O artigo do Doutor Gilberto de Almeida trata esse mês da proteção dos dados dos clientes. Um dos casos mencionados é o caso do ENEM, em que houve falha na proteção aos dados do cliente, o que prejudicou 4,1 milhão de estudantes brasileiros, comprometendo a imagem do INEP, que coordena o exame, e do Ministério da Educação.

CONTEXTO ATUAL

No final de 2008 o comitê ISO (International Standardization Organization) publicou atualização da norma ISO 9001. Foi incluída uma novidade: a nota esclarecendo que “dados” pertencentes ao cliente devem ser considerados como sua propriedade e, portanto, protegidos e salvaguardados pelos fornecedores que têm acessos a esses dados.

Como que para demonstrar na prática a importância desse cuidado com os dados do cliente, pudemos conferir no noticiário deste mês, um caso que rapidamente se tornou emblemático a respeito da (falta de) proteção aos dados do cliente: o vazamento das provas do Exame Nacional do Ensino Médio (o ENEM). Esse vazamento comprometeu a imagem do INEP, que coordena o exame, do Ministério da Educação, prejudicou cerca de 4,1 milhão de estudantes brasileiros e culminou com o envolvimento da Gráfica responsável pela impressão das provas numa situação escandalosa.

O objetivo deste artigo é exatamente oferecer uma oportunidade para reflexão sobre a extensão e os impactos desse assunto tão relevante do ponto de vista do cliente, e tão atual.

A EXTENSÃO DO PROBLEMA

O caso do ENEM é uma faceta da questão que envolve a propriedade do cliente. Trata-se de um cliente governamental e de dados obviamente confidenciais que “vazaram” num veículo impresso.

No entanto, a complexidade que envolve esse assunto é maior. Por exemplo: nem sempre os dados que devem ser protegidos são tão obviamente confidenciais. Aliás, nem sempre os dados são confidenciais, mas ainda assim deveriam ser protegidos contra perda ou dano. Além disso, a despeito do que aconteceu no caso do ENEM, que envolveu a quebra de sigilo de informação em meio físico, a informática, ao mesmo tempo que facilitou o armazenamento de dados introduziu no mundo corporativo dificuldades adicionais quanto à segurança desses mesmos dados.

Essa evolução da informática, naturalmente, incluiu a possibilidade de armazenar e recuperar uma enorme quantidade de informações pessoais dos clientes, utilizadas para diversas finalidades pertinentes a cada ramo de negócios.

Inicialmente, dados referentes à idoneidade comercial dos clientes eram mantidos como regra por grande número de organizações. A evolução do mundo dos negócios e a competitividade introduziram práticas mais agressivas de marketing e o CRM (“Customer Relationship Management”). Bancos de Dados poderosos passaram a ser alimentados com uma infinidade de dados dos clientes, incluindo desde a data do seu aniversário até seus gostos pessoais e informações familiares.

Com o advento das transações de compra e venda via internet, dados pessoais como número de cartão de crédito, CPF e outros passaram a ser exigidos para cadastro do cliente.

Faz sentido imaginar que ao estender o leque de informações de clientes, as organizações aumentassem em paralelo o grau de segurança sobre essas informações. Mas ampliar o controle na proporção em que se amplia a posse dos dados dos clientes não foi tão simples assim e, como conseqüência, a adequada segurança desses dados ainda não é o que se vê na prática.

Recentemente, a miniaturização dos equipamentos de processamento e armazenamento de dados, como celulares, palmtops e notebooks, bem como de mídias de transporte de dados, como os “pen-drives”, possibilitou que as informações sobre os clientes, anteriormente fisicamente restritas ao interior das empresas, agora circulassem, junto com seus portadores, através de ambientes públicos e que, portanto, ficassem sujeitas à exposição a terceiros.    A própria internet, da mesma forma que facilitou a entrada de dados de clientes para o interior das organizações, é um meio que permite o extravasamento de dados pessoais para fora delas, com a particularidade de que, para isso, não é necessário sequer o transporte físico de dados para fora das instalações.

