Que responsabilidade tem uma empresa ao divulgar informações de clientes?

Informações de milhões de clientes vazaram

O Ministério da Segurança Pública apontou uma série de empresas de tecnologia que vazaram informações de clientes e empresas de intermediação de serviços de táxi que utilizaram informações de passageiros vazadas para oferecer serviços via SMS. O Ministério da Segurança Pública também afirmou que a situação atual de vazamento e venda de dados pessoais é generalizada, pública e cada vez mais complexa. Mais grave ainda, muitos dados estão sendo vendidos publicamente há muito tempo e em grandes quantidades no ciberespaço. A compra e venda não ocorre apenas entre indivíduos, mas também envolve a participação de empresas, organizações e corporações.

Em 2018, informações sobre o vazamento do site Thegioididong.com e a obtenção de dados importantes por hackers, como endereços de e-mail, histórico de transações e até números de cartão, foram divulgadas em fóruns de tecnologia, causando preocupação em milhões de clientes. A Gioi Di Dong emitiu imediatamente um comunicado à imprensa confirmando que as informações eram falsas, que o sistema estava seguro, funcionando normalmente e sem ter sido afetado. Depois disso, a situação se acalmou gradualmente.

Em abril de 2018, a VNG registrou que 160 milhões de contas Zing ID estavam em risco de vazamento, o que poderia afetar parte dos arquivos de clientes de jogos da empresa. A empresa afirmou ter tomado medidas imediatas para lidar com o problema, prevenir intrusões e limitar o número de usuários afetados pelo incidente por meio de medidas técnicas. No entanto, a VNG admitiu que as informações de alguns usuários foram vazadas, mas "o número de usuários realmente afetados por este incidente não é grande, concentrando-se em clientes de jogos e não afetando outros produtos da VNG", e prometeu sempre garantir os direitos e a segurança dos clientes e resolver completamente quaisquer problemas que surjam para os clientes.

Segundo o Sr. Vo Do Thang, do Centro de Segurança Cibernética Athena, em casos específicos como o mencionado pelo Ministério da Segurança Pública, é imprescindível investigar se o sistema da empresa foi atacado ou se os funcionários roubaram e divulgaram os dados. Seja qual for o motivo, o vazamento de dados indica uma vulnerabilidade no sistema da empresa. Essa vulnerabilidade pode ser técnica ou humana. Portanto, garantir a segurança da rede e a proteção dos dados pessoais dos clientes deve ser uma prática constante, 24 horas por dia, 365 dias por ano, sem negligência. Ninguém pode afirmar com certeza que seu sistema está sempre seguro, pois hackers podem atacar a qualquer momento. Sem falar na situação em que os próprios funcionários da empresa roubam dados de clientes para vendê-los a terceiros.

O mundo impõe penalidades severas, mas o Vietnã recebe poucas sanções.

Recentemente, houve uma série de casos de vazamento de informações de clientes, mas quase nenhuma empresa foi punida ou sancionada. Enquanto isso, países ao redor do mundo impuseram pesadas penalidades por esse comportamento. Por exemplo, em julho de 2019, a Comissão Federal de Comércio dos EUA decidiu multar o Facebook em 5 bilhões de dólares após o acesso e uso ilegal dos dados pessoais de 87 milhões de usuários dessa rede social pela Cambridge Analytica. De acordo com a investigação, o Facebook permitiu que a Cambridge Analytica acessasse ilegalmente os dados de 50 milhões de usuários americanos durante a campanha presidencial de 2016, bem como durante o referendo do Brexit no Reino Unido em 2016. Essa é a maior multa já aplicada no mundo por um escândalo de vazamento de dados de usuários.

No Vietnã, existem diversas regulamentações relacionadas às penalidades por vazamento e divulgação de informações. Atualmente, o Projeto de Decreto sobre penalidades por infrações administrativas na área de segurança de redes (que está em consulta pública e aguarda promulgação pelo Governo) estipula que a penalidade máxima para organizações que violarem as normas de proteção de dados pessoais é uma multa de até 5% da receita total do ano fiscal anterior no Vietnã, para a segunda ou mais infrações. Além disso, pode haver uma penalidade adicional de cassação da licença comercial do setor que exige a coleta de dados pessoais por um período de 1 a 3 meses.

O Sr. Vu Ngoc Son, Diretor Técnico da VN Cyber ​​Security Technology Company, afirmou que, até o momento, devido à falta de regulamentações detalhadas sobre proteção de dados pessoais, empresas e organizações que violam a lei estão sujeitas apenas a penalidades administrativas. Portanto, a penalidade máxima proposta de até 5% da receita total na próxima versão do projeto de lei é adequada para o Vietnã e tem um efeito dissuasor, fazendo com que as empresas tenham maior responsabilidade na proteção dos dados dos clientes. No entanto, segundo o Sr. Son, essa multa ainda não é alta em comparação com as práticas internacionais. Isso porque, em muitos países, a maioria das multas é calculada com base na escala do impacto de cada violação. Por exemplo, se uma violação se origina em uma pequena empresa, mas afeta gravemente um grande número de usuários, a multa ainda será muito alta. "No Vietnã, ainda não existe uma escala para avaliar o impacto de cada caso de vazamento de informações pessoais, então é razoável propor uma multa baseada na receita. Acho que isso representará um novo passo adiante no processo de controle e proteção dos dados pessoais das pessoas", disse o Sr. Vu Ngoc Son.

Concordando, o Sr. Vo Do Thang comentou que a existência de regulamentações mais detalhadas sobre penalidades administrativas específicas e públicas para atos que violem a proteção de dados pessoais de clientes obrigará as empresas a revisarem seus sistemas de segurança de rede. Há um processo de avaliação e monitoramento regulares dos recursos técnicos e humanos para garantir a confidencialidade das informações dos clientes. Isso é semelhante às normas de segurança contra incêndio em prédios comerciais e locais com grande concentração de pessoas. Os órgãos de gestão estatal também precisam fortalecer a inspeção, a supervisão e a punição rigorosa das empresas infratoras. A primeira infração poderá ser divulgada na mídia; a segunda estará sujeita às penalidades administrativas correspondentes e, em seguida, o serviço poderá ser suspenso por um período determinado para que a empresa possa fortalecer seu sistema de segurança de rede.