Artigo – LGPD

Em janeiro deste ano, ocorreram dois vazamentos de dados^[1]: um expôs informações como nomes, datas de nascimento, dados de veículos e CNPJ de mais de 40 milhões de empresas^[2], informações essas que estão circulando de forma gratuita na internet; o outro expôs informações sobre escolaridade, benefícios do INSS, programas sociais como o Bolsa Família, renda, dentre outras.

Os dois vazamentos juntos continham:

• Dados básicos relativos ao CPF;
• Endereços;
• Fotos de rosto;
• Score de crédito, renda, cheques sem fundo e outras informações financeiras;
• Imposto de renda de pessoa física;
• Dados cadastrais de serviços de telefonia;
• Escolaridade;
• Benefícios do INSS;
• Dados relativos a servidores públicos;
• Informações do LinkedIn.

Cerca de um mês depois, no dia 10 de fevereiro, 103 milhões de contas vazaram de operadoras de celular, estando agora à venda na Deep Web^[3]: o número dos telefones celulares, o tempo de duração das ligações e o endereço dos clientes.

Para os especialistas em proteção de dados, uma vez vazados, não há muito que fazer além de orientar os usuários sobre como mitigar riscos de uso indevido de identidade.

A Associação Nacional de Proteção de Dados, ANPD, define um incidente de segurança com dados pessoais como qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais. No caso da ocorrência de um incidente dessa natureza, a agência recomenda agir imediatamente para:

• Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados;
• Comunicar ao encarregado e ao controlador, se você for o operador, nos termos da LGPD;
• Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares;
• Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas.

Com esse objetivo, o Banco Central do Brasil criou uma plataforma – a Registrato – que permite aos usuários consultar dívidas e outros relacionamentos financeiros ligados ao seu CPF, a fim de verificar se houve uso indevido de seus dados.

Logo após o incidente com as operadoras de telefonia, ocorreu mais um vazamento: dessa vez com dados suspeitos de terem sido vazados do site do Poupatempo, órgão público para expedição de diversos documentos para cidadãos brasileiros, suspeita ainda não totalmente confirmada.

Nesse caso, também foram expostos CPFs, datas de nascimento, e-mails, gênero dos usuários, números de telefones, tendo todos esses dados sido disponibilizados em um fórum para hackers^[4].

O que as empresas podem fazer para proteger dados e que providências precisam tomar caso esses dados já tenham vazado?

É importante compreender que ataques a redes de dados é uma constante – e com a pandemia estimulando mais interações online, a chance de ocorrer outro ataque em breve é ainda maior – e que, portanto, é preciso que as empresas criem medidas de proteção estando sempre prontas para um novo provável ataque. Em resumo, a pergunta não é “se” haverá um novo ataque, mas “quando” ele vai acontecer.

Diante disso, seguem as principais precauções para prevenção de vazamento e roubo de dados a serem tomadas pelas empresas:

• Descentralizar os dados, deixando-os visíveis apenas para os setores respectivos, repensando em uma arquitetura da informação que deixe os dados menos expostos;
• Coletar apenas os dados necessários. Por exemplo: em um processo seletivo, talvez os dados dos candidatos não escolhidos possam ser descartados, para que, em um eventual vazamento, haja um risco menor em relação à quantidade de dados expostos;
• Adotar medidas de segurança administrativas e técnicas capazes de proteger os dados de acessos não autorizados ou situações acidentais de vazamento;
• Estabelecer regras de boas práticas por meio de um Código de Conduta; parte integrante de um bom programa de governança;
• Seguir padrões internacionais consolidados em proteção de dados (falaremos mais a respeito neste artigo).

Segundo a Lei Geral de Proteção de Dados (LGPD), aprovada em 2020, a proteção de dados pessoais tem como fundamento o respeito à privacidade, ao assegurar os direitos fundamentais de inviolabilidade da intimidade, da honra, da imagem e da vida privada.

A LGPD prevê punições que vão de advertências a multas que podem chegar a R$ 50 milhões por infração; multas diárias e eliminação dos dados pessoais a que se refere a infração. Porém, ainda que essas sanções só entrem em vigor a partir de agosto de 2021, até lá é possível realizar a punição pelo Código Civil, pelo Código de Defesa do Consumidor e pela Lei do Cadastro Positivo.

Ainda de acordo com a LGPD, usuários podem pedir que as empresas proprietárias de seus dados informem como conseguiram esses dados e por qual motivo os possuem. Se ficar comprovado que a origem dos dados é fraudulenta, a empresa precisa parar de usar os dados estando sujeita, inclusive, às penalidades legais. Por fim, o poder público pode garantir o pagamento de indenizações por dano moral coletivo^[5].

Para evitar maiores problemas, como processos jurídicos, por causa de uso indevido de dados, é importante que a empresa designe ou contrate um DPO (Data Protection Officer ou, em português, “Encarregado da Proteção de Dados”)^[6]; de preferência, alguém externo à empresa, já que não deve ser uma pessoa que exerça funções como diretor executivo, de operações, financeiro, do departamento médico, de marketing, de recursos humanos ou diretor de TI.

É importante também que o DPO tenha conhecimento tanto jurídico quanto técnico para ajudar a empresa da melhor forma possível a se adequar às novas regras da LGPD e orientá-la quanto a situações de vazamentos de dados.

Padrões internacionais em proteção de dados

As companhias internacionais, principalmente dos EUA e da Europa, adotaram a GDPR (General Data Protection Regulation^[8]) em 2018 e, desde então, determinaram que é necessário garantir conformidade com essa lei em seus territórios e com as leis equivalentes de proteção de dados nos países onde possuem subsidiárias e empresas parceiras onde desenvolvem seus negócios.

