MEGAVAZAMENTO: NOSSOS DADOS ESTÃO REALMENTE PROTEGIDOS?

Área do Direito: Digital

Primeiramente, a boa notícia é que temos LGPD! Com a lei em vigor, foi dada a largada para que as instituições públicas e privadas precisem ficar em conformidade. Mesmo aqueles mais incrédulos, que esperaram até o último minuto para ver se a lei iria ou não realmente emplacar, agora precisam correr, pra não ficarem atrasados no cronograma, visto que as multas passam a valer a partir de 1º. de agosto de 2021.

Mas mais que fazer a lei, é preciso conseguir alcançar a cultura da proteção de dados. E como conseguimos isso? Por certo, não é uma tarefa fácil, visto que ainda em praticamente todos os países que já possuem legislação semelhante ainda ocorrem violações e incidentes.

No caso do Brasil, o desafio será provavelmente muito maior, considerando o contexto da dimensão do país, além de toda a sua complexidade quando analisamos como hoje é feito o compartilhamento de dados entre a iniciativa pública e a privada. Além disso, devemos considerar que a nova regulamentação traz elevados custos de adequação para startups e pequenas empresas, o que pode impactar o ecossistema de negócios.

Sendo assim, apesar de termos ficados perplexos com a abrangência do megavazamento de informações que é tido como o pior da história brasileira, este não será nem o primeiro caso nem o último que teremos que enfrentar.

Mas há algumas coisas muito importantes que devemos aprender com este incidente:

Definir claramente a cadeia de comando: a quem cabe o dever de alerta da população sobre o que fazer em casos como este?

Ter uma atuação rápida das Autoridades competentes para responder em situações emergenciais de grandes proporções e impacto, ou seja, saber lidar com catástrofes de dados (catástrofes digitais) assim como devemos saber lidar com catástrofes naturais

Investigar com afinco, dedicar equipe e recursos para conseguir descobrir a origem do evento de maneira a não apenas poder conter e neutralizar mas principalmente evitar a sua recorrência ou reincidência

Responsabilizar os envolvidos e aplicar um plano de ação de mitigação de danos

Mesmo sem saber ainda quem são os responsáveis, o caso é bastante emblemático, já que envolve uma base valiosa e delicada, com documentos, fotos e até o comportamento de compra de brasileiros- o que supostamente deveria ser guardado a sete chaves. Mais que isso, envolve não apenas adultos, mas crianças, pessoas vivas e até pessoas já falecidas. Pior de tudo, gera efeitos danosos tanto diretamente aos titulares como a terceiros, devido às consequencias relacionadas ao aumento potencial da fraude e outros crimes lesivos à sociedade (falsidade documental, falsa identidade, estelionato, extorsão, entre outros).

Este evento nos mostra que a proteção de dados é mais que uma regulamentação para proteção da privacidade e garantia da transparência, mais que proteção da reputação e do patrimônio, ela é um escudo essencial de credibilidade e confiabilidade das informações pessoais dos cidadãos, para preservação da segurança jurídica das relações.

Voltando ao vazamento, as informações são tantas que foram divididas em 37 categorias, como escolaridade, poder aquisitivo, score de crédito, cheques sem fundos, entre outros. São dados pessoais de 223 milhões de brasileiros que estão sendo comercializados na dark web. Nesse tipo de ataque é comum o hacker monetizar uma parte das informações e depois vazá-las na internet. Mas como um banco desses foi criado? Trata-se de um caso muito grave que mostra nossa ineficiência para lidar com vazamentos de grandes proporções.

Aqui fica uma questão: qual a nossa capacidade de agir? Como nosso poder de polícia em colaboração com a nova autoridade ANPD podem efetivamente socorrer o cidadão brasileiro que foi exposto na dark web? Talvez tenhamos que tomar decisões difíceis, mas necessárias, para restabelecer a confiança nos dados pessoais: cancelar a validade dos dados vazados e fazer uma nova emissão segura. Isso seria possível? Quem pode dar a canetada?

Curioso que, com tudo isso, uma pessoa que teve seu dado vazado vai acabar ainda sofrendo eventual discriminação em um algoritmo de análise de crédito que vai considerar seu ranking de risco elevado (visto que alguns parâmetros consideram este como um fator de incremento de risco).

