Parece que já se tornou rotina: desde o início do ano, vazamentos de dados têm tomado conta dos noticiários. Pelo menos oito incidentes foram noticiados no Brasil desde o final de janeiro, o que significa cerca de um por semana. E não são poucas informações que foram expostas, já que a maioria dessas bases tem dados de ao menos 10 milhões de brasileiros cada, duas delas ultrapassando a marca de 220 milhões de pessoas expostas.
Estamos vivendo, atualmente, um "desastre informacional", define Michel Souza, advogado do programa de Telecomunicações e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec). "É como se fosse um derramamento de petróleo no mar, uma coisa que causa diversos danos", compara.
Diante disso, é muito comum que a população se sinta de mãos atadas e, portanto, deixe de cuidar dos seus dados , afirma Michel. Na verdade, porém, existem leis no Brasil que garantem o direito de quem teve suas informações expostas. Além disso, empresas podem ser punidas pela má gestão das informações de seus clientes e cibercriminosos podem ser presos por invadirem sistemas e venderem informações - como aconteceu com o hacker suspeito de vazar dados de 223 milhões de brasileiros .
A LGPD nos protege?
Quando falamos de dados, é comum pensarmos na recente Lei Geral de Proteção de Dados ( LGPD ) . Com sua entrada em vigor em setembro passado, a norma deixou claro que todos os dados pessoais são importantes e que, por isso, quem os coleta e trata (seja instituições do governo ou empresas) deve fazê-lo da forma correta.
Isso significa sempre pedir o consentimento do cliente e não abusar das informações, como vendâ-las a outras empresas. Além disso, é preciso ter muita segurança para armazenar esses dados, evitando invasões de hackers .
E isso vale para qualquer companhia, desde donas de aplicativos até empresas 'offline', como farmácias que coletam CPF de seus clientes. E para fazer a lei funcionar, foi criada a Autoridade Nacional de Proteção de Dados ( ANPD ), responsável por aplicar a lei, orientando e multando empresas.
As sanções da LGPD, porém, ainda não estão em vigor depois de uma série de atrasos relacionados, inclusive, à pandemia de Covid-19 . Isso significa que, apesar das regras estarem valendo, empresas ainda não podem ser multadas por possíveis incidentes de segurança relacionados a dados dos clientes.
Você viu?
Mas isso não significa que não exista punição para quem não trata os dados dos clientes da forma certa, garante Michel, já que o Brasil também conta com outras lei que protegem os consumidores nesse sentido, como o Código de Defesa do Consumidor e o Marco Civil da Internet .
"Não é porque as sanções administrativas da ANPD não estão valendo, que ela não tenha outras funções. Não quer dizer que o próprio judiciário não possa determinar o ressarcimento para algum consumidor. Acho que tem um mito de que como a lei não está completamente vigente, ela não estaria vigente", afirma o advogado.
Atualmente, quando uma empresa descobre um incidente de segunça , ela precisa informar a ANPD sobre isso, além de informar os titulares de dados (no caso, os clientes) sobre quais informações foram vazadas e que tipos de atitudes eles precisam tomar para proteger sua privacidade diante do ocorrido. Após receber essas informações, a autoridade vai investigar melhor cada caso - é aí que podem entrar as multas, quando as sanções estiverem vigentes.
Michel explica, porém, que o grande desafio que tem acontecido atualmente é que empresas de cibersegurança estão encontrando esses vazamentos, que são noticiados pela imprensa antes mesmo que a companhia afetada ou a ANPD tenham conhecimento. "A ANPD tem esse desafio que me parece, nesse momento, muito maior, de fiscalizar e dar sanções para uma coisa que está ainda nebulosa", analisa.
Além de receber avisos e denúncias, a ANPD, que ainda está em estágio inicial definindo suas regras, pode, também, ter esse papel mais ativo, parecido com o que empresas de cibersegurança fazem atualmente: buscar o problema. "Ela pode realizar auditorias, pode determinar a realização de outras medidas preventivas, fazer todos os tipos de fiscalizações. Ela tem essas atribuições, o que a gente não sabe ainda é como que essa fiscalização e monitoramento mais ativos vão acontecer", afirma Michel. Procurada pela reportagem, a ANPD não respondeu a diversos pedidos de entrevista.
Como ficam os cibercriminosos?
Além das empresas controladoras de dados, hackers que invadem sistemas e expõem informações também podem ser punidos. Diferente das companhias e instituições que podem sofrer apenas sanções administrativas, os cibercriminosos podem ser responsabilizados criminalmente. "Se é crime, é a polícia junto com o Ministério Público. Se for questão de consumidor, vai Procon, vai Senacon. Se for proteção de dados, vai para a ANPD", resume Michel.
As investigações, porém, podem se ajudar. "A própria ANPD, como ela é uma agência especializada em proteção de dados, ela também vai ter um papel muito importante nessas investigações. Uma questão muito enfatizada pelos diretores da ANPD nos últimos tempos é: a ANPD não tem poder de polícia. Mas a ANPD tem papel de trabalhar junto com a polícia, junto com o Ministério Público, com outras instituições como garantidora da proteção de dados", esclarece o advogado.
Quais direitos os consumidores têm?
Além das punições para empresas e criminosos, consumidores também podem ser indenizados em casos de vazamentos de dados . Isso pode acontecer através de uma ação individual de um consumidor ou através de ações coletivas com vários prejudicados.
De acordo com o Idec, se você percebeu que seu dado foi vazado, o melhor caminho é registrar um boletim de ocorrência, enviá-lo para os bancos e órgãos de proteção ao crédito que você utiliza para evitar que empréstimos ou consórcios sejam feitos em seu nome e enviar um e-mail ao responsável pela proteção de dados da empresa em que ocorreu o vazamento solicitando maiores esclarecimentos sobre as medidas de mitigação dos dados.
Se você tiver sido prejudicado por um vazamento de dados, seja financeira ou politicamente, o caminho é conversar com a empresa responsável pelo vazamento e, caso ela não responda adequadamente, procurar o Procon do seu estado, reportar o caso no Consumidor.gov e entrar com uma ação judicial para reparação nos Juizados Especiais Civil (JECs), onde é possível buscar, gratuitamente, um advogado para judicializar a causa.
Michel afirma que as leis brasileiras de defesa dos consumidores e de proteção de dados são boas, mas que as instituições precisam se movimentar para cumpri-las. "O consumidor não pode ficar sozinho lutando contra todo mundo para preservar seus direitos e seus dados. É preciso um sistema institucional que, de fato, proteja o consumidor. Precisamos dar vários passos ainda neste sentido, mas a gente está caminhando".