Ursula Ribeiro de Almeida. Artigo publicado no Conjur
Segundo notícia de meados de janeiro deste ano, o laboratório de segurança digital dfndr, da PSafe, identificou o vazamento de dados em massa que abrangia a divulgação de 223 milhões de CPFs (incluindo os de pessoas falecidas), 40 milhões de CNPJs e 104 milhões de registros de veículos. O megavazamento foi confirmado por outros especialistas e amplamente divulgado em razão da sua enorme proporção. Os dados de pessoas físicas vazados incluíram nome completo, número de RG e CPF, data de nascimento, fotos de rosto, score de crédito, renda, dados de imposto de renda, telefone celular, escolaridade, benefício do INSS e informação do LinkedIn. Quanto aos veículos, foi reportado o vazamento de chassi, placa, município, cor, marca, modelo, ano de fabricação e até tipo de combustível.
A fonte do vazamento está sendo investigada pela Polícia Federal, por determinação do Supremo Tribunal Federal, já que também foram vazados dados de Ministros da Corte e de outras autoridades da República. Antes mesmo da sua efetiva atividade, a Autoridade Nacional de Proteção de Dados (ANPD) enfrenta a cobrança da sociedade e de órgãos de defesa do consumidor para identificar a fonte das informações vazadas, que resultou na exposição de quase todos os brasileiros à ação de criminosos.
Quase um mês depois, em fevereiro, foi noticiado o vazamento de cem milhões de contas de celular, que abrangeria o número de telefone, nome completo do assinante da linha e endereço. O vazamento teria atingido quase metade da população do país. O novo caso também é investigado pela ANPD, com suporte da Polícia Federal.
Em março, a empresa de segurança da informação Syhunt reportou o vazamento de senhas de mais de dez milhões de brasileiros, que “foram compiladas e publicadas por um hacker no mesmo fórum onde outro hacker colocou à venda informações sobre milhões de CPFs e CNPJs no mês de janeiro”. O vazamento ocorrido em fevereiro abrange 3,28 bilhões de senhas de aproximadamente 2,18 bilhões de endereços únicos de e-mail, que foram disponibilizados gratuitamente.
No início do mês de abril se noticiou a exposição de dados de 553 milhões de usuários do Facebook em 106 países, incluindo o Brasil. Os dados vazados foram número de telefone, nome completo, localização, data de nascimento, login da rede social e, em alguns casos, endereço de e-mail. Segundo representante da rede social, o vazamento ocorreu em razão de uma vulnerabilidade corrigida em 2019.
Os especialistas em segurança da informação apontam que os dados vazados muitas vezes são comercializados ilegalmente na deep web e há alto risco de serem utilizados para prática de crimes contra os titulares de dados e empresas. Em vigor desde 18/9/2020, a Lei Geral de Proteção de Dados (LGPD) pode ser uma aliada dos titulares de dados e das empresas para se protegerem contra a ação de criminosos.
A entrada em vigor da lei trouxe à luz para o grande público a importância dos dados pessoais para o capitalismo informacional, cujo fato era conhecido por economistas há algum tempo, como relata reportagem da The Economist de 2017, replicada exaustivamente em inúmeros artigos acadêmicos.
O vazamento em massa dos dados pessoais e o risco de sua utilização por criminosos reforçam o valor dessas informações e a importância da sua proteção. Os três vazamentos recentes provocaram o aumento da preocupação da sociedade civil em adotar medidas para evitar a utilização de dados pessoais por criminosos.
Paralelamente ao aumento da preocupação dos titulares com a utilização dos seus dados pessoais, também há um grande risco para as empresas, principalmente para aquelas que comercializam produtos e serviços pela internet (e-commerce), pois cibercriminosos podem tentar utilizar os dados pessoais vazados para efetuar operações em nome dos titulares.
É recomendável e esperado o aumento da utilização de sistemas de segurança para operações financeiras com o objetivo de mitigar, o máximo possível, o risco de efetivação de transações por cibercriminosos. Os sistemas de segurança podem exigir a checagem de um grande volume de dados pessoais por meio de verificação em órgãos de proteção ao crédito, utilização de identificação facial, verificação de informações bancárias, etc.
Destaca-se que a LGPD é uma aliada da proteção ao crédito e da prevenção à fraude, pois permite o tratamento de dados pessoais e sensíveis com as referidas finalidades, independentemente do consentimento do titular. Assim, as empresas que comercializam produtos e serviços pela internet podem utilizar-se de diversos recursos disponíveis no mercado para coibir fraudes.
Vale ressaltar que a LGPD se insere no contexto geral de outras legislações que visam garantir a integridade do crédito, dentre as quais destacamos a Lei do Cadastro Positivo (Lei nº 12.414/2011), que disciplina os banco de dados com informações sobre adimplemento para formação de histórico de crédito de pessoas naturais e jurídicas; Lei de Lavagem de Dinheiro (Lei nº 9.613/98), que impõe às empresas que operam dados financeiros a adoção de política “know your client”, ou seja, identifiquem os seus clientes, com cadastro atualizado, e tenham registro de transações especificadas pela autoridade monetária competente.
Por fim, a adequada análise jurídica das operações efetuadas pela empresa e das medidas adotadas para proteção ao crédito permitirão que o tratamento de dados pessoais e sensíveis cumpra os direitos dos titulares em duplo sentido. Primeiro, ao fundamentar o tratamento de dados pessoais e sensíveis com base na LGPD e nas legislações correlatas, segundo, ao evitar que terceiros utilizem dados pessoais para prática de crimes em prejuízo dos titulares e da própria empresa.
