DADOS DESPROTEGIDOS

Em vigor há poucos meses, a Lei Geral de Proteção de Dados vem sendo desrespeitada por empresas privadas e órgãos públicos em casos graves de ataques hackers e exposição indevida de informações pessoais dos brasileiros

O ano de 2020 não foi fácil para ninguém. No mundo inteiro, as pessoas precisaram adaptar a vida para conviver com a pandemia do novo coronavírus. Mais difícil, certamente, foi para aquelas que contraíram a Covid-19 ou tiveram alguém da família que testou positivo. No Brasil, quem passou por essa situação difícil precisou lidar com mais uma péssima notícia no fim de novembro: seus dados pessoais e de saúde ficaram expostos por cerca de um mês, depois que senhas do Ministério da Saúde, que atuava em parceria com o Hospital Albert Einstein, vazaram na internet. Pelo menos 16 milhões de pessoas foram afetadas. Na semana seguinte, outro erro do Ministério da Saúde expôs nome, CPF, endereço e telefone de 200 milhões de cidadãos, o que pode ser considerado o maior vazamento da história do Brasil. Os casos reforçaram as preocupações que já vinham sendo colocadas quanto ao despreparo de órgãos públicos e empresas privadas para resguardar, no Brasil, as informações pessoais e a privacidade, em desacordo com os princípios da Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro passado após quase 10 anos de debates.

Antes deste, outros incidentes já tinham levantado o sinal amarelo quanto à segurança de dados pessoais. Só em novembro, os sistemas do Tribunal Superior Eleitoral (TSE) e do Superior Tribunal de Justiça (STJ) foram alvos de ataques hackers, com comprometimento de seus sistemas; e a Enel, distribuidora de energia elétrica da capital e da região metropolitana de São Paulo, esteve envolvida pela terceira vez no ano em um episódio de segurança digital.

Bárbara Simão, pesquisadora do programa de Telecom e Direitos Digitais do Idec, avalia que a ocorrência de casos graves como esses em tão pouco tempo aponta que o Brasil está demorando demais para levar a proteção de dados a sério. "Em 2020 uma série de projetos de lei foi criada com o intuito de postergar a entrada em vigor da LGPD. Contudo, o número de incidentes está crescendo, e a demanda para que empresas e poder público se atentem aos requisitos legais é urgente", critica.

Inspirada na legislação europeia, a LGPD regulamenta o tratamento de dados pessoais no Brasil. Ela estabelece que qualquer empresa, pública ou privada, que coletar informações particulares dos consumidores e cidadãos é responsável por protegê-las e deve reparar os danos causados caso elas sejam expostas. No entanto, esse cuidado ainda é muito negligenciado. Segundo levantamento da BugHunty, plataforma que identifica falhas de segurança digitais, entre janeiro e setembro de 2020, pelo menos 350 empresas brasileiras apresentaram alguma vulnerabilidade em seus protocolos, sendo que na maioria dos casos as falhas poderiam levar a vazamento de dados dos clientes.

Episódios como os que ocorreram no fim do ano passado mostram que a ausência de medidas eficazes de segurança pode prejudicar muito os consumidores. A seguir, voltaremos a esses casos para explicar melhor porque eles podem ser considerados violações à LGPD, colocando em risco os direitos de milhões de brasileiros.

ERROS BÁSICOS E DADOS SENSÍVEIS

O vazamento de dados de pacientes de Covid-19 da base do Ministério da Saúde não foi decorrente de ataque hacker ou problema técnico no sistema, mas de uma sucessão de erros que começou com uma falha humana: um funcionário do Einstein, que trabalhava no projeto em parceria com o Ministério, divulgou numa plataforma online uma lista com usuários e senhas que davam acesso às informações de pacientes dos 27 estados brasileiros.

Para a pesquisadora do Idec, o episódio evidencia uma série de erros básicos e falta de cuidados mínimos relacionados à segurança da informação. A começar pela existência de uma tabela com logins e senhas, já que é recomendação padrão não deixar senhas registradas por escrito; além da ausência de critérios mínimos de acesso, como autenticação em dois fatores – disponível para aplicações comuns, como e-mail e Whatsapp. Faltou também requisitos de segurança para armazenamento dos dados, pois todas as pessoas estavam identificadas, sem criptografia para proteger o conteúdo do arquivo. "É inegável que houve imprudência do Ministério da Saúde e do Einstein na operação dessas informações", declara Simão.

