Alerta Digital por Stenio Santos Sousa - 13/07/2023

Violação de dados pessoais na Internet:

o Despertar de Jörmungandr e a LGPD

Uma antiga lenda nórdica prevê que no final dos tempos (Ragnarök), Jörmungandr, a Serpente do Mundo, despertará e emergirá das profundezas do mar, a sinalizar uma mudança cataclísmica e o fim de uma era. Seria a aplicação da primeira multa por violação da Lei Geral de Proteção de Dados (LGPD) o prenúncio do fim da era da manipulação inconsequente dos dados de consumidores digitais no Brasil?

A comparação acima é deveras hiperbólica, confesso cá entre nós, mas este alerta digital é de especial interesse ao nosso leitor que manipula dados pessoais de seus clientes. A multa aplicada à empresa Telekall Inforservice, no valor de 14,4 mil reais, no bojo do Processo Administrativo Sancionador nº 00261.000489/2022-62, conforme Despacho da Autoridade Nacional de Proteção de Dados (ANPD), publicado na edição 127 do DOU de 06 julho de 2023, decorreu de descumprimento do artigo 7º da LGPD e do artigo 5º do Regulamento do Processo de Fiscalização, que estabelece as diretrizes para a fiscalização da ANPD, incluindo a verificação do cumprimento das normas de proteção de dados.

O artigo 7º da LGPD, traz as condições em que o tratamento de dados pessoais é considerado lícito, dentre elas, quando há consentimento do titular, cumprimento de obrigação legal ou regulatória pelo controlador, e execução de contrato ou procedimentos preliminares, a pedido do titular. O uso indevido de dados, pela via inversa, pode surgir quando empresas coletam dados pessoais de seus usuários, em geral com o objetivo de obtenção de lucro por meio de sua comercialização a terceiros, sem prévio e expresso consentimento daqueles.

Na coluna da semana passada comentamos sobre o caso da empresa Cambridge Analytica que obteve indevidamente dados de milhões de usuários do Facebook por volta do ano de 2016, objeto do documentário Privacidade Hackeada (2019). Mas não precisamos ir muito longe. Quem aqui nunca recebeu um SMS, e-mail ou mesmo contato via WhatsApp de pessoa ou empresa desconhecida com oferta não solicitada de serviços? Como será que obtiveram nossos contatos?

Outra forma bem comum de coletar dados indevidamente é por meio de armazenamento de “cookies” na máquina do usuário da internet. Esses pequenos arquivos tem o objetivo de rastrear as atividades e podem servir para garantir funcionalidades da página, analisar o uso dos serviços e personalizar a experiência do usuário naquela plataforma de serviço, inclusive por meio do direcionamento de propaganda.

No Brasil, a partir da LGPD, as empresas passaram a ser obrigadas a comunicar que poderiam coletar dados e, inclusive, a permitir que o usuário possa manifestar rejeição ao uso dessa tecnologia. Nem todas, porém, seguem estritamente a lei e algumas buscam lacunas com fito em interesses pessoais ou empresariais.

Não é incomum que ocorram violações às próprias políticas de privacidade informadas, por meio da coleta, uso ou compartilhamento de dados de forma não divulgada ao usuário. Em 2019, o Google foi a primeira grande vítima do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, norma similar à LGPD brasileira, ao ser obrigado a pagar multa de 50 milhões de euros na França por não fornecer transparência suficiente sobre como os dados dos usuários são usados em seus serviços de publicidade (FOX, 2019).

Outro caso emblemático foi o acordo do Facebook, também em 2019, no valor de 5 bilhões de dólares, equivalente a quase 20 bilhões de reais no câmbio da época, com a Comissão Federal do Comércio (Federal Trade Comission, 2019) dos EUA para encerrar uma investigação sobre as medidas que adota referente à privacidade de seus usuários.

