A Federal Communications Commission (FCC) publicou um Aviso de Proposta de Regulamentação (NPRM) para iniciar o processo de revisão das regras de notificação sobre violações envolvendo dados dos clientes. Se as propostas se tornarem lei, eliminarão o período de espera, fazendo com que os clientes sejam notificados imediatamente após as empresas de telecomunicações detectarem violações de dados, a menos que as autoridades federais recomendem o contrário.
Além disso, as operadoras de telecomunicações devem notificar os clientes sobre todas as violações inadvertidas e divulgar todas as violações de dados reportáveis à FCC, FBI e Serviço Secreto dos EUA. A proposta também redefinirá “violações de dados” para incluir exposições inadvertidas de dados, não apenas hacks externos.
De acordo com a presidente da FCC, Jessica Rosenworcel, as leis de notificação de violação de dados devem proteger adequadamente as informações confidenciais dos clientes diante do aumento da frequência e sofisticação das violações de dados.
Ela alertou que as leis atuais de notificação de violação de dados estão desatualizadas em um mundo onde as operadoras armazenam informações que podem identificar pessoas, sua localização e as pessoas com quem entram em contato. Alguns estados, como a Califórnia, têm leis de notificação de violação de dados mais modernas do que o governo federal.
Se aprovadas, as regras de notificação da FCC espelham o Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) da CISA, que exige relatórios dentro de 72 horas a partir do momento em que a organização acredita razoavelmente que o incidente ocorreu.
Questões não resolvidas nos regulamentos propostos
Os regulamentos propostos ainda permitem que as agências federais de aplicação da lei impeçam as empresas de telecomunicações de notificar os clientes por 30 dias para evitar comprometer a segurança nacional ou as investigações em andamento.
Assim, a FCC deseja saber se um período de relatório fixo deve existir e se as transportadoras menores devem ter mais tempo para relatar. Além disso, o órgão quer saber se as notificações de violação de dados devem incluir informações específicas, como a natureza dos dados vazados, para ajudar as vítimas na prevenção do roubo de identidade.
Enquanto isso, a presidente da FCC acredita que a atualização das regras atuais de notificação de violação de dados reduzirá o impacto de tais violações de dados.
“Este novo procedimento dará uma nova olhada em nossas regras de relatórios de violação de dados para melhor proteger os consumidores, aumentar a segurança e reduzir o impacto de futuras violações”, disse Rosenworcel em comunicado publicado.
Embora seja improvável que as leis de notificação de violação de dados propostas parem os ataques, elas garantirão que os clientes possam responder a violações de dados em tempo hábil e proteger suas contas para reduzir o impacto das exposições de informações.
Ocorrência no Brasil
No Brasil, a operadora de telecomunicações Claro S.A. foi condenada a pagar multa de mais de R$ 10 milhões por diversas violações do Código de Defesa do Consumidor, entre as quais, o vazamento de dados cadastrais de clientes. A 1ª Câmara de Direito Público do Tribunal de Justiça de São Paulo manteve a decisão do juiz Evandro Carlos de Oliveira, da 7ª Vara da Fazenda Pública da Capital, para confirmar a multa imposta pela Fundação de Proteção e Defesa do Consumidor de São Paulo (Procon-SP).
O Procon instaurou, em 2020, processo administrativo contra a Claro por violações como ausência de informação de taxa de visita técnica, cobranças indevidas, inserção irregular do nome de clientes no serviço de proteção ao crédito, propaganda enganosa e vazamento de dados cadastrais. O processo administrativo resultou na cobrança de multa no montante de R$ 10.779.044,27.
