O que o uso indevido de dados do Facebook tem a ensinar às empresas?

Nos últimos tempos, tem se falado muito em relação ao escândalo de vazamento de dados da rede social Facebook.

A história começou com uma reportagem do jornal americano The New York Times, que expôs o compartilhamento indevido de dados de usuários de um quizz de Facebook com a empresa de consultoria Cambridge Analytica, que atuou na campanha eleitoral de Donald Trump. Suspeita-se que o uso desses dados permitiu a empresa influenciar as escolhas dos eleitores nas urnas.

Dois dias após a publicação os efeitos começaram a ser sentidos, o valor do Facebook encolheu US$ 35 bilhões (aproximadamente R$ 115,5 bilhões), na bolsa de valores de tecnologia dos EUA.

Além disso, a empresa entrou na mira de autoridades nos Estados Unidos e no Reino Unido. No último dia 10, Mark Zuckerberg depôs por mais de 5 horas em uma audiência no Senado dos EUA. No dia seguinte, foram mais de 5 horas de depoimento na Câmara.

Estima-se que foram utilizados dados de 87 milhões de usuários, 443 mil deles no Brasil. No entanto, cabe dizer que o aplicativo não cometeu nenhuma irregularidade na obtenção dos mesmos, tendo em vista, que ele se aproveitou de uma ‘brecha’ nas normas do Facebook, que na época permitia á aplicativos externos a coleta de dados de amigos das pessoas, para serem usados para melhorar a experiência do usuário.

O que complica a situação do Facebook nesse caso é que a empresa estava ciente do compartilhamento de informações entre o aplicativo de Kogan e a Cambridge Analytica. A empresa chegou a pedir a exclusão dos dados, mas o caso evidenciou que o Facebook não tinha como controlar os dados obtidos pelas empresas a partir de seus aplicativos nas redes sociais, muito menos proteger as pessoas do uso indevido de suas informações.

No Brasil, o governo notificou o Facebook para explicar o suposto vazamento.  A rede social tem até o início da próxima semana para responder à Secretaria Nacional de Defesa do Consumidor (Senacon), do Ministério da Justiça, os questionamentos enviados. A Senacon quer confirmar o número de brasileiros atingidos e, principalmente, como os dados foram utilizados e a quem foram repassados.

O compartilhamento indevido desses dados viola a Constituição Federal, já que expõe a privacidade garantida ao cidadão, além de contrariar o Marco Civil da Internet (Lei 12.965, de 2014) e o Decreto 8.771, de 2016, que restringem provedores de aplicativos de repassar dados dos usuários a terceiros.

Além disso, o caso levanta questões importantes como essas abaixo:

– É realmente apropriado que terceiros possam coletar dados a partir de redes sociais como o Facebook, e usar essas informações para descobrir seu padrão de voto, ideologia política ou sexualidade?

-Quem controla para quem esses dados são vendidos?

Também há a questão do equilíbrio. Apesar de a privacidade ser muito importante, essas necessidades precisam ser equilibradas com o potencial para tais informações destravarem novas oportunidades e eficiências em um futuro inteligente, automatizado e impulsionado pelo Big Data.

Qual empresa já tem uma posição declarada de colocar proteções e garantias em torno dos dados dos usuários? E qual companhia busca a conveniência da inteligência da máquina e da análise de dados ao mesmo tempo em que quer proteger seus usuários do abuso de informações privadas?

Independente do porte ou setor de atuação, todas as empresas devem desenvolver políticas para avaliar o nível de sigilo das informações e as formas necessárias para a proteção de dados.

Por isso, Marcos Assi, especialista em Governança, Riscos e Compliance, elaborou uma pequena lista, do que as empresas podem aprender e colocar em prática, com relação a esse caso do Facebook:

1. Estabeleça níveis de controle de acesso

Não é necessário que todos os colaboradores acessem todas as informações armazenadas pela empresa, por isso, ter um controle de acesso eficaz, cujo, informações críticas da organização fiquem a disposição apenas dos reais interessados é primordial.

Além disso, vale a pena aplicar ações como evitar que terceiros ou desconhecidos utilizem dispositivos que dão acesso às informações críticas do negócio e restringir o uso de pendrives para que não haja riscos de infecção e/ou cópia indevida de dados importantes.

2. Gerencie os riscos

Assim como nas demais áreas do negócio, também é necessário gerenciar os riscos de TI e de Segurança da Informação, reconhecendo as vulnerabilidades e ameaças do ambiente, avaliando e propondo soluções para minimizar os riscos.

Uma avaliação de risco bem estruturada, deve descrever de forma clara e objetiva as vulnerabilidades que permeiam a organização, apresentando o impacto que uma ameaça pode oferecer à empresa e seus riscos (quantitativos e/ou qualitativos), com isso, a empresa poderá trabalhar na prevenção e tratamento deles.

3. Tenha uma Política de Segurança de Informação forte e consistente

O resultado de um vazamento de informações em uma empresa é sempre prejudicial, podendo ser desde a perda de competitividade no mercado até mesmo o fim do negócio.

Garantir o bem-estar corporativo envolve o desenvolvimento de uma política de segurança da informação forte e consistente, que integre a cultura da organização. Á grosso modo, o objetivo é estabelecer práticas de segurança e garantir que elas sejam cumpridas por todos.

4. Mantenha-se atualizado

Entretanto, não basta apenas ter uma Política de Segurança da Informação em vigência, é necessário também prever e corrigir as falhas antes que elas venham a ocorrer, mantendo-a atualizada com as últimas tecnologias para manter esse ambiente seguro.

Assi garante ainda que ‘empresas que mantém políticas de governança, gestão de riscos e compliance eficientes têm um grande diferencial competitivo nos dias atuais’. E essa afirmação é reforçada por dados como o do relatório Cost of Daa Breach Study 2016, feito pelo Instituto Ponemon, que constatou que de 2015 á 2016 o número de dados roubados no Brasil subiu de 3.900 para 85.400, um prejuízo de R$ 4,31 milhões.