A notícia do recente vazamento de dados confidenciais de mais de 220 milhões de brasileiros acendeu o alerta sobre como as empresas e instituições que administram informações pessoais de usuários estão lidando (ou não) com a questão da proteção desses dados. Na lista de informações vazadas estão CPF, salário, score de crédito, cheques sem fundos e números de telefone, entre outros. A imprensa aponta que o vazamento partiu dos bancos de dados da Serasa Experian, além de ter contado, possivelmente, com a base de órgãos ligados ao Governo Federal, a partir da invasão de sistemas. O que coloca a empresa de análise de crédito como possível responsável é a divulgação de score de crédito e a base de dados Mosaic, utilizada pela Serasa. O vazamento, que já é considerado o maior da história do Brasil, acontece no momento em que os bancos brasileiros - muitos dos quais trabalham diretamente com a Serasa - se preparam para dar início ao Open Banking, passando a operar com um sistema que permitirá o compartilhamento de dados e serviços pelas instituições participantes. Um vazamento dessas proporções gera insegurança para todos. A Serasa Experian já emitiu duas notas oficiais em que nega ser a fonte dos dados vazados.
O cenário fica ainda pior quando se trata de dados de veículos: uma falha no sistema do Departamento Estadual de Trânsito do Rio Grande do Sul (Detran-RS) expôs informações pessoais de 5,1 milhões de motoristas, sendo possível acessar RG, número da Carteira Nacional de Habilitação (CNH), placas, entre outros dados. Na última semana já havia sido revelado vazamento ainda maior, com os dados de 104 milhões de veículos, incluindo marca, modelo, chassi e número da placa distribuídos livremente pela internet. Embora não seja possível ainda afirmar que no caso das informações dos veículos haja ligação com a Serasa, a empresa trabalha com milhões de dados e detém 38% do mercado nacional de registro de financiamento de veículos. Esse vazamento impressiona porque, segundo números oficiais do Denatran, em dezembro de 2020 o país contabilizava 107.948.371 veículos registrados, o que significa que quase a totalidade de veículos brasileiros tiveram dados expostos na internet. Essas informações vazadas podem ser usadas para diversos tipos de ilícitos, incluindo clonagem de chassi, clonagem de documentos do carro e envio de multas falsas ao proprietário do veículo.
De acordo com Gabriel Schulman, doutor em Direito e coordenador da Pós-Graduação em Direito e Tecnologia da Universidade Positivo, o episódio mostra que o Brasil ainda precisa avançar muito para se colocar em posição de conformidade com a Lei Geral de Proteção de Dados (LGPD). "Este caso, tanto pela quantidade de dados, quanto por sua natureza, acende alerta em relação às atividades das empresas e a capacidade de preservar a proteção dos dados que administra e comercializa. Ao tempo em que a Autoridade Nacional de Proteção de Dados (ANPD) - agência reguladora -, ainda inicia suas atividades, o cenário brasileiro demanda medidas efetivas, conduta proativa das empresas e responsabilização de infratores", alerta Schulman.
Segundo o especialista, uma ocorrência dessa natureza traz enormes prejuízos, impactando significativamente em função da enormidade dos números. "Grande quantidade desses dados permite, sobretudo por pessoas mal-intencionadas, diversos usos ilícitos que podem prejudicar gravemente aqueles que tiveram seus dados expostos", alerta Schulman. Além de fraudes em compras e empréstimos, é possível também com essas informações vazadas saber o escore de crédito de um consumidor, expondo a sua capacidade financeira. "Os dados revelados expõem as pessoas de diversas maneiras e a diversos riscos. Até mesmo informações sobre o Imposto de Renda dos contribuintes foram reveladas, expondo lista de bens que podem transformar as pessoas em alvos de criminosos", lamenta.
A LGPD prevê, em caso de vazamento, entre outras coisas, multa de até 2% do faturamento da empresa, com limite de até R$ 50 milhões. Mas a cobrança só pode ocorrer a partir de agosto de 2021, após pedido das empresas. "As multas ainda não estão vigentes, no entanto a legislação já permite a aplicação de medidas de reparação de danos e a obrigatoriedade de que as empresas adotem providências para evitar mais estragos e reduzir o grau de prejuízos", explica. Para Schulman, o Brasil só irá de fato consolidar a experiência no que diz respeito à proteção de dados, com uma realidade e práticas que realmente impeçam episódios como esses, quando se debruçar em cima de uma agenda sobre o tema. "A LGPD precisa estar na pauta de todos. Privacidade incorporada aos processos internos e a cultura empresarial. Há também muita expectativa na ANPD, de quem se esperam respostas rápidas e efetivas quando se trata de proteger os dados de usuários", completa.