Vazamentos de dados aumentaram 493% no Brasil, segundo pesquisa do MIT

Dados talvez sejam, hoje, o commodity mais desejado na era digital; o efeito prático decorrente deste fato é que, quanto maior o volume de dados “controlados” por determinada pessoa ou empresa, maior o poder que ela exercerá em uma economia movida a dados. Por conta disso, os vazamentos de dados decorrentes de incidentes de segurança e de usos ilegais desses dados na deep web têm se tornado cada vez mais frequentes, principalmente no Brasil.

Uma pesquisa recente do Massachusetts Institute of Technology (“MIT”) publicada no Journal of Data and Information Quality da ACM (Association for Computing Machinery) aponta que vazamentos de dados aumentaram 493% no Brasil, sendo que mais de 205 milhões de dados de brasileiros vazaram de forma criminosa em 2019. Em número de incidentes relevantes, o país saltou de 3, em 2018, para 16 em 2019, de acordo com a pesquisa.

Esses dados contemplam os dois megavazamentos noticiados recentemente pela empresa de segurança cibernética PSafe, ocorridos no Brasil: (i) um envolvendo 223 milhões de CPFs, contendo dados de pessoas vivas e falecidas, como identidades e datas de nascimento, bem como informações de 104 milhões de veículos e de 40 milhões de empresas, como CNPJ, razão social, nome fantasia e data de constituição; e (ii) outro que revelou informações detalhadas de 140 milhões de pessoas, como telefone, formação acadêmica, salário, endereços, se a pessoa mudou de cidade e fotos. As informações ficaram expostas durante meses ou anos, e não é possível saber quantas vezes foram compartilhadas e vendidas.

O que se sabe até agora é que esses dados faziam parte de esquemas de venda de dados para trocas de informação na deep web e uso para fins criminosos; inclusive, a Psafe aponta que os criminosos podem usar os dados para vender bens, contrair dívidas, fazer saques indevidos de FGTS e cometer crimes, sem que o prejudicado saiba. Outro golpe que se tornou bastante frequente foi o do boleto fictício (de internet, telefone, IPVA ou IPTU, por exemplo), que é enviado aos consumidores com seus CPF, nomes e demais dados, sem que haja qualquer compra ou débito a ser quitado vinculado ao documento.

Outro fator de preocupação é que as empresas têm levado muito tempo para saber que tiveram seus bancos de dados comprometidos, o chamado “dwell time” ou tempo de exposição. Segundo o estudo do MIT, a média desse intervalo de tempo gira em torno de 250 dias, o que significa que o megavazamento de dados de 223 milhões de CPFs poderia ter acontecido, na verdade, em 2019.

Vale destacar que, ainda que o ponto focal da discussão sejam as pessoas físicas lesadas em razão dos vazamentos e como identificar os responsáveis, as empresas são igualmente vítimas dos hackers, de forma que sofrem sequestros de dados, phishing direcionado, ou spear phishing, e navegações de serviço com a geração de milhares de tentativas simultâneas de acesso para invasão do website ou da rede corporativa. Tais eventos impactam não somente a reputação das empresas, mas também a continuidade dos seus negócios e a confiança dos consumidores nas marcas.

Diante disso, a pergunta que se coloca é: considerando a multiplicidade de reflexos negativos para a sociedade decorrentes desses eventos, quem será responsável pelos danos causados aos titulares desses dados pessoais vazados?

O Brasil possui um arcabouço legislativo suficiente em matéria de segurança em ambientes cibernéticos, a despeito do fato de a Autoridade Nacional de Proteção de Dados ainda não ter regulamentações específicas atreladas a eventos como vazamentos de dados. Estamos caminhando no sentido de haver mais normas a respeito. O Decreto n° 9.936/2019, que regulamenta a Lei do Cadastro Positivo (Lei n° 12.414/2011), traz a necessidade de observância de aspectos técnico-operacionais, como a utilização de certificações de adequação de segurança dos sistemas e a elaboração de uma política de segurança da informação; no mesmo sentido, o Decreto n° 8.771/2016, que regulamentou o Marco Civil da Internet (Lei n° 12.965/2014), prevê o estabelecimento de controle escrito sobre o acesso aos dados, a previsão de mecanismos de autenticação, a criação de inventário detalhado dos acessos aos registos e o uso de solução de gestão dos registros. Ainda, vale observar que o Decreto n° 10.222/2020, que aprova a Estratégia Nacional de Segurança Cibernética (“E-Ciber”), se propõe a ser uma orientação do Governo Federal na área de segurança cibernética, cujas diretrizes deverão ser implementadas por parte dos órgãos e entidades da administração pública federal e poderão ser utilizadas como indicador de segurança informacional a ser adotado pela ANPD.

Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/2018 ou “LGPD”), que está em vigor desde 18 de setembro de 2020, reconhece a segurança como um dos princípios a serem observados por aqueles que exercem atividades de tratamento de dados pessoais; assim, de acordo com a LGPD, o princípio da segurança significa a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

No intuito de concretizar o princípio da segurança, a LGPD condiciona a responsabilidade e o ressarcimento de danos ao tratamento irregular de dados, assim compreendido como aquele que deixar de observar a legislação ou que não garantir os parâmetros de segurança que o titular pode esperar. Partindo dessas premissas, a LGPD determina que responderá pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no artigo 46 da LGPD, der causa ao dano.

Note-se, ainda, que a LGPD estabelece que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Nessa hipótese, os controladores diretamente envolvidos no tratamento do qual decorre o dano causado ao titular e o operador, se descumpriu as obrigações da legislação de proteção de dados ou não tiver seguido as instruções válidas do controlador, responderão solidariamente.

De outro lado, a LGPD prevê que os agentes de tratamento não serão responsabilizados quando provarem que (i) não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros. Colocado de maneira simples, caso a empresa consiga comprovar que toma todas as medidas de segurança eficientes e razoáveis previstas na legislação e que o vazamento de dados se deu em razão da ação de um hacker, que não era possível de ser antecipada pela empresa, nos termos da LGPD, ao menos em tese, a empresa seria isenta de responsabilidade. Ressalte-se, no entanto, que a aplicação dessas hipóteses ainda é tema nebuloso nos tribunais brasileiros, de forma que a interpretação da lei ainda está sujeita à casuística.

Entretanto, pode acontecer de não existirem meios de identificar de qual organização os dados vazaram e, como consequência, não ser possível atribuir a responsabilidade pelo vazamento a um controlador ou a um operador, como ocorreu no recente megavazamento de dados, justamente porque teve sua origem na deep web, o que inviabiliza a identificação do detentor dos dados. Nesse caso, a pessoa que se sentir lesada pelo vazamento de dados, ao invés de contatar a organização diretamente, deverá encaminhar a reclamação à ANPD, para que seja investigado o caso.

Fato é que, uma vez identificados os agentes de tratamento e apurados os vazamentos de dados, a LGPD prevê sanções pelo descumprimento de suas disposições, que vão desde uma simples advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões. Todavia, ainda que identificados os responsáveis pela coleta indevida e vazamento dos dados pessoais, as referidas penalidades apenas poderão ser aplicadas a partir de 1° de agosto de 2021, por força da Lei n° 14.010/2020. Neste momento, os responsáveis estarão sujeitos ao regime de responsabilidade previsto na legislação civil e consumerista, mas como visto, não é fácil identificar as fontes dos vazamentos, tampouco os agentes causadores de danos.

Essa realidade impõe que as empresas estabeleçam uma cultura de governança de dados e que adotem todas as medidas técnicas e administrativas para assegurar a integridade dos dados pessoais tratados durante a execução de suas atividades, por meio da implementação de mecanismos de notificação de incidentes e abusos, de segurança de contas e senhas, criptografia, cópias de segurança, ferramentas anti-malware, firewall e filtro anti-spam, bem como por meio da elaboração de políticas de segurança da informação, standards e guias de procedimento. Dessa forma, a gestão de dados tratados pelas empresas deverá ocupar uma posição prioritária dentro do compliance, inclusive em observância à conformidade da LGPD aos parâmetros de ESG (governança corporativa, social e ambiental).

Em contraponto, cabe igualmente aos titulares de dados redobrar a atenção quando à contratação e ao uso de serviços online (por exemplo, recebimento de e-mails, realização de transações financeiras em aplicativos de banco no celular), no intuito de validar se aquela informação é verdadeira, não fornecer dados além do necessário e não navegar em sites que não sejam seguros.

Fabio Luiz Barboza Pereira

Sócio de Tecnologia da Informação e Proteção de Dados & Privacidade do Veirano Advogados

Cecília Alberton Coutinho Silva

Assistente Jurídico de Tecnologia da Informação e Proteção de Dados & Privacidade do Veirano Advogados

_____________________________

A opinião do colunista não reflete necessariamente a de Você S/A ou do Grupo Abril. 

• Mais lidas

1

Desenvolvimento pessoal

5 indicações de livro das pessoas mais ricas do planeta

2

Carreira

Quais as novas regras para tirar férias, segundo a Reforma Trabalhista

3

Carreira

7 dicas para virar um ninja das entrevistas de emprego

4

Desenvolvimento pessoal

Quer ser mais feliz? Comece pensando menos em si mesmo

5

Finanças pessoais

Casais devem fazer a gestão da grana juntos ou é cada um por si?

• Cadastro Positivo
• Crimes digitais
• LGPD
• Marco Civil da Internet