Consequências do Vazamento de 220 Milhões de Dados Pessoais

Recentemente, diversas mídias publicaram notícias sobre mais um vazamento de dados ocorrido no Brasil, com a diferença de que desta vez, é o maior já noticiado.

Segundo as notícias[1], foram vazados dados pessoais de, ao menos, 220 milhões de brasileiros, ou na terminologia da Lei Geral de Proteção de Dados brasileira (LGPD), 220 milhões de titulares e, provavelmente, alguns do nossos dados estão neste vazamento.

Descoberto na última semana, há a suposição de que partiu do Serasa, que se defendeu negando ser a fonte do vazamento. Várias entidades, entretanto, como o Ministério Público, estão investigando o caso.

Segundo o Prof. Dr. Adriano Cansian em sua coluna da CBN Tecnologia da Informação é provável que tenha acontecido um
enriquecimento de dados, que ocorre quando utiliza-se o cadastro de um titular, adicionando-o a bases de dados de outros lugares, de forma que o cadastro tenha o maior número possível de informações. Infelizmente, muitas empresas fazem isso de forma totalmente não autorizada.

Outra informação importante e que foi analisada pelo Prof.  Adriano, que teve acesso a alguns dados, é que existem cerca de 40 milhões de CNPJ’s (dados de empresas) e 18 milhões de fotos de pessoas (que são tiradas para cadastros).

Quais as consequências e como se proteger?

As consequências são inúmeras, até porque estamos falando de vários dados em diversos setores. Este tipo de ocorrência pode resultar em crimes financeiros, fraudes, criação de cadastros falsos, abertura de contas, falsificação de documentos e até mesmo, sequestro relâmpago.

Proteger-se, porém, deste tipo de vazamento é muito difícil!  Já que as instituições coletam diversas destas informações para prestação de serviços ou atendimento a alguma obrigação legal o que não as desobriga de tomar todas as providências cabíveis para a manutenção do sigilo e da privacidade destes dados.

Órgãos de imprensa, entidades protetoras dos direitos dos consumidores e o poder judiciário precisam estar atentos a este tipo de ocorrência que muitas vezes, além de expor uma série de informações de natureza sigilosa, ferem os direitos e garantias fundamentais dos cidadãos.

É fato também que a ocorrência de vazamento de dados não é uma exclusividade brasileira. Em 2017 nos Estados Unidos, houve o vazamento de mais de 145 milhões de dados da agência de crédito para consumidores finais, a Equifax, Como penalidade, a empresa condenada a pagar até US$ 700 milhões (o equivalente a R$ 2,6 bilhões) para encerrar o processo e compensar consumidores prejudicados.

Consequências Jurídicas

Há uma certa recorrência em vazamento de dados no país, e, dificilmente não há algum incidente de segurança digno de publicização nestes casos.

Dito isso, surge um questionamento sobre aqueles que se preocupam com o tema: se as multas da LGPD ainda não podem ser aplicadas, qual a consequência jurídica desses eventos, tanto para aqueles que provocaram o incidente, quanto para os lesados?

Primeiro, em que pese a impossibilidade da aplicação das multas, outros artigos da Lei Geral de Proteção de Dados estão em vigor, e, portanto, é preciso fazer o exercício de aplicar o fato à norma jurídica.

Segundo a LGPD, os milhões de brasileiros são denominados como titulares, como apontado no início deste texto, ou seja, o titular é a pessoa natural a quem se referem os dados pessoais vazados.

Outro aspecto importante é identificar que as organizações que coletaram, armazenaram e tiveram seus dados vazados, são percebidos, conforme define a LGPD, como agentes de tratamento, isto é, são responsáveis pelo tratamento dos dados pessoais e pela segurança desses dados.

Sejam birôs de crédito, sejam outras instituições, durante o processo investigativo desse incidente, identificar quem são os agentes é de suma importância para correta qualificação e responsabilização.

A lei, logo em seu primeiro artigo, aponta que alguns dos direitos protegidos por ela são denominados como direitos fundamentais, quais sejam, liberdade, privacidade e livre desenvolvimento da pessoa natural, e tal qualificação, para o operador do direto, é de grande relevância, especialmente para fins de tutela do Estado.

Segundo a LGPD, em seu art. 22, é regulado o seguinte:

a defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletivamente.

Os veículos de mídia apontaram que, entre vários dados pessoais vazados, estão: nome completo, CPF, endereço, score, fotos de rostos, óbitos, lista de devedores, FGTS, e uma abundante lista de outros dados pessoais.

Não é preciso ser um notório conhecedor do direito para saber que tais informações são valiosas, e que, nas mãos erradas, podem ser utilizadas para diversas finalidades repulsivas. Basta olhar ao lado e perceber o quanto o score, por exemplo, impacta diariamente a vida de diversas pessoas.

O exercício de aplicação da lei pode ser realizado da seguinte forma: o titular lesado pode, por meios próprios, requerer a proteção de seus direitos perante o judiciário e, a depender da origem dos dados, havendo uma relação de consumo, procurar mecanismos de proteção de defesa do consumidor para ser amparado. Ou, segundo o mesmo artigo 22, o responsável pelo incidente pode ser requerido por aqueles que possuem legitimidade para propor ações civil pública, previstos no Art. 5º da Lei 7.347 de 1985, ou no próprio Código de Defesa do Consumidor, nos artigos 81 e 82.

Se a fonte do vazamento se confirmar, e de fato houver relação de consumo na origem dos dados, a probabilidade de que tais demandas urjam a partir dos órgãos de defesa do consumidor é grande, visto que o §8º do Art. 18 da LGPD já prevê a hipótese de reclamação dos titulares perante ao controlador dos dados, por intermédio dos referidos órgãos.

Não obstante, quanto ao responsável causador do incidente, ou seja, aquele que efetivou o ataque e que obteve os dados pessoais, há a tipificação do crime previsto no Art. 154-A do Código Penal. O referido tipo penal possui variáveis sobre a pena, mas, para fins exemplificativos, o caput do artigo menciona de 3 meses a 1 ano de detenção, e multa.

Embora o atacante seja punido, os agentes de tratamento que possuem, por força de lei, obrigação de tomar todas as medidas de segurança técnicas e administrativa, conforme dispõe o Art. 46 e seguintes da LGPD, arcará com inúmeros prejuízos, seja por condenações amparadas em fundamentos de violação a direitos e garantias fundamentas da população, seja por desvalorização, consequência da desconfiança daqueles que até o momento possuíam negócios com a(s) empresa(s) de onde os dados se originaram.


[1] Links de notícias: https://epoca.globo.com/brasil/hacker-rouba-dados-de-223-milhoes-de-brasileiros-vende-na-dark-web-24851406

https://tecnoblog.net/404838/exclusivo-vazamento-que-expos-220-milhoes-de-brasileiros-e-pior-do-que-se-pensava/;  

http://www.cbnrp.com.br/colunistas/vazamento-pode-ter-exposto-na-internet-220-milhoes-de-dados-pessoais / ; 

https://link.estadao.com.br/noticias/cultura-digital,vazamento-de-220-milhoes-de-cpfs-pode-ser-o-mais-lesivo-do-brasil-diz-especialista,70003592780?utm_source=estadao:whatsapp&utm_medium=link

https://danieldonda.com/vazamento-de-dados-de-220-milhoes-de-brasileiros/ 

Prof. Dr. Adriano Mauro Cansian
Membro do Conselho-Técnico-Consultivo da Resh Cyber Defense.

Dr. Leon Fagiani
Head do Departamento Jurídico da Resh Cyber Defense