Freepik
Revelação de
milhões de dados pessoais e de veículos expõe fragilidade das empresas quanto à
capacidade de proteger dados no Brasil
A notícia do recente vazamento de dados
confidenciais de mais de 220 milhões de brasileiros acendeu o alerta sobre como
as empresas e instituições que administram informações pessoais de usuários
estão lidando (ou não) com a questão da proteção desses dados. Na lista de
informações vazadas estão CPF, salário, score de crédito, cheques sem fundos e
números de telefone, entre outros. A imprensa aponta que o vazamento partiu dos
bancos de dados da Serasa Experian, além de ter contado, possivelmente, com a
base de órgãos ligados ao Governo Federal, a partir da invasão de sistemas. O
que coloca a empresa de análise de crédito como possível responsável é a
divulgação de score de crédito e a base de dados Mosaic, utilizada pela Serasa.
O vazamento, que já é considerado o maior da história do Brasil, acontece no
momento em que os bancos brasileiros - muitos dos quais trabalham diretamente
com a Serasa - se preparam para dar início ao Open Banking, passando a operar
com um sistema que permitirá o compartilhamento de dados e serviços pelas
instituições participantes. Um vazamento dessas proporções gera insegurança
para todos. A Serasa Experian já emitiu duas notas oficiais em que nega ser a
fonte dos dados vazados.
O cenário fica ainda pior quando se trata de dados
de veículos: uma falha no sistema do Departamento Estadual de Trânsito do Rio
Grande do Sul (Detran-RS) expôs informações pessoais de 5,1 milhões de
motoristas, sendo possível acessar RG, número da Carteira Nacional de
Habilitação (CNH), placas, entre outros dados. Na última semana já havia sido
revelado vazamento ainda maior, com os dados de 104 milhões de veículos,
incluindo marca, modelo, chassi e número da placa distribuídos livremente pela
internet. Embora não seja possível ainda afirmar que no caso das informações
dos veículos haja ligação com a Serasa, a empresa trabalha com milhões de dados
e detém 38% do mercado nacional de registro de financiamento de veículos. Esse
vazamento impressiona porque, segundo números oficiais do Denatran, em dezembro
de 2020 o país contabilizava 107.948.371 veículos registrados, o que significa
que quase a totalidade de veículos brasileiros tiveram dados expostos na
internet. Essas informações vazadas podem ser usadas para diversos tipos de
ilícitos, incluindo clonagem de chassi, clonagem de documentos do carro e envio
de multas falsas ao proprietário do veículo.
De acordo com Gabriel Schulman, doutor em Direito e
coordenador da Pós-Graduação em Direito e Tecnologia da Universidade Positivo,
o episódio mostra que o Brasil ainda precisa avançar muito para se colocar em
posição de conformidade com a Lei Geral de Proteção de Dados (LGPD). "Este
caso, tanto pela quantidade de dados, quanto por sua natureza, acende alerta em
relação às atividades das empresas e a capacidade de preservar a proteção dos
dados que administra e comercializa. Ao tempo em que a Autoridade Nacional de
Proteção de Dados (ANPD) - agência reguladora -, ainda inicia suas atividades,
o cenário brasileiro demanda medidas efetivas, conduta proativa das empresas e
responsabilização de infratores", alerta Schulman.
Segundo o especialista, uma ocorrência dessa
natureza traz enormes prejuízos, impactando significativamente em função da
enormidade dos números. "Grande quantidade desses dados permite, sobretudo
por pessoas mal intencionadas, diversos usos ilícitos que podem prejudicar
gravemente aqueles que tiveram seus dados expostos", alerta Schulman. Além
de fraudes em compras e empréstimos, é possível também com essas informações
vazadas saber o escore de crédito de um consumidor, expondo a sua capacidade
financeira. "Os dados revelados expõem as pessoas de diversas maneiras e a
diversos riscos. Até mesmo informações sobre o Imposto de Renda dos
contribuintes foram reveladas, expondo lista de bens que podem transformar as
pessoas em alvos de criminosos", lamenta.
A LGPD prevê, em caso de
vazamento, entre outras coisas, multa de até 2% do faturamento da
empresa, com limite de até R$ 50 milhões. Mas a cobrança só pode ocorrer
a partir de agosto de 2021, após pedido das empresas. "As multas ainda não
estão vigentes, no entanto a legislação já permite a aplicação de medidas de
reparação de danos e a obrigatoriedade de que as empresas adotem providências
para evitar mais estragos e reduzir o grau de prejuízos", explica. Para
Schulman, o Brasil só irá de fato consolidar a experiência no que diz respeito
à proteção de dados, com uma realidade e práticas que realmente impeçam
episódios como esses, quando se debruçar em cima de uma agenda sobre o tema.
"A LGPD precisa estar na pauta de todos. Privacidade incorporada aos
processos internos e a cultura empresarial. Há também muita expectativa na
ANPD, de quem se esperam respostas rápidas e efetivas quando se trata de
proteger os dados de usuários", completa.
Nenhum comentário:
Postar um comentário