06/02/2021 às 20h20min - Atualizada em 06/02/2021 às 20h20min

O 'megavazamentos' de dados

André Lobato. Foto:Arquivo/Pessoal
Olá meus amigos, e na minha coluna “Emdireito” de hoje, o tema não poderia ser diferente: o megavazamento referente a dados de agosto de 2019, e descoberto no fim do mês de janeiro, inclui dados como nome, CPF, fotografia, salário, renda, nível de escolaridade, estado civil, pontuação de crédito, endereço, entre outros que tem sido divulgado e comercializado na internet, inclusive de altas autoridades do Executivo, legislativo e Judiciário. 

Essas informações sensíveis de 223 milhões de brasileiros foram hackeadas e leiloadas na “deepweb” e pode estar nas mãos de criminosos. Você pode estar se perguntado, mas hoje o Brasil, segundo estimativa do IBGE, possui pouco mais de 217 milhões de habitantes, como foram vazados dados de mais pessoas que de habitantes? Bem meus amigos, isso ocorreu devido aos vazamentos de dados de mais de 100 milhões de brasileiros mortos, mesmo assim quase todos nós tivemos nossos dados usurpados e expostos.
Embora já esteja em vigor no Brasil a LGPD, que é um marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais, ou seja, é a legislação que regula as atividades de tratamento de dados pessoais, devido a este vazamento já quase não tem o que proteger.

Segundo Altieres Rohr, fundador de um site especializado na defesa contra ataques cibernéticos: “ Os megazamentos de dados revelados recentemente que expuseram a privacidade de milhões de brasileiros também escancararam os efeitos do atraso na adoção de uma lei que proteja essas informações no Brasil.”

É sabido que, embora a Lei Geral de Proteção de Dados (LGPD) esteja em vigor desde o ano passado, a Agência Nacional de Proteção de Dados (ANPD), que é responsável pela fiscalização, ainda não está funcionando de fato. O órgão está constituído, mas ainda não publicou nenhuma das regulamentações previstas em lei. De qualquer forma, a agência não poderia aplicar multas antes de agosto de 2021, por decisão do Congresso.

Sobre isso Altieres Rohr diz: “É claro que esse cenário não é culpa da ANPD, que existe há apenas dois meses. De fato, o Brasil passou a década de 2000 observando a web crescer, sem aprovar qualquer regulamentação efetiva para a internet ou para sistemas eletrônicos.”

Pois bem, a Lei Geral de Proteção de Dados (LGPD) tinha como justificativa o crescimento vertiginoso do uso da internet por nós, brasileiros, conforme explicitado no site da Agência Senado, vejamos: 

“Com o crescimento do acesso à internet via telefone celular, de 60,3% dos domicílios em 2016 para 69% em 2017, cresce também a utilização desse instrumento para compras, pagamentos e homologações, além de navegação pelas redes sociais. Logo, o consumidor fica mais exposto ao fornecer número de CPF, telefone, endereço e outros dados pessoais, que podem ser utilizados de forma inadequada. A LGPD garante ao titular dos dados a possibilidade de verificar as condições de segurança oferecidas por quem os coletou por meio da exigência de um relatório.
(...)
Segundo o Instituto Brasileiro de Geografia e Estatística (IBGE), 70,5% dos domicílios estavam conectados à rede em 2017. Em 92,7% das residências, pelo menos um morador possuía telefone celular, enquanto o telefone fixo era encontrado em apenas 32,1% — um sinal de queda na privacidade.

(...)
O texto traz o conceito de dados sensíveis, que recebem tratamento diferenciado: sobre origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.”

Para alguns especialistas em segurança já avaliam que o megavazamento de dados de 223 milhões de brasileiros pode ser o maior do mundo até hoje. Mas não existe métrica para isso.

O especialista Altieres Rohr se manifesta: “É verdade que hackers já ofereceram ou obtiveram pacotes maiores, mas um vazamento que expõe senhas ou cartões de crédito, que são informações substituíveis, é diferente de outro que traz informações pessoais – como documentos, datas de nascimento e histórico financeiro. Os dados expostos no vazamento brasileiro são desse segundo tipo. A falta de qualquer regra ou limite para a guarda de dados no Brasil, aliada ao excesso de burocracia, sempre incentivou que empresas e órgãos do governo mantivessem todos os dados possíveis – inclusive os que não eram necessários. Aos poucos, pequenos vazamentos foram se somando a outros maiores, gerando grandes coleções de dados.”

Ao mesmo tempo, continua o especialista em cybersegurança, “o Brasil construiu uma burocracia muito dependente do número do Cadastro de Pessoa Física (CPF). Como o número do Registro Geral (RG) não é único (é possível ter um em cada estado), o CPF se tornou a identidade nacional: é obrigatório para enviar um presente pelos Correios (na Declaração de Conteúdo), para abrir uma conta bancária ou para declarar seu imposto de renda. Os diversos outros números de identificação do Brasil (como CNH ou título de eleitor) são, no fim, associados às mesmas informações do CPF.”

Assim, se uma empresa pode verificar um CPF, todos que tiveram acesso aos dados dessa empresa – inclusive os hackers – também poderão. o problema se retroalimenta: empresas precisam de mais dados para identificar os clientes e evitar fraudes, mas esses dados, quando são extraviados, colaboram com fraudes ainda mais sofisticadas.

O Preço dessas fraudes já estão sendo pago, conforme relata o especialista: “pode ser difícil de perceber, mas nós sabemos onde ele está: a compra com cartão de crédito recusada sem motivo (e mais cara que no boleto, para compensar o risco de fraude), o WhatsApp roubado, as cobranças não autorizadas e até as filas das agências dos bancos, que muitas vezes são obrigados a exigir nossa presença para compensar o risco do roubo de identidade.”

No dia 25 de janeiro, a Secretaria Nacional do Consumidor (Senacon) notificou a empresa dando 15 dias para explicações sobre origem dos dados. A Serasa nega que seja a fonte dos dados. 

Já no dia 28 de janeiro o Procon-SP notificou a Serasa pedindo explicações sobre esse megavazamento de dados, por sua vez a empresa nega que seja a fonte dos dados.  O Procon-SP disse, em seu site oficial, que ainda que procura saber qual a finalidade e a base legal para o tratamento de dados pessoais pela Serasa Experian, bem como a política de descarte desses dados, por quanto tempo e por qual motivo ficam armazenados. 

As penas previstas no Código de Defesa do Consumidor podem chegar a R$ 10 milhões. 

Já as sanções previstas pela Lei Geral de Proteção de Dados (LGPD) podem chegar a R$ 50 milhões, mas só podem ser aplicadas a partir de agosto. 

E você leitor, quer saber mais informações sobre esse e outros assuntos relacionados ao direito, a inovação e ao mercado de trabalho para bacharéis em Direito? Visite o meu site: www.emdireito.com.br e assine a nossa newsletter, ou então, deixe seu comentário nas minhas redes sociais no Instaram, Facebook e YouTube (@andrelobatoemdireito), 

Até domingo que vem!
Relacionadas »
Comentários »