*Dr Marcio dos Anjos e Dr Bruno Christo
O vazamento de dados pessoais de mais de 223 milhões de brasileiros foi detectado por uma empresa especializada em segurança digital da startup, a Psafe. A lista de informações vazadas abrange dados pessoais e sensíveis como nome, fotografia pessoal, nível de escolaridade, endereço, estado civil, pontuação de crédito e outras informações econômicas, fiscais e previdenciárias.
Embora não se saiba ao certo a fonte dos dados, a Serasa Experian vem sendo apontada pelos órgãos de defesa do consumidor, como o Procon-SP e a Senacon, como a empresa que teve seus dados vazados. A Serasa negou as alegações, dizendo que os dados vazados apresentam “discrepâncias significativas” em relação aos mantidos pela empresa.
Especialistas em Direito Digital, como Ronaldo Lemos, professor de Direito da Informática da Faculdade de Direito da Universidade do Rio de Janeiro, estão tratando o vazamento com gravidade, não sendo, segundo eles, demais afirmar que todo brasileiro já teve seus dados vazados. Inclusive, acredita-se que as informações já estão sendo comercializadas na deep web por meio de pagamentos em criptomoeda.
Infelizmente, não é a primeira vez que algo desse tipo acontece. Nos Estados Unidos, em 2017, foram vazados dados de mais de 147 milhões de consumidores americanos, armazenados pela empresa norte-americana Equifax, atuante na área de gestão de crédito. Dois anos depois, a empresa concordou em pagar ao governo americano 650 milhões de dólares pela falha.
O cenário que se apresenta é pessimista em virtude da impossibilidade de reversão da situação para “desvazar” os dados, bem como das inimagináveis formas de manuseio e utilização das informações. Dentre as consequências possíveis estão os golpes e fraudes dos mais variados tipos, violação dos sistemas de verificação de identidade, roubo de identidade, e o que é chamado de engenharia social na área da segurança da informação.
Visto que os dados fazem referência à própria identidade das pessoas e a determinados documentos que não podem ser trocados ou substituídos, o impacto desse vazamento poderá durar anos.
No tocante às medidas de prevenção de fraude, as opções são limitadas. Uma delas é a utilização do Registrato, serviço gratuito disponibilizado pelo Banco Central, para consultar seus empréstimos, financiamentos, relatórios do pix, contas em outros bancos, operações de câmbio, transações internacionais outras informações pessoais. Outra é a via judicial, demandando na Justiça a empresa detentora dos dados, hipótese na qual a vítima da fraude deverá provar o nexo causal entre o vazamento e a lesão ou dano. Mas a melhor opção ainda é preventiva: não divulgar dados pessoais aleatoriamente, respondendo pesquisas, cadastros, fornecendo dados em excesso.
Com vistas a disciplinar o tratamento de dados pessoais, inclusive nos meios digitais, entrou em vigor a Lei Geral de Proteção de Dados (LGPD), que estabelece regras de coleta e tratamento de dados para garantir mais segurança e transparência, o que, acredita-se, inibirá vazamentos como o noticiado. A lei exige que a empresa utilize os dados, obtidos com o consentimento do titular, apenas para finalidades específicas e expressamente informadas ao consumidor, observado o limite do tratamento ao mínimo necessário para realização dessas finalidades, empregando medidas aptas a proteger os dados de acessos não autorizados e demais situações ilícitas.
A empresa que descumprir as regras estabelecidas pela LGPD, sujeitar-se-á a multas de até 2% do seu faturamento anual, respeitado o limite de 50 milhões de reais, que poderão ser aplicadas a partir de agosto.
Com vistas a orientar o mercado nesses casos de violação de segurança, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 22 de fevereiro deste ano, uma nota técnica dizendo que o responsável pelo vazamento deve promover uma avaliação interna sobre o incidente para determinar a natureza, categoria e quantidade de titulares de dados afetados, bem como suas consequências concretas e prováveis. Também deverão ser indicadas as medidas preventivas, exigidas pela LGPD, adotadas.
Além do próprio órgão, recomenda que sejam informados do vazamento, em caso de risco ou dano relevante os titulares dos dados vazados, além do controlador de dados, a quem a LGPD atribui a competência de decidir sobre o tratamento de dedas pessoais e o encarregado dos dados, a quem compete receber as comunicações dos titulares dos dados e adotar providências.
*Dr Marcio dos Anjos é advogado e sócio no escritório Maia & Anjos e Dr Bruno Christo é advogado no mesmo escritório que é especializado em Direito Empresarial e Tributário.