Esta semana, fiquei sabendo que a Comissão de Segurança Pública e Combate ao Crime Organizado da Câmara dos Deputados aprovou mudança no marco civil da internet (Lei 12.965/14) para assegurar o sigilo dos dados armazenados em computadores, celulares ou qualquer dispositivo que se conecte à internet. A lei já garante o sigilo das comunicações, mas não se refere aos dados armazenados. Apenas decisão judicial poderá, de acordo com a proposta, violar o sigilo de tais informações.
A comissão retirou mudanças feitas pelo texto original no conceito de terminal por considerar que, ao incluir qualquer dispositivo que se conecte à internet, o termo já contempla aparelhos de celulares e tablets. E garantiu que o acesso aos dados também depende de decisão judicial.A proposta segue agora para análise da Comissão de Constituição e Justiça e de Cidadania antes de ir a voto no plenário da Câmara dos Deputados e espero pessoalmente que seja aprovada.
Dito isto, comecei a pensar onde minhas informações podem estar e como elas estão protegidas. Afinal, lembrei de notícias recentes da Equifax com seus 143 milhões de cadastros comprometidos e da Uber com 57 milhões de registros expostos.
Ai me veio à mente, então, diversos lugares onde constam meus dados: Receita Federal, Bancos, Empresas de Cartão de Crédito, grades redes de lojas e supermercados, etc, mas, com todo meu otimismo, espero que todas elas tenham grande preocupação e atuem de maneira a garantir o sigilo e segurança dos meus dados. Ocorre, porém, que comecei a imaginar onde mais estão minhas informações. Sei que o mecânico que me atende mantém um cadastro com alguns dados assim como minha dentista também. Bom, acredito que os grandes hackers não estão tão interessados assim em meu mecânico ou minha dentista, desta forma me auto tranqüilizei (tentei enganar a mim mesmo) procurei relaxar um pouco e tentar não ficar tão apavorado.
Esta despreocupação durou pouco tempo. Um pouco depois tive que ir em um grande hospital para um atendimento de urgência. Este hospital é referência em tudo o que se possa imaginar, porém veja só o que ocorreu comigo: eu nem tinha sido atendido pelo médico e já vieram retirar meu sangue para enviar ao laboratório e me aplicar um soro. Foi algo tão anormal que reclamei e verificaram que por um erro operacional o médico tinha pego meu cadastro e já tinha indicado um procedimento. Isto sem eu ter falado com este profissional. Inicialmente fiquei preocupado somente com este erro, mas depois me dei conta que meu cadastro estava ali, disponível para qualquer um. Se este grande hospital que tem todo um conjunto de procedimentos operacionais comete um erro tão básico, será se ele também está seguindo os procedimentos de segurança de informações pessoais?
Pesquisei muito sobre isto e notei diversos artigos e regulamentos sobre sigilo de cadastros de pacientes e sobre os cuidados que o hospital tem. Adicionalmente, lendo mais sobre o assunto “segurança em ambientes hospitalares”, levantei que a Health Information Trust Alliance (HITRUST) desenvolveu o CSF, uma estrutura de segurança da informação que conjuga os requisitos das normas e regulamentos existentes nos EUA incluindo HIPAA, HITECH, PCI, COBIT, NIST e FTC, ou seja, inclui os requisitos mais recentes em termos de normativas de segurança. Esta informação eu obtive em diversos sites e também no site da Beyondtrust https://www.beyondtrust.com/wp-content/uploads/tb-mapping-beyondtrust-solutions-to-hitrust-requirements.pdf?1498073651.
Coloco esta informação neste blog primeiro para demonstrar que as informações pessoais estão em todo lugar, até nos lugares menos prováveis; e em segundo, para colocar um exemplo de uma normativa que eu desconhecia e que espero que todos os grandes centros de saúde estejam olhando e se preparando para seguir.