Uma pesquisa recente do Massachusetts Institute of Technology (“MIT”) publicada no Journal of Data and Information Qualityda ACM (Association for Computing Machinery) aponta que vazamentos de dados aumentaram 493% no Brasil, sendo que mais de 205 milhões de dados de brasileiros vazaram de forma criminosa em 2019. Em número de incidentes relevantes, o país saltou de 3, em 2018, para 16 em 2019, de acordo com a pesquisa.
Esses dados contemplam os dois megavazamentos noticiados recentemente pela empresa de segurança cibernética PSafe, ocorridos no Brasil: (i) um envolvendo 223 milhões de CPFs, contendo dados de pessoas vivas e falecidas, como identidades e datas de nascimento, bem como informações de 104 milhões de veículos e de 40 milhões de empresas, como CNPJ, razão social, nome fantasia e data de constituição; e (ii) outro que revelou informações detalhadas de 140 milhões de pessoas, como telefone, formação acadêmica, salário, endereços, se a pessoa mudou de cidade e fotos. As informações ficaram expostas durante meses ou anos, e não é possível saber quantas vezes foram compartilhadas e vendidas.
O que se sabe até agora é que esses dados faziam parte de esquemas de venda de dados para trocas de informação na deep web e uso para fins criminosos; inclusive, a Psafe aponta que os criminosos podem usar os dados para vender bens, contrair dívidas, fazer saques indevidos de FGTS e cometer crimes, sem que o prejudicado saiba. Outro golpe que se tornou bastante frequente foi o do boleto fictício (de internet, telefone, IPVA ou IPTU, por exemplo), que é enviado aos consumidores com seus CPF, nomes e demais dados, sem que haja qualquer compra ou débito a ser quitado vinculado ao documento.
Outro fator de preocupação é que as empresas têm levado muito tempo para saber que tiveram seus bancos de dados comprometidos, o chamado “dwell time” ou tempo de exposição. Segundo o estudo do MIT, a média desse intervalo de tempo gira em torno de 250 dias, o que significa que o megavazamento de dados de 223 milhões de CPFs poderia ter acontecido, na verdade, em 2019.
Vale destacar que, ainda que o ponto focal da discussão sejam as pessoas físicas lesadas em razão dos vazamentos e como identificar os responsáveis, as empresas são igualmente vítimas dos hackers, de forma que sofrem sequestros de dados, phishing direcionado, ou spear phishing, e navegações de serviço com a geração de milhares de tentativas simultâneas de acesso para invasão do website ou da rede corporativa. Tais eventos impactam não somente a reputação das empresas, mas também a continuidade dos seus negócios e a confiança dos consumidores nas marcas.
Diante disso, a pergunta que se coloca é: considerando a multiplicidade de reflexos negativos para a sociedade decorrentes desses eventos, quem será responsável pelos danos causados aos titulares desses dados pessoais vazados?
O Brasil possui um arcabouço legislativo suficiente em matéria de segurança em ambientes cibernéticos, a despeito do fato de a Autoridade Nacional de Proteção de Dados ainda não ter regulamentações específicas atreladas a eventos como vazamentos de dados. Estamos caminhando no sentido de haver mais normas a respeito.
O Decreto n° 9.936/2019, que regulamenta a Lei do Cadastro Positivo (Lei n° 12.414/2011), traz a necessidade de observância de aspectos técnico-operacionais, como a utilização de certificações de adequação de segurança dos sistemas e a elaboração de uma política de segurança da informação; no mesmo sentido, o Decreto n° 8.771/2016, que regulamentou o Marco Civil da Internet (Lei n° 12.965/2014), prevê o estabelecimento de controle escrito sobre o acesso aos dados, a previsão de mecanismos de autenticação, a criação de inventário detalhado dos acessos aos registos e o uso de solução de gestão dos registros.
Ainda, vale observar que o Decreto n° 10.222/2020, que aprova a Estratégia Nacional de Segurança Cibernética (“E-Ciber”), se propõe a ser uma orientação do Governo Federal na área de segurança cibernética, cujas diretrizes deverão ser implementadas por parte dos órgãos e entidades da administração pública federal e poderão ser utilizadas como indicador de segurança informacional a ser adotado pela ANPD.
Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/2018 ou “LGPD”), que está em vigor desde 18 de setembro de 2020, reconhece a segurança como um dos princípios a serem observados por aqueles que exercem atividades de tratamento de dados pessoais; assim, de acordo com a LGPD, o princípio da segurança significa a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
No intuito de concretizar o princípio da segurança, a LGPD condiciona a responsabilidade e o ressarcimento de danos ao tratamento irregular de dados, assim compreendido como aquele que deixar de observar a legislação ou que não garantir os parâmetros de segurança que o titular pode esperar. Partindo dessas premissas, a LGPD determina que responderá pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no artigo 46 da LGPD, der causa ao dano.
Note-se, ainda, que a LGPD estabelece que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Nessa hipótese, os controladores diretamente envolvidos no tratamento do qual decorre o dano causado ao titular e o operador, se descumpriu as obrigações da legislação de proteção de dados ou não tiver seguido as instruções válidas do controlador, responderão solidariamente.
De outro lado, a LGPD prevê que os agentes de tratamento não serão responsabilizados quando provarem que (i) não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Colocado de maneira simples, caso a empresa consiga comprovar que toma todas as medidas de segurança eficientes e razoáveis previstas na legislação e que o vazamento de dados se deu em razão da ação de um hacker, que não era possível de ser antecipada pela empresa, nos termos da LGPD, ao menos em tese, a empresa seria isenta de responsabilidade. Ressalte-se, no entanto, que a aplicação dessas hipóteses ainda é tema nebuloso nos tribunais brasileiros, de forma que a interpretação da lei ainda está sujeita à casuística.
Entretanto, pode acontecer de não existirem meios de identificar de qual organização os dados vazaram e, como consequência, não ser possível atribuir a responsabilidade pelo vazamento a um controlador ou a um operador, como ocorreu no recente megavazamento de dados, justamente porque teve sua origem na deep web, o que inviabiliza a identificação do detentor dos dados.
Nesse caso, a pessoa que se sentir lesada pelo vazamento de dados, ao invés de contatar a organização diretamente, deverá encaminhar a reclamação à ANPD, para que seja investigado o caso.
Fato é que, uma vez identificados os agentes de tratamento e apurados os vazamentos de dados, a LGPD prevê sanções pelo descumprimento de suas disposições, que vão desde uma simples advertência até uma multa de 2% do faturamento anual da empresa, limitada a R$ 50 milhões. Todavia, ainda que identificados os responsáveis pela coleta indevida e vazamento dos dados pessoais, as referidas penalidades apenas poderão ser aplicadas a partir de 1° de agosto de 2021, por força da Lei n° 14.010/2020. Neste momento, os responsáveis estarão sujeitos ao regime de responsabilidade previsto na legislação civil e consumerista, mas como visto, não é fácil identificar as fontes dos vazamentos, tampouco os agentes causadores de danos.
Essa realidade impõe que as empresas estabeleçam uma cultura de governança de dados e que adotem todas as medidas técnicas e administrativas para assegurar a integridade dos dados pessoais tratados durante a execução de suas atividades, por meio da implementação de mecanismos de notificação de incidentes e abusos, de segurança de contas e senhas, criptografia, cópias de segurança, ferramentas anti-malware, firewall e filtro anti-spam, bem como por meio da elaboração de políticas de segurança da informação, standards e guias de procedimento. Dessa forma, a gestão de dados tratados pelas empresas deverá ocupar uma posição prioritária dentro do compliance, inclusive em observância à conformidade da LGPD aos parâmetros de ESG (governança corporativa, social e ambiental).
Em contraponto, cabe igualmente aos titulares de dados redobrar a atenção quando à contratação e ao uso de serviços online (por exemplo, recebimento de e-mails, realização de transações financeiras em aplicativos de banco no celular), no intuito de validar se aquela informação é verdadeira, não fornecer dados além do necessário e não navegar em sites que não sejam seguros.
