Diversas mídias noticiaram recentemente um vazamento de dados pessoais no Brasil, informando que, desta vez, trata-se do maior já registrado.
As notícias [1] informam que hackers vazaram dados pessoais de 220 milhões de brasileiros, incluindo nossos dados. Então, a LGPD define esses brasileiros como titulares.
Descoberto na última semana, há a suposição de que partiu do Serasa, que se defendeu negando ser a fonte do vazamento. Várias entidades, entretanto, como o Ministério Público, estão investigando o caso.
Segundo o Prof. Dr. Adriano Cansian em sua coluna da CBN Tecnologia da Informação é provável que tenha ocorrido enriquecimento de dados, combinando o cadastro de um titular com outras bases para mais informações. Infelizmente, muitas empresas fazem isso de forma totalmente não autorizada.
Segundo o Prof. Adriano, há aproximadamente 40 milhões de CNPJ’s e 18 milhões de fotos de pessoas, coletadas para cadastros.
Quais as consequências e como se proteger?
As consequências são inúmeras, até porque estamos falando de vários dados pessoais em diversos setores. Este tipo de ocorrência pode resultar em crimes financeiros, fraudes, criação de cadastros falsos, abertura de contas, falsificação de documentos e até mesmo, sequestro relâmpago.
Proteger-se, porém, deste tipo de vazamento é muito difícil! Entretanto, coletar dados para serviços ou obrigações legais não isenta instituições de tomar medidas rigorosas para assegurar o sigilo e a privacidade desses dados.
Órgãos de imprensa, entidades protetoras e o judiciário devem observar essas ocorrências, que expõem informações sigilosas e violam direitos e garantias dos cidadãos.
É fato também que a ocorrência de vazamento de dados não é uma exclusividade brasileira. Em 2017, o vazamento de 145 milhões de dados da Equifax nos EUA levou a uma multa de até US$ 700 milhões para compensar os consumidores.
Consequências Jurídicas
Há uma certa recorrência em vazamento de dados no país, e, dificilmente não há algum incidente de segurança digno de publicização nestes casos.
Nesse sentido, surge a dúvida: se não aplicamos as multas da LGPD, quais são as consequências jurídicas para os responsáveis e para os lesados?
Embora as multas da LGPD não estejam em vigor, outros artigos da lei estão aplicáveis, exigindo a aplicação do fato à norma jurídica.
A LGPD considera os brasileiros como titulares, ou seja, as pessoas naturais a quem pertencem os dados pessoais vazados.
Ademais, segundo a LGPD, organizações que coletaram e armazenaram dados vazados são agentes de tratamento, responsáveis pela segurança dos dados pessoais.
A identificação dos agentes, sejam birôs de crédito ou outras instituições, é vital para a investigação e para assegurar a correta qualificação e responsabilização.
A lei define, em seu primeiro artigo, direitos fundamentais como liberdade, privacidade e livre desenvolvimento da pessoa natural, sendo crucial para a tutela do Estado.
Segundo a LGPD, em seu art. 22, é regulado o seguinte:
a defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletivamente.
Os veículos de mídia apontaram que, entre vários dados pessoais vazados, estão: nome completo, CPF, endereço, score, fotos de rostos, óbitos, lista de devedores, FGTS, e uma abundante lista de outros dados pessoais.
Não é necessário ser um especialista em direito para saber que pessoas podem usar essas informações valiosas de forma repulsiva nas mãos erradas. Basta olhar ao lado e perceber o quanto o score, por exemplo, impacta diariamente a vida de diversas pessoas.
Aplicação da lei
O exercício de aplicação da lei pode ser realizado da seguinte forma: o titular lesado pode, por meios próprios, requerer a proteção de seus direitos perante o judiciário e, a depender da origem dos dados, havendo uma relação de consumo, procurar mecanismos de proteção de defesa do consumidor para ser amparado. Ou, segundo o mesmo artigo 22, o responsável pelo incidente pode ser requerido por aqueles que possuem legitimidade para propor ações civil pública, previstos no Art. 5º da Lei 7.347 de 1985, ou no próprio Código de Defesa do Consumidor, nos artigos 81 e 82.
Se a fonte do vazamento se confirmar, e de fato houver relação de consumo na origem dos dados, a probabilidade de que tais demandas urjam a partir dos órgãos de defesa do consumidor é grande, visto que o §8º do Art. 18 da LGPD já prevê a hipótese de reclamação dos titulares perante ao controlador dos dados, por intermédio dos referidos órgãos.
Crime previsto no Art. 154-A
Não obstante, quanto ao responsável causador do incidente, ou seja, aquele que efetivou o ataque e que obteve os dados pessoais, há a tipificação do crime previsto no Art. 154-A do Código Penal. O referido tipo penal possui variáveis sobre a pena, mas, para fins exemplificativos, o caput do artigo menciona de 3 meses a 1 ano de detenção, e multa.
Embora o atacante seja punido, os agentes de tratamento, obrigados por lei a garantir segurança conforme o Art. 46 da LGPD, enfrentarão prejuízos significativos. Ademais, eles poderão sofrer condenações por violação de direitos fundamentais e desvalorização devido à perda de confiança de clientes e parceiros comerciais.
[1] Links de notícias: https://epoca.globo.com/brasil/hacker-rouba-dados-de-223-milhoes-de-brasileiros-vende-na-dark-web-24851406;
Prof. Dr. Adriano Mauro Cansian
Membro do Conselho-Técnico-Consultivo da Resh Pentest Experts.
Dr. Leon Fagiani
Head do Departamento Jurídico da Resh Pentest Experts
Por Marketing Resh
