Por Danilo Fujita
No último dia 28/1/2021 comemorou-se o Dia Internacional da Privacidade de Dados, instituído em 2006 pelo Conselho da Europa, tem o objetivo de disseminar e conscientizar as pessoas sobre o poder de controle sobre as informações a seu respeito. No Brasil, este direito foi previsto de forma mais detalhada pela Lei Geral de Proteção de Dados Pessoais (LGPD).
Às vésperas dessa data comemorativa, foi descoberto o maior caso de vazamento de dados da história do país, tanto pela quantidade de dados quanto pela qualidade das informações.
Segundo o Conselho Federal da OAB, ao que se apurou até o momento, os dados estavam sendo comercializados na dark web e continham informações de mais de 220 milhões de pessoas, dentre elas: nome completo, data de nascimento, CPF, informações econômicas, perfis em rede social, score de crédito e fotos. Além disso, havia uma lista de 104 milhões de veículos e 40 milhões de empresas. Como a quantidade de pessoas ultrapassa o da população brasileira, acredita-se que existam inclusive dados de pessoas falecidas.
Outro ponto ainda obscuro é da fonte do vazamento, devido ao perfil dos dados, suspeitou-se que a origem tivesse no Serasa, mas a empresa nega. A OAB encaminhou um ofício para Autoridade Nacional de Proteção de Dados (ANPD) solicitando investigação e o Procon-SP já solicitou explicações para o Serasa que tem 15 dias para responder.
O maior risco desses vazamentos é a utilização dessas informações por criminosos que acabam forjando cadastros e se passando pelos titulares com a finalidade de receber dinheiro em nome deles. Já há casos relatados de que os criminosos conseguiram sacar o FGTS[1] se passando pelo verdadeiro titular. Isso ocorreu, também, devido a falha de autenticação do aplicativo.
Com intuito de coibir práticas dessa natureza, além da transparência no tratamento, a LGPD impôs a obrigatoriedade de adoção de medidas preventivas de segurança a fim de evitar acessos não autorizados ou incidentes, bem como a responsabilização da empresa pelos danos causados aos titulares. A partir de agosto de 2021, a Autoridade Nacional de Proteção de Dados poderá aplicar sanções administrativas como multas e suspensão da atividade. Todavia, outros órgãos como Procon ou Ministério Público já podem aplicar sanções fundamentados em leis específicas como Código de Defesa do Consumidor ou Marco Civil da Internet. Estar em conformidade com a LGPD e adotar as boas práticas permitirá que a empresa possa gozar de uma atenuante na dosimetria da pena, mas o maior benefício certamente é gozar da confiança dos clientes. Caso sua empresa ainda não tenha iniciado a adequação à LGPD podemos auxiliá-lo.
[1] https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-saiba-como-fraudadores-sacam-o-fgts-e-o-que-fazer-para-evitar-o-golpe.ghtml