Em janeiro deste ano, noticiou-se que pacotes de dados com informações pessoais de mais de 223 milhões de brasileiros, incluindo falecidos, foram expostos à venda em fóruns digitais. Ocorreram dois vazamentos, o primeiro, envolvendo dados de veículos e informações relativas a cada número de CPF, em livre circulação na internet, e o segundo, mais abrangente, incluiu dados sobre escolaridade, benefícios do INSS e programas sociais, renda e score de crédito, informações que passaram a ser comercializadas na deep web.
Apesar de uma das bases apresentar dados do Mosaic, serviço de segmentação de informações da Serasa Experian, empregado para classificação de consumidores com fins publicitários, esta última nega ter sido a fonte do vazamento. Em seu último pronunciamento, a Serasa informou que as análises internas realizadas até o momento concluíram que não há correspondência entre os campos das pastas disponíveis na Internet e os sistemas do Serasa Score ou do Mosaic.
Desse modo, a fonte dos dados ainda permanece desconhecida, havendo no mercado a suposição de que o pacote de dados tenha sido consolidado a partir de diversas fontes, incluindo vazamentos anteriores. Diante deste incidente, a Autoridade Nacional de Proteção de Dados (ANPD) solicitou à Polícia Federal a apuração do caso, que abriu inquérito para investigar o vazamento de dados pessoais dos cidadãos.
Independentemente da ignorância quanto à fonte ou fontes dos vazamentos, este incidente apresenta implicações relevantes no contexto da privacidade e proteção de dados no Brasil. Assim, especialistas alertam para os riscos da concentração de grande volume de dados pessoais em entidades conhecidas como data brokers e birôs de crédito, em razão do cadastro positivo, regulado pela Lei do Cadastro Positivo (Lei nº 12.414/2011).[1]
Em que pese a importância do sistema de score de crédito ao mercado, estudiosos apontam a necessidade de alterações na Lei do Cadastro Positivo, principalmente em razão da ausência de regulação quanto aos incidentes de segurança da informação, como o megavazamento de dados pessoais que ocorreu no início deste ano.[2]
Outros incidentes semelhantes de vazamento de dados pessoais continuam a ser noticiados, por exemplo, em 10 de fevereiro deste ano, a empresa de segurança cibernética PSafe noticiou a exposição de dados telefônicos de mais de 100 milhões de brasileiros. A empresa em questão informa que tais dados também foram disponibilizados para a venda na deepweb, o que reforça o cenário de vulnerabilidade dos titulares de dados pessoais no Brasil.
Enfim, os casos mencionados acima revelam que todas as empresas estão sujeitas a eventuais incidentes de segurança, por isso a melhor saída, além da adoção de medidas de segurança e prevenção, é o estabelecimento de um sólido plano de contingência, destinado à mitigação de danos aos titulares de dados pessoais.
Sobre o tema, a LGPD prevê que, em caso de vazamento de dados, o controlador deverá comunicar o fato aos titulares dos dados pessoais e à ANPD em prazo razoável. Ademais, a LGPD estabelece o conteúdo mínimo desta comunicação, que deverá conter:
- a descrição da natureza dos dados pessoais afetados;
- as informações sobre os titulares envolvidos;
- a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- os riscos relacionados ao incidente;
- os motivos da demora, no caso de a comunicação não ter sido imediata; e
- as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
É fato que o plano de contingência em incidentes de segurança dependerá das circunstâncias do vazamento, como, por exemplo, a natureza dos dados pessoais e o volume da exposição. Dessa forma, é essencial o respeito ao princípio da razoabilidade, de acordo com o contexto da empresa e do modelo de negócio.
Portanto, é evidente que a constante adequação à LGPD e à cultura de privacidade e proteção de dados depende da gestão continuada de riscos que envolvem desde adoção de medidas internas de salvaguardas até a consolidação de planos de ação em casos de eventuais incidentes de segurança.
Ressalta-se que o caso ainda está sendo investigado, não havendo nenhuma conclusão acerca dos responsáveis pelo vazamento.
Maria Eduarda Sampaio de Sousa
E-mail: mariaeduarda.sampaio@brasilsalomao.com.br
Beatriz Paccini
E-mail: beatriz.paccini@brasilsalomao.com.br
[1] LEMOS, Ronaldo. O vazamento de dados do fim do mundo. Folha de São Paulo, 31/01/2021. Disponível em: https://www1.folha.uol.com.br/colunas/ronaldolemos/2021/01/o-vazamento-de-dados-do-fim-do-mundo.shtml
[2] MARCHETTI, Brunno. Por que você deve se preocupar com a nova lei do Cadastro Positivo. Vice. Disponível em: https://www.vice.com/pt/article/qvxn95/dados-lei-cadastro-positivo.