A negligência do Governo e do hospital choca ainda mais por se tratar de informações de saúde, que são considerados dados sensíveis pela LGPD e, por isso, exigem proteção jurídica maior. Dados de saúde são classificados dessa forma porque a exposição do histórico de doenças ou outras condições médicas torna o indivíduo vulnerável a preconceito e discriminação (entre os dados que vazaram, havia diagnóstico de câncer, HIV etc.), Além disso, empresas de seguro de vida ou de plano de saúde que tiverem acesso a essas informações podem encarecer os serviços oferecidos.

Diante da gravidade, no mesmo dia em que o caso foi divulgado, o Idec protocolou uma representação junto ao Ministério Público Federal (MPF), pedindo a abertura de inquérito para investigar o caso. Também solicitou apuração sobre a parceria entre o Ministério da Saúde e o Einstein e sobre as medidas adotadas para contenção do vazamento e a reparação imediata dos usuários atingidos. O Procon-SP também notificou o Einstein, mas até o fechamento desta edição, o hospital não havia prestado esclarecimentos. Em nota divulgada à imprensa à época, informou ter iniciado apuraçâo do caso e demitido o funcionário que infringiu as normas internas adotadas para garantir a proteção e a segurança de dados.

TSE E STJ: ATAQUES HACKERS

No intervalo de duas semanas, vieram à tona ataques virtuais a dois tribunais superiores do país. Primeiro foi o STJ, corte responsável por uniformizar o entendimento do Judiciário. O ataque ocorrido no início de novembro tirou do ar o site e os sistemas do tribunal por dias, interrompendo julgamentos e suspendendo prazos processuais. "Embora não tenha havido vazamento de dados, o comprometimento do sistema deixou essas informações vulneráveis, e foi o maior caso de ataque assim já ocorrido no Brasil", diz Simão.

Em resposta à Revista do Idec, o STJ informou que "a investigação sobre o ataque hacker, inclusive quanto às causas, extensão dos danos e captura de dados, está sob responsabilidade da Polícia Federal e corre sob sigilo". O órgão também disse que "reforçou a proteção de sua rede e implementou novas ferramentas de verificação de acesso, com dupla autenticação".

No episódio envolvendo o TSE, os dados pessoais de servidores do tribunal foram acessados por criminosos e divulgados em 15 de novembro, dia do primeiro turno das eleições municipais. Em declarações à imprensa, o presidente do TSE, ministro Luis Roberto Barroso, afirmou suspeitar que o crime tenha ocorrido por motivações políticas, para minar a credibilidade do sistema eleitoral. O tribunal garante, no entanto, que não houve qualquer risco ao sistema de votação das urnas eletrônicas. Dias depois, o grupo hacker CyberTeam assumiu a autoria do ataque. Ele seria formado por brasileiros e portugueses que se apresentam como "ativistas contra governos".

De acordo com Mariana Rielli, líder de projeto da Associação Data Privacy Brasil e responsável pelo Observatório da Privacidade, a responsabilidade do órgão ou empresa que detém os dados pessoais dos consumidores não muda em função do motivo da exposição, mas em relação aos esforços feitos para prevenir sua ocorrência. "Ou seja, independentemente de se tratar de um vazamento ou de um ataque hacker, o que importa é demonstrar que tomou as precauções adequadas, ainda que não tenham sido suficientes para evitar o incidente", ela explica.

É importante deixar claro que sofrer um ataque hacker ou mesmo ter a base de dados exposta não caracteriza, em si, desrespeito à LGPD. Segundo Nathalie Fragoso, coordenadora de pesquisa do Internetlab, se o órgão ou empresa provar que tomou as medidas de segurança adequadas e ainda assim não pode evitar o incidente, não há violação dos direitos dos usuários.

SETOR PÚBLICO NA MIRA

Um ponto que chama a atenção nos episódios mencionados é que STJ, TSE e Ministério da Saúde são órgãos públicos. Para as especialistas consultadas para esta reportagem, a extensão e a natureza dos bancos de dados pessoais de serviços públicos os tornam muito atrativos a criminosos. "Seja para registro ou para elaboração e execução de políticas públicas, há órgãos públicos que possuem dados de, praticamente, todos os brasileiros", destaca Rielli. "Isso pode ser atraente, porque com os mesmos esforços pode-se atingir um número mais amplo de dados pessoais", completa.

Simão, do Idec, acrescenta que registros civis, cadastros em benefícios de assistência social etc. são úteis para os criminosos. "Essas informações podem ser alvo de operações fraudulentas, como golpes utilizando indevidamente o CPF de terceiros ou mensagens que buscam enganar cidadãos se passando por órgãos do governo e demandando informações sigilosas, como conta bancária", alerta.

CADÊ A AUTORIDADE?

