de privacidade na saúde mais prováveis de ocorrer. A regra de privacidade da HIPAA dá aos consumidores o direito de controlar as divulgações de suas informações de saúde, para que eles possam dizer ao seu provedor de saúde o que compartilhar.

No entanto, a HIPAA protege apenas as informações de cuidados de saúde mantidas por tipos específicos de prestadores de cuidados de saúde. Por exemplo, os dados de saúde em seu rastreador de condicionamento físico geralmente não são cobertos pela HIPAA. Os dados genéticos inseridos em sites como Ancestry.com também não são cobertos pela HIPAA. Outras leis ou acordos, como as divulgações de privacidade exigidas em muitos aplicativos, podem proteger essas informações, mas a HIPAA não.

Lei Gramm-Leach-Bliley

A Lei Gramm-Leach-Bliley (GLBA), também conhecida como Lei de Modernização de Serviços Financeiros de 1999, é uma lei bancária e financeira que contém elementos de privacidade e segurança de dados. Sua proteção de informações pessoais se baseia em leis anteriores de dados financeiros do consumidor, como o Fair Credit Reporting Act (FCRA).

Essencialmente, a GLBA protege informações pessoais não públicas, que são definidas como quaisquer "informações coletadas sobre um indivíduo em conexão com o fornecimento de um produto ou serviço financeiro, a menos que essas informações estejam de outra forma disponíveis publicamente". A referência a "publicamente disponíveis" significa registros de propriedade ou determinadas informações sobre hipotecas que podem ser de domínio público.

A GLBA Safeguards Rule requer que os coletores de dados protejam as informações pessoais e criem sistemas de segurança de dados de tamanho apropriado. Em outras palavras, os grandes bancos nacionais precisam de proteções mais sofisticadas do que, por exemplo, uma cooperativa de crédito de bairro.

A regra exige que as empresas façam testes regularmente. Além disso, eles devem implementar medidas de segurança em suas operações do dia a dia, como verificar o histórico dos funcionários e estabelecer planos de ação contra violações em caso de ataque.

A GLBA torna o pretexting ilegal. Pretexting refere-se a alguém que obtém acesso indevido a informações não públicas. O termo costuma ser associado a hacks de engenharia social, por exemplo, quando alguém se faz passar por gerente ou agente da lei para obter informações. Golpes de phishing, que às vezes envolvem a criação de sites falsos que enganam as pessoas para que divulguem informações privadas, são outro exemplo de pretexto. A GLBA exige que as instituições financeiras estabeleçam medidas que impeçam a utilização de pretexting como parte de seus planos de segurança.

Leis de privacidade da Internet: Conclusão

Diferentes jurisdições ao redor do mundo têm suas próprias leis de privacidade na Internet e segurança de dados. Por exemplo, o Brasil tem a Lei Geral de Proteção de Dados (LGPD), enquanto o Canadá tem a Lei de Proteção à Privacidade do Consumidor (CPPA), as quais são amplamente semelhantes em escopo ao GDPR da UE ou à CCPA da Califórnia.

Nos Estados Unidos, não existe uma lei federal abrangente que governe a privacidade de dados. O regulamento da Internet é uma colcha de retalhos complexa de leis específicas do setor e do meio, incluindo leis e regulamentos que tratam de telecomunicações, informações de saúde, informações de crédito, instituições financeiras e de marketing. 

Uma das melhores maneiras de proteger sua privacidade e segurança de dados on-line é usar uma solução antivírus abrangente. Um produto como o Kaspersky Total Security bloqueia ameaças comuns e complexas, como vírus, malware, ransomware, aplicativos espiões e as atividades mais recentes de hackers.

Artigos relacionados:

• O que é a privacidade de dados? Como se proteger
• O que é segurança da Internet? Como se proteger on-line
• Como proteger a sua privacidade on-line à medida que os negócios e o uso pessoal convergem
• Como ocultar seu endereço IP