Por certo, não fazer nada é inaceitável. Precisamos priorizar a proteção de dados, alocar orçamento, investir em capacitação e campanhas educativas. Prevenção é fundamental, mas saber agir na resposta do incidente é tão importante quanto.

Além das corporações envolvidas, as autoridades devem agir imediatamente para evitar ainda mais danos aos brasileiros. Novamente, o que aprendemos com este evento? Como vamos melhorar nossa segurança nos ambientes que geram mais vulnerabilidades: APIs, Home Office, Mobilidade (Celulares), nas Aplicações Web? Quando vamos de fato exigir mais o uso de senha segura? Será que segurança deveria vir de fábrica? Por que não vem já embarcado nos dispositivos com exigência para ter fator duplo de autenticação, como fizemos com o cinto de segurança no carro? Até quando vamos permitir a “desculpa” de que o “elo mais fraco é o usuário”. Já temos tecnologia suficiente para proteger mais o usuário de forma automatizada, basta que isso seja uma exigência legal, para que os fabricantes tenham que cumprir, assim como provedores de conexão e aplicação.

Talvez o processo de mudança seja demorado, mas ele terá que ocorrer. A questão é: a que custo? Quanto estamos dispostos a pagar para conseguirmos realizar a transformação tão necessária para um Brasil Digital sustentável e seguro?

A LGPD precisará ter um grande rigor por parte da fiscalização, até para prestigiar aqueles que estão cumprindo com a lei e retirar dos que não estão cumprindo sua parcela de contribuição financeira, através de punição exemplar que dê suporte aos programas de conformidade e educação. A destinação do uso do valor arrecadado com as multas terá uma grande valia em todo este processo de adequação.

Sempre haverá a nova ameaça para a qual não nos preparamos, por isso a LGPD traz como requisito na avaliação do juízo de gravidade de incidente por parte da Autoridade Nacional ANPD, no artigo 48, a ampla divulgação do fato nos meios de comunicação (cumprir com o dever de aviso, alerta, report), medidas para reverter ou mitigar os efeitos do incidente e a eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços.

Por último, só é possível considerar que foi implementado um programa de governança em privacidade que no mínimo conte com plano de resposta a incidente e remediação, conforme previsto pelo artigo 50 da LGPD. Pelo visto, ainda temos muito dever de casa a fazer.

Mais uma vez é preciso investir em cibersegurança e avançar nas proteções legais, pois é evidente que estamos frágeis. Agora precisamos ter plano e prazo. E como dizem: cumprir a execução. Mais que fazer a lei, precisamos executar a lei.

Patricia Peck Pinheiro

Advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança. Graduada e Doutorada pela Universidade de São Paulo, PhD em Direito Internacional. Pesquisadora convidada do Instituto Max Planck de Hamburgo e Munique, e da Universidade de Columbia nos EUA. Professora convidada da Universidade de Coimbra em Portugal e da Universidade Central do Chile. Professora convidada de Cibersegurança da Escola de Inteligência do Exército Brasileiro. Advogada Mais Admirada em Propriedade Intelectual por 14 anos consecutivos (2007 a 2020). Recebeu o prêmio Best Lawyers 2020, Leaders League 2020 e 2019, Compliance Digital pelo LEC em 2018, Security Leaders em 2012 e 2015, a Nata dos Profissionais de Segurança da Informação em 2006 e 2008. Condecorada com 5 medalhas militares, sendo a Medalha da Ordem do Mérito Ministério Público Militar em 2019, Ordem do Mérito da Justiça Militar em 2017, Medalha Ordem do Mérito Militar pelo Exército em 2012, a Medalha Tamandaré pela Marinha em 2011, a Medalha do Pacificador pelo Exército em 2009. Presidente da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP. Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP. Professora e coordenadora de Direito Digital em várias Instituições de Ensino. Autora/coautora de 29 livros de Direito Digital. Sócia do escritório PG Advogados, da empresa de educação EDOOKA e Presidente do Instituto iStart de Ética Digital. Programadora desde os 13 anos. Certificada em Privacy e Data Protection EXIN.

#artigo #lgpd #dados #vazamento #leigeraldeprotecaodedados #advocacia #direito #natalrn