O artigo analisa os recentes vazamentos e megavazamentos de dados pessoais e as regras sobre o assunto na Lei Geral de Proteção de Dados.

A internet e as interações em rede deixam o ambiente mais vulnerável, ao facilitar o acesso às pessoas e aos seus dados e informações.

Um estudo publicado na edição de janeiro de 2021 do Journal of Data and Information Quality indica que a quantidade de incidentes relevantes com dados pessoais no Brasil cresceu quase 500% de 2018 para 2019.

Conforme o Relatório de Custo de Incidente com Dados (Cost of a Data Breach Report), elaborado anualmente pela IBM, em 2020 o custo médio da violação de dados no Brasil foi de R$ 5,88 milhões, além de ter ocorrido uma ampliação na quantidade de dias para identificar a violação de dados, que passou a ser de 265 dias (em comparação com os 250 dias em 2019), e para conter a violação, que cresceu de 111 para 115 dias, em comparação a 2019.

Assim, a adequação à LGPD precisa não apenas da elaboração de boas práticas e de governança e das medidas de prevenção, mas também da sua atualização e revisão constantes, considerando que as tecnologias se inovam e renovam todos os dias, ou, melhor dizendo, a cada segundo.

Por isso, uma pergunta a ser feita é: quando ocorrerá o próximo vazamento de dados pessoais?

Recorda-se que um dos fatores que influenciaram a aprovação da LGPD no Brasil foi o tratamento inadequado de dados pessoais coletados em rede social (com a finalidade declarada de uso exclusivamente acadêmico) pela empresa britânica Cambridge Analytica, ocorrido principalmente durante o ano de 2016, mas tornado público em 2018.

Esse caso envolveu o tratamento de dados pessoais de aproximadamente 87 milhões de usuários da rede social Facebook, com ausência de informações adequadas e desvio de finalidade, pela empresa Cambridge Analytica e para uso em campanhas eleitorais.

Ainda em 2018, no Brasil, ocorreu um vazamento de dados pessoais de quase 2 milhões de clientes da empresa Netshoes (nome, número de CPF, data de nascimento, endereço de e-mail e histórico de compras), que firmou em 2019 um termo de ajustamento de conduta com o Ministério Público do Distrito Federal. O TAC compreende a adoção de medidas adicionais de proteção de dados pessoais, a promoção de campanhas de conscientização sobre as melhores práticas de proteção da privacidade e o pagamento da quantia de 500 mil reais, a título de compensação pelos danos morais causados.

Também em 2018, ocorreu o vazamento de dados pessoais de 19.961 clientes do Banco Inter, que no ano seguinte realizou um acordo (homologado judicialmente) com o Ministério Público do Distrito Federal, para o pagamento de compensação por danos morais de R$ 1,5 milhão, destinado a instituições de caridade e a instituições públicas de combate a crimes cibernéticos.

O ano de 2021, em seu primeiro semestre, foi caracterizado por dois megavazamentos no Brasil: em janeiro, divulgou-se o vazamento de dados de 223 milhões de pessoas (vivas e falecidas), quantidade maior do que a população atual do país. A base de dados é formada por nomes, número de CPF, gênero, data de nascimento, escolaridade, benefícios previdenciários e assistenciais recebidos, dados de veículos, entre outros.

Em março, dados pessoais de 223 milhões de pessoas estavam à venda em um fórum na internet, contendo nome, CPF, gênero, data de nascimento, número de telefone celular e endereço de e-mail. Nesse caso houve a identificação da base de dados vazada, como sendo do Poupatempo, um serviço público estadual de emissão de documentos em São Paulo (o que leva ao questionamento: qual a necessidade de um banco de dados estadual conter dados pessoais de toda a população brasileira?).

Nesses dois casos, cada megavazamento continha mais de um bilhão de dados pessoais.

Ainda em 2021, noticiou-se o megavazamento de aproximadamente 500 milhões de dados pessoais de quase 90 milhões de usuários (mais de 443 mil brasileiros) do Facebook, ocorrido há alguns anos e não comunicado na época pelo controlador.

Recorda-se que a prevenção (princípio de tratamento previsto no art. 6º, VIII, da LGPD) é um dos pilares da segurança da informação, que busca a adoção de medidas preventivas à ocorrência de incidentes, porque não há uma forma apropriada de correção integral dos ilícitos praticados e dos danos causados aos dados pessoais.

Além disso, a prevenção deve ser a regra na proteção dos direitos da personalidade, tendo em vista que eventual violação e o cometimento de danos aos seus titulares não podem ser corrigidos com o retorno ao estado jurídico anterior (status quo ante).

O vazamento de dados pessoais não pode ser corrigido com o retorno dos dados vazados ao seu local de origem, mas apenas por meio da sua conversão em perdas e danos (materiais e morais), ou seja, da transformação de um dano à personalidade em um dano patrimonial.

Por isso, é necessário usar as técnicas processuais adequadas para prevenir os danos e para corrigir com celeridade os vazamentos com dados pessoais.

Ainda que continuem ocorrendo vazamentos e megavazamentos, as medidas de adequação à LGPD devem prosseguir para, progressivamente, modificar a cultura sobre a proteção de dados pessoais no país.

A existência de regras claras sobre as atividades de tratamento de dados pessoais deve levar à maior necessidade de medidas preventivas e de proteção, além do aumento da quantidade de conflitos, para que seja possível conferir efetividade às normas da LGPD.


Autor


Informações sobre o texto

Este texto foi publicado diretamente pelo autor. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi.

Comentários

0

Autorizo divulgar minha mensagem juntamente com meus dados de identificação.
A divulgação será por tempo indeterminado, mas eu poderei solicitar a remoção no futuro.
Concordo com a Política de Privacidade e a Política de Direitos e Responsabilidades do Jus.

Regras de uso