O que diz a lei atual quando o governo deixa vazar nossos dados pessoais?
Sem tempo, irmão
- Vazamento do Detran, com dados de 70 mi de pessoas, expõe crise de segurança digital
- Outro banco de dados vazado na deep web seria de 92 milhões de brasileiros
- LGPD ainda não está em vigor, mas há outros canais legais para suporte e reparação
- Constituição e Marco Civil da Internet trazem pontos que garantem privacidade
- É possível coletar capturas de tela, fazer ata notarial e acionar MP ou um advogado
A lei brasileira sobre tratamento de dados pessoais —a LGPD (Lei Geral de Proteção de Dados)— só começa a vigorar em agosto do ano que vem. Ela traz as punições para quem deixa vazar, sem querer ou não, informações sensíveis sem o consentimento dos usuários. Mas nesse meio tempo, o que acontece com quem cai neste erro?
Não precisa imaginar muito, pois na semana passada surgiram duas grandes denúncias de vazamentos de dados pessoais de cidadãos brasileiros.
O primeiro foi uma vulnerabilidade no sistema do Detran do Rio Grande do Norte, que permitiu acesso a dados de cerca de 70 milhões de pessoas —supostamente são de todos os brasileiros com carteira de motorista ou veículo registrado.
O segundo vazamento é uma base de dados que conteria perfis de 92 milhões de brasileiros que foi posta em leilão na deep web.
A brecha do Detran-RN, descoberta por um pesquisador de segurança da informação, foi confirmada pelo órgão. Dados pessoais como RG, CPF, dados da CNH, data de nascimento, foto e endereço residencial completo teriam ficado acessíveis em uma busca que podia ser feita usando apenas o CPF da pessoa.
A assessoria de comunicação do Detran-RN disse que a falha foi corrigida na terça-feira passada (8). Um processo administrativo também foi aberto. A direção do órgão está apurando o alcance da falha e averiguando quais dados foram expostos, por quanto tempo, e se houve acessos em série à página.
O segundo vazamento veio à tona por conta de uma denúncia que apareceu na conta de Twitter Breach Radar, que analisa casos de cibersegurança. O banco de dados de 92 milhões de brasileiros estaria em um arquivo de 16 GB com telefones, endereços físicos, endereços de email, profissão, grau de instrução e outras informações.
A origem dos dados ainda não está clara, apesar de os anunciantes dizerem que é uma base de dados "do governo". Uma reportagem do portal "Bleeping Computer" comparou uma amostra do arquivo com a checagem de CPF do portal da Receita Federal e garantiu que os dados batem. O preço inicial do leilão pelo banco de dados é de US$ 15 mil, com acréscimo de US$ 1 mil dólares por cada lance adicional.
A mineração e revenda de dados pessoais já se estabeleceu na deep web como um modelo de negócios rentável e destrutivo: estima-se que o cibercrime deverá gerar em 2021 um prejuízo de US$ 6 trilhões, segundo a Herjavec Group, consultoria de segurança cibernética.
Isso é muito sério?
Apesar dos dois vazamentos terem ocorrido em um intervalo de poucos dias, o especialista Daniel Barbosa, da empresa de segurança digital Eset, crê que não se pode relacioná-las. Mas não deixam de ser muito sérias.
"Ambas as falhas expuseram dados como nome, RG, data de nascimento e endereço de usuários de várias partes do país. Estas informações são extremamente sensíveis, o que mostra a seriedade das duas situações", explica.
Atualmente o órgão do governo federal mais importante sobre ciberameaças é o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), subordinado ao Gabinete de Segurança Institucional (GSI).
Dos variados problemas cibernéticos que páginas do governo sofrem (de abuso de site a ataques com malware) os vazamentos de dados cresceram 19 vezes nos últimos seis anos e se tornaram o segundo problema mais comum da segurança digital do governo.
A culpa é de quem?
O caso do Detran-RN poderia ser enquadrado na Lei Geral de Proteção de Dados pois se trata de dado pessoal "tratado por pessoa física ou jurídica pública (governo) ou privada (empresa)". O problema é que, como dissemos, a LGPD só entra em vigor em agosto de 2020. E aí?
