Dr. Guaraci de Campos Vianna
Recentemente tivemos oportunidade de comentar neste espaço a Lei Geral de Proteção de Dados (LGPD) que entrou em vigor em 2019 e tem como objetivo garantir segurança e transparência às informações pessoais coletadas na web por empresas públicas e privadas.
Como dissemos, a Lei prevê punições cíveis e administrativas que vão desde a advertência até uma multa de 2% do faturamento da empresa, limitada a R$ 50 milhões.
Entretanto, é preciso pensar nas punições para um criminoso comum (pessoa física) e nas punições a ele destinadas, pois a LGPD não cuidou dos aspectos penais relacionados as práticas ilícitas que envolvam dados pessoais e esse aspecto merece uma atenção especial.
A grande mídia divulgou recentemente que houve um mega vazamento de dados de 223 milhões de brasileiros (foram 223 milhões de números de CPF porque incluíram pessoas falecidas) tabela com dados de veículos e uma lista de CNPJs, além de informações sobre escolaridade, benefícios do INSS e programas sociais (como o Bolsa Família), claro com os endereços, fotos de rosto, score de crédito, imposto de renda de pessoas físicas, outras informações financeiras, dados sobre redes sociais como o Linkedin, dentre outros.
Praticamente a vida inteira das pessoas que estão na web por alguma razão está exposta e ainda não se sabe de onde esses dados foram roubados.
O Serasa Experian, notificado pelo Procon/SP nega que seja fonte dos dados, mas o fato é que eles foram publicados por um criminoso em um fórum on-line. É possível que os dados tenham sido consolidados de várias fontes e o criminoso reuniu os dados de diversos vazamentos para vendê-los numa lista única.
Ninguém está seguro: muitas práticas criminosas podem advir deste nefasto crime, como o envio de faturas falsificadas de contas, saque indevido de FGTS, envio de mensagens ou e-mails falsos, enfim há muita criatividade neste campo.
A LGPD, embora admita a existência de sanção penal ao fazer remissão específica ao Código de Defesa do Consumidor (art. 52, §2º) não a regulamenta, deixando ao Legislativo a missão de, em Lei própria, tipificar condutas relacionadas à violação da proteção de dados.
O que se pode fazer para proteger seus dados? Passar para a web o mínimo de informações pessoais possíveis, evitar o sharenting (já antes abordado aqui), e ter muita cautela ao incluir dados pessoais em páginas da web (mesmo as "confiáveis"). Os órgãos governamentais e empresas, incluindo as de prestação de serviços, devem exigir, somente os dados mínimos necessários. É preciso eliminar por completo, tanto no setor público, como no privado, o excesso de burocracia. Para realizar cadastros em sites, serviços e até programas governamentais. É necessário apenas fornecer informações que nos identifique, nada mais. Dados que colhem, por exemplo, perfil do consumidor, referências bancárias e por aí vai..., são desnecessários e desinfluentes.
A partir desse episódio acima narrado, urge que se tomem urgentes providências, para sanar o impacto do mega vazamento, bem como prevenir o risco de futuras ocorrências.
Para tanto, é preciso fazer com que a LGPD seja efetiva e aplicada em sua inteireza, regulamentando-a por completo e fazendo surgir com urgência a Lei que tipifica as condutas ilícitas na esfera penal.
Com a edição da Lei em 2019, foi definido o órgão responsável pela investigação em caso de vazamentos: a Autoridade Nacional de Proteção de Dados (ANPD). Parece que ela existe, mas não está funcionando de fato. Pelo menos até agora não se viu uma única regulamentação a que está obrigada a fazer por força de lei, nem tampouco uma única ação efetiva após o episódio, ou seja, a lei existe só no papel...
Compete também à Polícia Federal investigar o mega vazamento para saber se houve invasão de dispositivo informativo ou a prática do crime previsto no art. 10 da Lei 9296/96: "Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, promover escuta ambiental ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei".
De qualquer sorte, o ocorrido só expos até o momento que ninguém pode dizer que os dados pessoais estão realmente protegidos. Há muito o que se fazer quanto a segurança digital no Brasil e no Mundo. Enquanto isso, cada um deve gerenciar os riscos de expor seus dados na web, além de tomar medidas de proteção individuais, pelo menos até que o Legislativo, o Executivo e o Judiciário se posicionem melhor, inclusive avançando para uma LGPD penal, e uma reparação pecuniária explicita à vítima das violações. Voilà!