*Maurício Figueiredo e Igor Buess
Mais um dia e mais um vazamento de dados. No início do ano, mais de 223 milhões de brasileiros tiveram seu CPF exposto. Agora, outras 103 milhões de contas de celulares com dados sensíveis foram vazadas, incluindo a do presidente Jair Bolsonaro.
De acordo com as investigações, o hacker responsável pelo incidente de segurança teria invadido a base de dados das empresas de telecomunicações e “roubado” os que incluíam informações como CPF – cadastro de pessoas físicas, número de celular, tipo de conta telefônica, minutos gastos em ligações e outros correlacionados, que estariam sendo vendidos na Deep Web – uma área que fica “escondida” na Internet e tem pouca regulamentação, por cerca de US$ 1 cada.
Um incidente dessa escala entrega os materiais necessários para a realização de inúmeras tentativas de fraudes, consequência que será fortemente observada durante os próximos meses e anos. O CPF, por exemplo, é comumente utilizado na ilegalidade como documento de identificação para abrir linhas de crédito, realizar transações bancárias, criar outros documentos oficiais falsos, contratar serviços, acessar cadastros com novos dados pessoais, entre outras ações.
Após a notícia de um vazamento de dados, principalmente dessa magnitude, é natural que cada pessoa queira entender se foi afetada individualmente pelo ocorrido, pois, caso tenha sido, exige precaução. Basta algumas buscas no Google com palavras chaves relacionadas ao incidente para sermos direcionados a sites que prometem oferecer tais respostas, mediante o preenchimento de dados pessoais pelos usuários.
Aí que está o problema! Esses sites são usados para coletar informações pessoais, como uma espécie de phishing – tentativa fraudulenta de obter dados confidenciais, se aproveitando da situação e preocupação das pessoas e, por isso que, não recomendam-se buscas dessa natureza, com exceção de sites disponibilizados por entidades oficiais. Vale ressaltar que o Governo não divulga essas informações e, no máximo, fornece ferramentas para que possam verificar se contas foram abertas ou empréstimos foram realizados em seu nome.
Para evitar fazer parte futuros grupos de pessoas com dados vazados, é importante adquirir novos hábitos diários em relação ao uso de suas informações, por exemplo: não fornecer dados pessoais (CPF, RG, e-mail, telefone, endereço, data de nascimento etc) sem questionar a razão ou a finalidade de seu uso. Quando fornecemos uma informação pessoal, partimos do pressuposto que toda infraestrutura tecnológica da empresa que está recebendo esse dado é segura o bastante para proteger nossa privacidade, mas nem sempre é.
A Lei Geral de Proteção de Dados (LGPD) chega para garantir que as empresas sejam responsabilizadas e penalizadas por esses vazamentos. Apesar das sanções entrarem oficialmente em vigor apenas em agosto de 2021 por meio da ANDP – Agência Nacional de Proteção de Dados, outros órgãos como o Ministério Público podem autuar desde que a Lei entrou em vigor.
Para as empresas reduzirem esses riscos, além de realizarem investimentos em segurança cibernética e privacidade e proteção de dados, é preciso também atuar nos processos e atividades de tratamento, coletando apenas informações essenciais à prestação de serviços para seus clientes. Afinal, quanto maior o volume de dados em sua posse, maior o impacto de um vazamento e dos danos causados aos seus titulares.
Assim como o uso de cinto de segurança passou a ser um hábito somente após as aplicações constantes de multas aos infratores pelos órgãos de trânsito, o mesmo deverá ocorrer com as regulamentações de proteção e privacidade de dados. Infelizmente, ainda vivenciaremos muitos vazamentos parecidos com esses que estamos vivenciando. Mas, em contrapartida, também teremos a atuação e as autuações dos órgãos reguladores até que as empresas envolvidas realizem os investimentos necessários e modifiquem seus processos de tratamento de dados.
*Maurício Figueiredo é advogado e consultor na área de Data Privacy e Igor Buess é consultor de Segurança da Informação, ambos da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.