Nome, endereço, RG, CPF, data de nascimento, telefone, e-mail, tipo de instalação da rede elétrica. Informações desse tipo de cerca de 300 mil consumidores da região de Osasco, na Grande São Paulo, foram indevidamente acessados e divulgados no início de novembro, a partir de um ataque virtual à base de dados da Enel.

O Idec notificou a empresa pedindo explicações, pois esse foi o terceiro episódio em poucos meses: o sistema da empresa já havia sido atacado em junho e outubro. "Não é razoável que uma mesma empresa passe, três vezes seguidas no mesmo ano, por situação similar de exposição de dados. Isso mostra que ela tem agido sob inércia em vez de adotar medidas técnicas e administrativas aptas a suprimir as vulnerabilidades do sistema", analisa Simão.

Questionada, a Enel alegou que "a investigação em curso mostra que não há conexão entre este incidente e o cyber ataque [sic] de junho e outubro à rede global da companhia. Nas duas ocasiões, não foi constatado que dados de clientes tenham sido expostos a terceiros". A empresa também disse que o incidente envolve só 4% de sua base de clientes e que esses estão sendo contactados individualmente para orientações, "seguindo o compromisso de transparência da companhia e em linha com a Legislação de Proteção de Dados".

O Idec também notificou a Agência Nacional de Energia Elétrica (Aneel) e a Agência Reguladora de Saneamento e Energia do Estado de São Paulo (Arsesp). Embora seja papel dos órgãos reguladores acompanhar a adequação das empresas do setor à legislação de proteção de dados, quem deve assumir a apuração de incidentes de segurança desse tipo é a Autoridade Nacional de Proteção de Dados (ANPD), instância prevista na LGPD para fiscalizar e regulamentar trechos da lei. O problema é que até o fechamento desta edição o órgão não existia.

Meses depois de a LGDP entrar em vigor, a ANPD ainda estava em processo de composição, com rumos preocupantes. A diretoria indicada pelo presidente Jair Bolsonaro, referendada pelo Senado em outubro, é formada em grande parte por membros do próprio governo, sendo que três dos cinco representantes são militares, algo praticamente inédito no mundo. Uma pesquisa da Data Privacy com os 20 países mais avançados economicamente constatou que apenas China e Rússia contam com militares nos quadros direti- vos de suas autoridades de proteção de dados.

"Diversas organizações, incluindo o Idec, têm se preocupado com a possibilidade de essa composição gerar uma permissividade maior com práticas de vigilância em todo o território nacional", afirma Simão. Já Rielli comenta que "considerando a estrutura bastante enxuta que foi estabelecida, provavelmente a Autoridade de Proteção de Dados não terá capacidade, ao menos no início, para promover uma quantidade expressiva de fiscalizações".

Assim, muito embora a ANDP seja aguardada com a expectativa de provocar mudanças no mercado a favor da proteção de dados pessoais, monitorando e controlando o tratamento a eles dispensado por todos os agentes, há um temor de que esse papel não venha a ser cumprido a contento. "A Autoridade tanto pode reforçar como enfraquecer a eficácia da LGPD. Torcemos pelo primeiro caso", declara Fragoso.

PRIMEIRAS PUNIÇÕES

Menos de um mês depois de a LGDP entrar em vigor, saiu a primeira sentença judicial por descumprimento da legislação. A ré é a construtora Cyrela, condenada em primeira instância a pagar R$ 10 mil de indenização a um consumidor por ter compartilhado seus dados pessoais com terceiros sem autorização. Após comprar um apartamento, em 2018, ele passou a receber ligações indesejadas de instituições financeiras e empresas de decoração oferecendo serviços associados à aquisição do imóvel.

Em novembro, foi a vez da Serasa Experian. A partir de uma ação do Ministério Público do Distrito Federal (MPF-DF), a Justiça obrigou a empresa a suspender a venda de informações pessoais de clientes sem o consentimento deles, prática que viola a LGPD e o Código de Defesa do Consumidor (CDC).

Ainda cabem recursos em ambos os casos, mas para as especialistas, sentenças como essas serão cada vez mais frequentes. "Existe uma série de questões a ser interpretada de maneira detalhada. Muito provavelmente o judiciário terá esse papel inicial de interpretação, aplicando a LGPD a situações concretas", aponta Simão.

Para Rielli, da Data Privacy, multas e indenizações podem ter papel educativo e gerar um ''efeito cascata'', provocando mudança de comportamento no mercado. Mas ela lembra que há outras opções. "Esse tipo de sanção não é o único caminho, e a construção de uma real cultura de proteção de dados pessoais depende também de outros fatores, como uma abordagem focada em orientação e conscientização por parte da ANPD".