Megavazamentos de Dados Pessoais

A internet e as interações em rede deixam o ambiente mais vulnerável, ao facilitar o acesso às pessoas e aos seus dados e informações.

Um estudo publicado na edição de janeiro de 2021 do Journal of Data and Information Quality indica que a quantidade de incidentes relevantes com dados pessoais no Brasil cresceu quase 500% de 2018 para 2019.

Conforme o Relatório de Custo de Incidente com Dados (Cost of a Data Breach Report), elaborado anualmente pela IBM, em 2020 o custo médio da violação de dados no Brasil foi de R$ 5,88 milhões, além de ter ocorrido uma ampliação na quantidade de dias para identificar a violação de dados, que passou a ser de 265 dias (em comparação com os 250 dias em 2019), e para conter a violação, que cresceu de 111 para 115 dias, em comparação a 2019.

Assim, a adequação à LGPD precisa não apenas da elaboração de boas práticas e de governança e das medidas de prevenção, mas também da sua atualização e revisão constantes, considerando que as tecnologias se inovam e renovam todos os dias, ou, melhor dizendo, a cada segundo.

Por isso, uma pergunta a ser feita é: quando ocorrerá o próximo vazamento de dados pessoais?

Recorda-se que um dos fatores que influenciaram a aprovação da LGPD no Brasil foi o tratamento inadequado de dados pessoais coletados em rede social (com a finalidade declarada de uso exclusivamente acadêmico) pela empresa britânica Cambridge Analytica, ocorrido principalmente durante o ano de 2016, mas tornado público em 2018.

Esse caso envolveu o tratamento de dados pessoais de aproximadamente 87 milhões de usuários da rede social Facebook, com ausência de informações adequadas e desvio de finalidade, pela empresa Cambridge Analytica e para uso em campanhas eleitorais.

Ainda em 2018, no Brasil, ocorreu um vazamento de dados pessoais de quase 2 milhões de clientes da empresa Netshoes (nome, número de CPF, data de nascimento, endereço de e-mail e histórico de compras), que firmou em 2019 um termo de ajustamento de conduta com o Ministério Público do Distrito Federal. O TAC compreende a adoção de medidas adicionais de proteção de dados pessoais, a promoção de campanhas de conscientização sobre as melhores práticas de proteção da privacidade e o pagamento da quantia de 500 mil reais, a título de compensação pelos danos morais causados.

Também em 2018, ocorreu o vazamento de dados pessoais de 19.961 clientes do Banco Inter, que no ano seguinte realizou um acordo (homologado judicialmente) com o Ministério Público do Distrito Federal, para o pagamento de compensação por danos morais de R$ 1,5 milhão, destinado a instituições de caridade e a instituições públicas de combate a crimes cibernéticos.

O ano de 2021, em seu primeiro semestre, foi caracterizado por dois megavazamentos no Brasil: em janeiro, divulgou-se o vazamento de dados de 223 milhões de pessoas (vivas e falecidas), quantidade maior do que a população atual do país. A base de dados é formada por nomes, número de CPF, gênero, data de nascimento, escolaridade, benefícios previdenciários e assistenciais recebidos, dados de veículos, entre outros.

Em março, dados pessoais de 223 milhões de pessoas estavam à venda em um fórum na internet, contendo nome, CPF, gênero, data de nascimento, número de telefone celular e endereço de e-mail. Nesse caso houve a identificação da base de dados vazada, como sendo do Poupatempo, um serviço público estadual de emissão de documentos em São Paulo (o que leva ao questionamento: qual a necessidade de um banco de dados estadual conter dados pessoais de toda a população brasileira?).

Nesses dois casos, cada megavazamento continha mais de um bilhão de dados pessoais.

Ainda em 2021, noticiou-se o megavazamento de aproximadamente 500 milhões de dados pessoais de quase 90 milhões de usuários (mais de 443 mil brasileiros) do Facebook, ocorrido há alguns anos e não comunicado na época pelo controlador.

Recorda-se que a prevenção (princípio de tratamento previsto no art. 6º, VIII, da LGPD) é um dos pilares da segurança da informação, que busca a adoção de medidas preventivas à ocorrência de incidentes, porque não há uma forma apropriada de correção integral dos ilícitos praticados e dos danos causados aos dados pessoais.

Além disso, a prevenção deve ser a regra na proteção dos direitos da personalidade, tendo em vista que eventual violação e o cometimento de danos aos seus titulares não podem ser corrigidos com o retorno ao estado jurídico anterior (status quo ante).

O vazamento de dados pessoais não pode ser corrigido com o retorno dos dados vazados ao seu local de origem, mas apenas por meio da sua conversão em perdas e danos (materiais e morais), ou seja, da transformação de um dano à personalidade em um dano patrimonial.

Por isso, é necessário usar as técnicas processuais adequadas para prevenir os danos e para corrigir com celeridade os vazamentos com dados pessoais.

Ainda que continuem ocorrendo vazamentos e megavazamentos, as medidas de adequação à LGPD devem prosseguir para, progressivamente, modificar a cultura sobre a proteção de dados pessoais no país.

A existência de regras claras sobre as atividades de tratamento de dados pessoais deve levar à maior necessidade de medidas preventivas e de proteção, além do aumento da quantidade de conflitos, para que seja possível conferir efetividade às normas da LGPD.