O fato é que a coleta indiscriminada e a ausência ou inadequação de mecanismos de guarda desses dados, podem não apenas ser objeto de comércio, mas também de furto por hackers e outras pessoas mal intencionadas. Exemplo disso veio à tona em 2016, quando foi noticiado que uma violação de dados sofrida em 2014 pela empresa Yahoo resultou no furto de dados de pelo menos 500 milhões de usuários, no que foi considerada a maior invasão de sistemas sofrida por uma companhia de internet (PERLROTH, 2016). Dentre os dados obtidos indevidamente pelos criminosos cibernéticos, inclui-se nomes, endereços de e-mail, números de telefone, datas de nascimento e, em alguns casos, perguntas e respostas de segurança criptografadas e não criptografadas.

Na mesma linha, em 2018, a Uber foi multada em 148 milhões de dólares após fechar acordo com a justiça dos EUA por ocultar que foi vítima de vazamento de dados de 57 milhões de clientes por volta do mês de outubro de 2017 (WEISE, 2017). Reportagem da Bloomberg (NEWCOMER, 2017) inclusive apontou que a empresa chegou a pagar 100 mil dólares aos hackers para que os dados fossem apagados e a informação não viessem a público. Desespero ou inocência? O fato é que pagamento de pedidos de resgates na internet, em face da peculiaridade da informação poder ser duplicada e armazenada, nunca será uma garantia.

No caso brasileiro, ao contrário do que foi visto nos EUA e na Europa, a primeira multa decorrente da LGPD foi aplicada a uma microempresa e em valores relativamente baixos, o que denota que a ANPD inicia sua jornada fiscalizatória com cautela, mas não ficará omissa diante de qualquer violação aos direitos individuais e coletivos dos usuários de internet brasileiros quanto ao uso de seus dados pessoais.

Importante destacar, no entanto, que a LGPD não se aplica ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública. Isto implica entender que a colaboração das empresas e das instituições com o fornecimento de dados requisitados, por exemplo, pelos órgãos de investigação criminal continua sendo um dever legal e não encontra óbice nessa legislação.

As empresas e instituições devem entender que a proteção de dados pessoais não é apenas uma questão de conformidade legal, mas de respeito ao consumidor e com a segurança pública, além de uma mudança fundamental na forma como os negócios são conduzidos. Quem não se adaptar a essa nova realidade enfrentará consequências significativas.

Referências

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Diário Oficial da União, Brasília, DF, 15 ago. 2018. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 12 jul. 2023.

FOX, Chris. Google hit with £44m GDPR fine over ads. BBC, 21 jan 2019. Disponível em: <https://www.bbc.com/news/technology-46944696>. Acesso em: 12 jul. 2023.

FEDERAL TRADE COMISSION. FTC imposes $5 billion penalty and sweeping new privacy restrictions on Facebook. FTC, 2019. Disponível em: <https://www.ftc.gov/news-events/news/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions-facebook>. Acesso em: 12 jul. 2023.

NEWCOMER, Eric. Uber concealed cyberattack that exposed 57 million people’s data. Bloomberg, 21 nov 2017. Disponível em: <https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data#xj4y7vzkg>. Acesso em: 12 jul. 2023.

PERLROTH, Nicole. Yahoo Says Hackers Stole Data on 500 Million Users in 2014. The New York Times, 22 sep. 2016. Disponível em: <https://www.nytimes.com/2016/09/23/technology/yahoo-hackers.html>. Acesso em: 12 jul. 2023.

PRIVACIDADE HACKEADA. Direção: Karim Amer, Jehane Noujaim. Produção: Netflix, 2019. 1 vídeo (119 min). Disponível em: <https://www.netflix.com/br/title/80117542>. Acesso em: 12 jul. 2023.

WEISE, Elizabeth. Uber kept mum on year-old hack that exposed data of 57 million riders, drivers. USA Today, 21 nov 2017. Disponível em: <https://www.usatoday.com/story/tech/2017/11/21/uber-kept-mum-year-hack-info-57-million-riders-and-drivers/887002001/>. Acesso em: 12 jul. 2023.