Já há leis que responsabilizam quem vazou e repara os cidadãos que se sentirem lesados. Quando a LGPD passar a valer, sanções poderão ser aplicadas diretamente a entidades municipais, estaduais ou federais. Um órgão novo chamado ANPD (Autoridade Nacional de Proteção de Dados) ficará a cargo disso.
Algumas dessas sanções vão de uma simples advertência até a divulgação da infração, além do bloqueio e eliminação dos dados pessoais envolvidos.
Segundo Gisele Truzzi, advogada de direito digital da Truzzi Advogados, a privacidade já é garantida hoje pela Constituição Federal (art. 5º, inciso X). O Marco Civil da internet (Lei 12.965/14) também coloca a privacidade e a proteção dos dados pessoais como um dos princípios norteadores no uso da internet no Brasil (art. 3º, incisos II e III).
Se a LGPD estivesse em vigor, seria preciso entender uma série de fatores para aplicar as penas. "Se a prevenção era adequada, com políticas de segurança e protocolos de respostas a incidentes, e mesmo assim houve a violação, a responsabilidade da entidade seria bem menor", pontuou o advogado Diego Borba, consultor de segurança digital da Nielsen.
Assim que a LGPD estiver em vigência, a futura vítima de um incidente desse tipo poderá denunciar o fato à ANPD e ao setor responsável pelo tratamento de dados do órgão público.
Não foi o caso aqui, mas lembramos ainda que empresas privadas responsáveis por vazamentos de dados sensíveis receberão, pela LGPD, multas de até 2% do seu faturamento até o limite de R$ 50 milhões.
O que faço se fui vítima desses atuais vazamentos?
Os conselhos da especialista Gisele Truzzi são os seguintes:
1) Coletar todas as provas do incidente (capturas de tela do site governamental onde seus dados estão expostos, ou de sites que efetuam essa consulta; matérias jornalísticas que relataram o fato) e apresentar documentos pessoais e informações próprias relacionadas à ocorrência, para comprovar que os dados são autênticos (por exemplo: CNH, documento do veículo, RG, CPF, comprovante de residência, etc.)
2) Criar uma ata notarial em qualquer cartório. Basta informar os links da internet que possuem os dados expostos publicamente. O Tabelião irá descrever o que pode ser visualizado naquele site e inserirá um print de imagem do conteúdo exposto. A ata é uma prova 100% válida em processos judiciais
3) Obter uma prova de conteúdo digital, extraído diretamente pelo cidadão em sites que oferecem esse serviço usando tecnologia blockchain, como por exemplo o Pacweb. Esse tipo de prova acaba sendo mais barata e mais rápida do que a ata notarial, e também é válida juridicamente.
De posse de toda essa documentação, o cidadão poderá procurar o Ministério Público ou Defensoria Pública em seu município, ou também buscar um advogado particular para entrar com uma ação judicial contra o órgão federal.
O que eu poderia ter feito para evitar?
Os vazamentos provavelmente ocorreram por erro ou falha de segurança do Detran e do governo federal, e nós, usuários, não podíamos ter evitado isso a princípio. De qualquer forma, o especialista da Eset Daniel Barbosa deu algumas recomendações gerais de segurança aos usuários, que não custa serem seguidas:
- Manter aplicativos, sistemas operacionais e programas sempre atualizados,
- Instalar uma boa solução de segurança da informação no aparelho
- Redobrar a atenção com quais dados são compartilhados virtualmente
- Verificar as configurações de privacidade de seus aplicativos e utilizar senhas longas e complexas
- Caso seja vítima de um ataque, nunca negocie com cibercriminosos e busque ajuda
SIGA TILT NAS REDES SOCIAIS
- Twitter: https://twitter.com/tilt_uol
- Instagram: https://www.instagram.com/tilt_uol/
- WhatsApp: https://uol.page.link/V1gDd
- Grupo no Facebook Deu Tilt: http://bit.ly/FacebookTilt
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.