Por Raphael Pinheiro*
Recentemente, nossos congressistas promulgaram emenda constitucional que transforma a Lei Geral de Proteção de Dados (LGPD) em um direito fundamental. Mas, como tantas outras leis que temos no país, será que ela irá, como dizem popularmente, “vingar”?
Tenho amigos advogados que sempre comentam o quão complexo e bem estruturado é o nosso conjunto de leis. Contudo, ainda que tenhamos um código bem estabelecido, a aplicabilidade e fiscalização do mesmo deixam a desejar. Por isso, temos a ideia – incompleta – de que a Justiça não funciona.
Desde a década passada, o Brasil tenta avançar nas questões relativas aos direitos dos cidadãos na internet. Nossa pedra angular foi concebida em 2014 com o Marco Civil da Internet e de lá pra cá, algumas proposições foram colocadas em discussão; umas boas e outras um tanto quanto atabalhoadas. Por vezes, há uma nítida impressão de que o corpo de legisladores não domina o assunto tecnologia e tampouco conta com o devido suporte técnico para auxiliá-lo.
O Marco Civil da Internet, então, foi o primeiro passo desse processo. E como uma criança que aprende a andar, é natural que leve alguns tombos. Ainda assim, seu grande pilar foi regular a privacidade dos internautas, sendo a primeira lei do país a disciplinar direitos e deveres dos usuários de internet e suas relações jurídicas on-line. Mesmo com as discussões sobre a neutralidade da rede, que por vezes colocou em xeque a implementação do marco, ele encontra-se em vigor.
Por outro lado, a LGPD não anula o marco de 2014 e, de certa forma, expande-o, regulamentando a maneira como a captura e o tratamento de dados em território brasileiro ocorre, reiterando a necessidade de consentimento inequívoco por parte do usuário e estabelecendo as melhores práticas e responsabilidades na manutenção desses dados.
Com isso, concluímos que enquanto o Marco Civil da Internet abarca questões inerentes apenas ao “on-line”, a LGPD possui alcance mais amplo, disciplinando a privacidade também no “off-line”.
Vamos lembrar que no começo desta crônica, foi abordada a questão da necessidade de haver fiscalização, do contrário, a aplicabilidade das leis seria inexistente. Pensando nisso, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), que seria responsável por certificar que as organizações tratarão adequadamente as questões relativas ao tema.
É interessante notar, entretanto, que uma enormidade de empresas acredita já estar adequada às exigências da LGPD ao implementar uma caixa de aceite para cookies em seus sites. É como se o grande problema de privacidade e segurança fosse apenas o registro de nossas preferências de navegação. Porém, lamento informar que a coisa é muito mais séria.
Ao lidar com dados sensíveis de consumidores, é preciso manter uma infraestrutura segura para eles. Do contrário, no caso de uso indevido ou um comprometimento do banco de dados, a empresa responsável deveria arcar com pesadas multas. Deveria. E essa é a razão pela qual acredito na ideia da LGPD para inglês ver.
Há um ano, foi registrado o maior vazamento de dados já conhecido em nossa história, em pleno funcionamento da LGPD. Mais de 200 milhões de CPFs e outras informações pessoais foram subtraídas de sistemas informáticos e comercializados em mercados clandestinos. Dados como nome, endereço, telefone, renda, perfis de créditos, entre outros, estavam organizados de modo jamais visto anteriormente.
A imprensa especializada e diversos técnicos tiveram acesso a um fragmento dessa base e nele constataram informações inéditas em outros incidentes e que poderiam estar relacionadas aos sistemas da Serasa. Rapidamente, todos viraram os holofotes para ela. Um vazamento dessa magnitude, em plena era da LGPD, teria potencial para destruir, no mínimo, a imagem da empresa.
A Serasa, por sua vez, veio a público informar que realizou, por conta própria, uma perícia em seus sistemas e não encontrou nenhum registro de comprometimento. Então, ela mesma atestava que não sofrera invasão alguma e os dados – muitos deles que só ela poderia possuir – não tiveram origem em seus domínios. A Autoridade Nacional de Proteção de Dados, por sua vez, parece ter concordado com as explicações e deixou o caso sem conclusão. Aliás, desde sua criação até o momento da redação desta crônica, o órgão não aplicou nenhuma sanção a qualquer organização envolvida em incidentes.
Ultimamente, é cada vez mais comum acompanharmos notícias de vazamentos de dados a partir dos sistemas PIX. Os bancos Banese (Banco do Estado de Sergipe), Acesso e Logbank, só para citar alguns, já tiveram dados pessoais de seus correntistas (e de não correntistas que se relacionaram com o banco) expostos.
A despeito da importância das instituições bancárias, não podemos menosprezar o poder financeiro e o lobby governamental que praticam. Por isso, até hoje, nenhuma dessas organizações foi multada por essas infrações.
O próprio Banco Central, numa atitude extremamente paternalista, recentemente defendeu a tese de que os vazamentos ainda ocorrerão com frequência, mas não oferecem informações sensíveis. Os dados seriam, na opinião do seu presidente, “apenas” o nome completo, CPF e telefone celular. Para ele, esses dados podem ser obtidos “facilmente” de outras formas, logo não considera a falha relevante.
Este cronista, como discorda, sente-se no direito, então, de desafiar o presidente do BC a divulgar seus próprios dados publicamente, já que não são nada sensíveis. A tecnologia evoluiu, é verdade, mas o antigo conceito de pimenta nos olhos dos outros é refresco aplica-se até hoje.
Vazamento de dados é coisa seríssima. Por isso, estarmos amparados por leis é imprescindível para que tenhamos o mínimo de segurança. No entanto, enquanto os órgãos de fiscalização fizerem vista grossa para atenderem interesses escusos, estaremos à mercê de todo o tipo de golpe.
Com esses dados em mãos, por exemplo, é possível que criminosos, entre outras coisas, abram contas bancárias, requisitem empréstimos e realizem diversas ações financeiras que eventualmente trariam prejuízos consideráveis. Não é à toa que eu pago por um serviço de proteção de dados mantido pela Serasa que me informa quando o meu CPF é consultado. Espera um pouco: serviço de proteção de dados mantido pela Serasa?!
É a velha história da vaca na sala.
* Raphael Pinheiro é pós-graduado em Marketing Digital e profissional com mais de duas décadas de experiência na área de tecnologia. Atualmente, é editor-chefe do Portal da Academia Brasileira de Letras, uma das maiores e mais importantes instituições culturais do país.