Título: Jogadas com dados alheios
Autor: Casemiro, Luciana; Setti, Rennan
Fonte: O Globo, 04/05/2011, Economia, p. 30

Ministério da Justiça notifica Sony a prestar esclarecimento sobre vazamento de dados de usuários da rede

VAGNER OLIVEIRA usuário da rede PlayStation ainda está com os serviços suspensos

O Departamento de Proteção e Defesa do Consumidor (DPDC), do Ministério da Justiça (MJ), notificou a Sony Brasil a prestar esclarecimento sobre o vazamento de dados dos usuários das redes PlayStation Network (PSN) e Qriocity que completam duas semanas hoje. No ofício, obtido com exclusividade pela ¿Defesa do Consumidor¿, enviado ontem à empresa, o DPDC pede que a Sony informe quais os dados que vazaram, o número de clientes que foram vítimas da falha de segurança e quantos são brasileiros. O departamento quer ainda que a companhia japonesa esclareça quanto tempo após ter tomado conhecimento do vazamento de dados comunicou os usuários brasileiros e se eles receberam informações sobre como evitar possíveis danos. As modificações que serão adotadas pela Sony para evitar futuros vazamentos também precisam ser informadas ao MJ.

¿ A nossa intenção é mapear qual a extensão do vazamento de dados e o quanto afeta os brasileiros. Precisamos saber como reivindicar o ressarcimento de danos e prevenir futuros problemas. O vazamento de dados já é bastante comum. Por esse motivo, o projeto de lei de Proteção de Dados tem artigo específico sobre o tema ¿ ressalta Danilo Doneda, gerente-geral de Supervisão e Controle do DPDC.

A PSN, rede gratuita que permite aos donos do console Playstation 3 e do portátil PSP jogarem entre si e baixar games, foi retirada do ar pela Sony em 20 de abril porque havia sido invadida por hackers dias antes. No dia 27, a Sony comunicou que os criminosos tiveram acesso aos dados privados (e, possivelmente, aos de cartão de crédito também) dos 77 milhões de usuários da PSN. Representantes da companhia só se posicionaram publicamente 12 dias após o ocorrido. Até agora, a rede permanece fora do ar. Ontem, uma nova invasão atingiu 24 milhões de usuários da Sony.

Caso mostra urgência de lei específica para proteção de dados

O caso rendeu à Sony processos movidos por usuários e o escrutínio global por agências reguladoras. O grupo de pesquisas em segurança The Ponemon estimou que o prejuízo total da empresa com a #SonyEpicFail (falha épica da Sony, como internautas apelidaram) será de US$24 bilhões.

O analista de sistema Luis Henrique de Carvalho, de 37 anos, que participa de campeonatos pela rede da Sony, percebeu em fóruns de internet que não se tratava só de uma suspensão rotineira para manutenção da PSN:

¿ Qualquer rede está sujeita a ataques, mas o que houve foi um desrespeito. A única notificação oficial que os usuários receberam foi um e-mail dias depois do ocorrido ¿ disse Carvalho, que não pensa em processar a Sony por causa ¿do tamanho da empresa¿.

Vagner Oliveira, de 24 anos, um usuário Plus da PSN ¿ ou seja, paga para ter vantagens na rede, como prévias exclusivas de jogos ¿ viajou para São Paulo e também foi frustrado nos seus planos para o feriadão:

¿ Por causa da falha, não pude acessar os games salvos na nuvem nem testar novos títulos lançados, o que limitou nossa diversão ¿ diz Oliveira, que gasta cerca de R$600 por ano com jogos e downloads.

Como a PSN não está disponível para brasileiros, os usuários daqui são obrigados a cadastrar endereços falsos de outros países e utilizar cartão de crédito estrangeiro ou pré-pago da PSN. Por causa da ¿gambiarra¿, muitos gamers concluem que não cabem ações ou reclamações contra a Sony.

¿ Para mim, essa noção não procede. A Sony sabe que há brasileiros jogando e não se importa com isso ¿ diz Arthur Protasio, coordenador do CTS Game Studies da FGV-RJ.

O advogado Guilherme Varella, do Instituto Brasileiro de Defesa do Consumidor (Idec), ressalta que, mesmo que o internauta tenha informado endereço errado ao sistema, tem direito a requerer indenização:

¿ Isso não exime a empresa, que tem responsabilidade sobre a veiculação de dados, verdadeiros ou falsos.

Foi encerrada na última semana a consulta pública do projeto de lei (PL) apresentado pelo Ministério da Justiça sobre o tema. Nos próximos dias, as contribuições serão compiladas, discutidas internamente no governo e, em seguida, o projeto vai ao Congresso. Nos bastidores, a preocupação é de que o PL seja aprovado em sua totalidade para garantir a proteção efetiva dos dados pessoais dos brasileiros. O temor é de que a pressão de empresas que não querem arcar custos maiores de segurança, pode levar a alterações no PL e a maior fragilidade na proteção aos consumidores.

Leonardo Palhares, coordenador jurídico da Câmara de Comércio Eletrônico, lembra que apesar da privacidade ser um direito constitucional, a falta de regras claras e específicas dificulta o cumprimento:

¿ Existe um limbo jurídico que dá às empresas algum grau de liberdade de negociar dados cadastrais, cruzar informações. O caso da Sony é simbólico, não pelo vazamento de dados ser novidade, mas por ser um grande player. Há dificuldade de fazer provas, de estabelecer o nexo de causalidade.

Especialista diz que fraude com cartão é só um dos riscos

Para Ricardo Morishita, professor de Direito do Consumidor da FGV e ex-diretor do DPDC, o episódio da Sony mostra a urgência de uma lei específica para proteção de dados:

¿ O nosso projeto de lei é excepcional, absolutamente adequado a esse caso, por exemplo. A lei vai deixar claro como a empresa deve agir e dar instrumentos de proteção adequados ao consumidor. O avatar lhe dá identidade virtual, seus dados físicos e financeiros lhe dão dimensão na realidade. Por isso, devemos dar maior atenção a informação de nossos dados e o uso que é feito deles.

Fábio Assolini, analista de segurança da Kaspersky, diz que o usuário pode fazer pouco para se proteger desse tipo de falha e acrescenta:

¿ O prejuízo em ataques como esse não se resume a fraudes no cartão de crédito. Os usuários se tornam vítima mais fácil de e-mails falsos, que podem usar seus próprios dados pessoais, para fazer o internauta fornecer outras informações estratégicas. Como muitos usam a mesma senha para vários serviços, ao invadir uma rede, pode-se acabar abrindo várias outras portas.

Procurada, a Sony no Brasil não comentou o assunto.