Esse crescimento da capacidade de armazenamento de dados, da avidez das organizações por obtê-los, e da facilidade de transportá-los e comunicá-los tem um enorme potencial de produzir conseqüências adversas para os consumidores em todo o mundo.

Além disso, existem cada vez mais freqüentemente, situações em que as informações não precisam sair da organização ou estarem conectadas à internet para que corram risco de apropriação indevida. Como uma providência sadia para os negócios, as organizações estão cada vez mais concentradas no seu ramo de atuação principal e deixando atividades de apoio para prestadores de serviço subcontratados. Esses prestadores circulam pelas instalações e, não raramente, têm a oportunidade e os meios para acesso a informações de clientes. É fácil imaginar, por exemplo, o problema de segurança representado por um desenvolvedor de software que precisa ter acesso a uma base de dados de clientes num servidor da organização, mas o problema não é menor se considerarmos o pessoal que realiza a manutenção do ar condicionado e circula pelo Departamento Financeiro, por exemplo.

Como se não bastassem as preocupações referentes à confidencialidade, a questão da salvaguarda dos dados dos cliente e de sua proteção contra a perda ou dano é um outro assunto que impõe a necessidade de cuidados. Especialmente em casos onde o fornecedor é o único depositário de tais informações. Isso é o que acontece, por exemplo, com os prontuários de pacientes em instituições de saúde, com as informações e notas dos alunos nas instituições de ensino, ou em quaisquer outras situações onde o fornecedor obtém informações originais das quais o cliente não possui uma cópia. Imagens de segurança, projetos, comunicações gravadas e documentos originais deixados sob a guarda do fornecedor são outros exemplos desses casos.

APROFUNDANDO A DISCUSSÃO

A necessidade de salvaguarda dos dados do cliente, por um lado é fato conhecido e amadurecido em alguns segmentos, como é o caso da área da saúde e da advocacia. Por outro lado, essa questão é virtualmente ignorada por um número de organizações e, mesmo para aquelas que perceberam a necessidade de segurança desses dados, o estabelecimento de medidas práticas para proteger e evitar a quebra de confidencialidade tem demonstrado ser insuficiente.

As mudanças rápidas que ocorreram no ambiente de negócios, sobretudo mudanças na área da tecnologia da informação, da comunicação e nas características operacionais dos negócios, como a prática crescente do “outsourcing” e subcontratação em geral, exigem que as empresas se preparem para um novo patamar de medidas de segurança, onde a proteção a informações privadas do cliente deveria ser assumida como compromisso.

As empresas e o governo estão atrasados nesse assunto. No Brasil, o Código de Defesa do Consumidor é insuficiente nessa matéria e, o máximo que faz, é assegurar ao cliente a possibilidade de corrigir ou alterar seus dados cadastrais, quando incorretos. Mas a questão quanto à confidencialidade das informações ou sua proteção contra perda ou dano não são sequer abordadas.

Algumas organizações estão se adiantando à regulamentação e conduzindo um tipo de auto-regulamentação, publicando, por exemplo, políticas de privacidade em seus endereços de Internet, desenvolvendo os chamados sites “seguros”, entre outras providências que pretendem dar ao cliente alguma sensação de segurança nas suas transações eletrônicas. Embora essas medidas, sem a contrapartida de providências de segurança internas adequadas, não resolva o problema, é um sinalizador de que a relevância da questão está sendo considerada.

Esse movimento para a segurança das informações deve continuar, motivado pela própria pressão exercida pelos clientes no mundo dos negócios. O preocupante nesse assunto é que em geral é muito simples e muito fácil “vazar” uma informação ou danificar uma base de dados. Uma conversa escutada por um fornecedor, um “pen-drive” à disposição, ou a mera existência de uma oportunidade podem ser o suficiente para causar um grande estrago. As organizações deveriam discutir seriamente esse problema e tomar ações eficazes de segurança; não ações meramente paliativas. Está aí o caso do ENEM para nos lembrar da seriedade do assunto!

Dr. Gilberto Almeida é auditor líder de sistemas de gestão da qualidade pela SGS (Société Générale de Surveillance), também é sócio diretor da GDA-Consultoria Médico Patologista Clínico pela USP-SP a SBPC-ML.