Aqui no Brasil, é importante lembrar que as empresas precisam agir da mesma forma para garantir conformidade com a lei de proteção de dados local e a dos países onde também atuam, além de compreender tanto o risco cibernético quanto os riscos financeiro e jurídico nesses mercados, levando em consideração os seguintes fatores^[9], seguindo o exemplo internacional:

• Atuar como detetives: a LGPD exige que as empresas regularmente testem e avaliem a eficácia de quaisquer medidas de segurança da informação, o que permite que a empresa conduza uma profunda análise de risco antes de qualquer incidente acontecer;
• Linhas de relatórios: é fundamental realizar um relatório imediato de qualquer incidente de segurança, sendo igualmente importante que a equipe (contratada e temporária) saiba como relatar uma falha e para quem, o quê e quando. A empresa precisa encontrar o equilíbrio entre introduzir um entendimento claro da importância da cyber segurança e não desencorajar os funcionários de relatar um problema;
• Plano de resposta: uma boa e clara estrutura de responsabilidade ajuda na prestação de contas e, para manter a integridade do processo, é prudente excluir de qualquer investigação pessoas que estavam envolvidas no incidente. Pergunta a se fazer: os sistemas da empresa podem continuar operando sob condições adversas e podem ser restaurados?
• Investigação: é importante para verificar o impacto do incidente e ajuda a empresa a não incorrer no mesmo erro, a manter sua reputação e a identificar o prejuízo em clientes. A investigação também é essencial para pensar em medidas a serem tomadas, sendo muito importante contar com apoio legal;
• Evidência: coletar evidência, com a ajuda de especialistas forenses;
• Reputação: ter políticas especificando o que a equipe deve fazer se confrontada com questões externas sobre o incidente (de um jornalista ou de um cliente). Uma saída é nomear alguém para lidar com essas questões;
• Ligação com autoridades: comunicar o incidente para a ANPD;
• Recuperação de ativos: ativos perdidos ou afetados podem ser recuperados com a ajuda de advogados.

Caso Cambridge Analytica^[10]

Em 2018, a empresa de análise de dados, Cambridge Analytica – que trabalhou para o time responsável pela campanha de Donald Trump nas eleições de 2016 – lançou no Facebook um aplicativo de teste psicológico chamado thisisyourdigitallife. Esse aplicativo pagou aos usuários pequenas quantias para que eles fizessem um teste de personalidade e concordassem em ter seus dados coletados para uso acadêmico. Como a grande maioria das pessoas não lê os termos de uso, foi fácil elas permitirem que seus dados fossem utilizados sem que elas soubessem para quê exatamente. Os dados coletados incluíam o nome, a profissão, o local de moradia, os gastos, os hábitos e as redes de contato. Tudo isso foi utilizado para ajudar a eleger Trump.

Os usuários que participaram do teste acabaram entregando à Cambridge suas informações pessoais, bem como dados relativos aos amigos de perfil. A empresa é propriedade de Robert Mercer, bilionário do mercado financeiro e, na época, tinha como presidente Steve Bannon, principal assessor do ex-presidente norte-americano. Ela comprou acesso às informações do perfil psicológico de mais de 87 milhões de pessoas e usou esses dados para compor um sistema que permitiu predizer e influenciar a escolha dos eleitores nas urnas.

A denúncia foi feita pelo jornal The New York Times e pelo jornal The Guardian e, dois dias após a publicação do escândalo, o valor do Facebook caiu US$ 35 bilhões na Bolsa de Valores de Tecnologia dos EUA.

Vender os dados era algo proibido, mas não havia controle algum por parte do Facebook em relação a isso e, inclusive, foi questionado que, na verdade, não houve vazamento, já que as pessoas que fizeram os testes aceitaram ter seus dados utilizados, ainda que não soubessem até onde seriam utilizados. Contudo, o caso acabou resultando na implementação da GDPR na União Europeia e em todos os países com os quais ela mantém relações.

O caso Cambridge Analytica no Brasil^[11]

Em 2020, mais dados vazaram indicando que foram usuários de 68 países, inclusive o Brasil, que tiveram suas informações utilizadas para fins escusos. A Cambridge Analytica tinha a intenção de manipular as eleições de 2018 aqui no país, mas a empresa não obteve sucesso.

Tudo começou quando André Torretta, consultor político e presidente-executivo da Ponte Estratégica, consultoria de marketing, anunciou em março de 2017 um acordo operacional de sua empresa, que passaria a se chamar Cambridge Analytica Ponte (ou CA-Ponte). Na época, segundo reportagem feita pela Folha de São Paulo, Torretta dizia que o objetivo era “a transferência e a tropicalização” da metodologia de segmentação psicográfica, que traça o perfil psicológico dos eleitores.

O consultor disse ainda que o trunfo da Cambridge era saber do que as pessoas tinham medo e quais temas rejeitavam, por exemplo. Com isso, ele esperava dividir os brasileiros entre seis e doze perfis e atuar nas eleições de 2018. Ele também dizia que pretendia usar o direcionamento das mensagens políticas para o WhatsApp, coisa que, segundo Torretta, os executivos da Cambridge ainda não haviam pensado em fazer. Torretta também explicou que havia prometido uma metodologia eficaz na segmentação de eleitores em categorias “psicológicas” (patriota, progressista, emocional etc.).

A Cambridge não tinha um banco de dados com perfis de brasileiros e a ideia era que ele próprio fosse atrás dos dados dos eleitores, já que o Brasil é considerado o segundo maior mercado político do mundo em gastos de marketing. Porém, com o anúncio do escândalo nos EUA envolvendo a Cambridge e o Facebook, Torretta anunciou a suspensão da parceria.