Topo

O que diz a lei atual quando o governo deixa vazar nossos dados pessoais?

Dois grandes recentes vazamentos podem ter vindo de instâncias do governo - Estúdio Rebimboca/UOL
Dois grandes recentes vazamentos podem ter vindo de instâncias do governo Imagem: Estúdio Rebimboca/UOL

Gabriel Joppert

Colaboração para Tilt

16/10/2019 04h00Atualizada em 18/10/2019 10h30

Sem tempo, irmão

  • Vazamento do Detran, com dados de 70 mi de pessoas, expõe crise de segurança digital
  • Outro banco de dados vazado na deep web seria de 92 milhões de brasileiros
  • LGPD ainda não está em vigor, mas há outros canais legais para suporte e reparação
  • Constituição e Marco Civil da Internet trazem pontos que garantem privacidade
  • É possível coletar capturas de tela, fazer ata notarial e acionar MP ou um advogado

A lei brasileira sobre tratamento de dados pessoais —a LGPD (Lei Geral de Proteção de Dados)— só começa a vigorar em agosto do ano que vem. Ela traz as punições para quem deixa vazar, sem querer ou não, informações sensíveis sem o consentimento dos usuários. Mas nesse meio tempo, o que acontece com quem cai neste erro?

Não precisa imaginar muito, pois na semana passada surgiram duas grandes denúncias de vazamentos de dados pessoais de cidadãos brasileiros.

O primeiro foi uma vulnerabilidade no sistema do Detran do Rio Grande do Norte, que permitiu acesso a dados de cerca de 70 milhões de pessoas —supostamente são de todos os brasileiros com carteira de motorista ou veículo registrado.

O segundo vazamento é uma base de dados que conteria perfis de 92 milhões de brasileiros que foi posta em leilão na deep web.

A brecha do Detran-RN, descoberta por um pesquisador de segurança da informação, foi confirmada pelo órgão. Dados pessoais como RG, CPF, dados da CNH, data de nascimento, foto e endereço residencial completo teriam ficado acessíveis em uma busca que podia ser feita usando apenas o CPF da pessoa.

A assessoria de comunicação do Detran-RN disse que a falha foi corrigida na terça-feira passada (8). Um processo administrativo também foi aberto. A direção do órgão está apurando o alcance da falha e averiguando quais dados foram expostos, por quanto tempo, e se houve acessos em série à página.

O segundo vazamento veio à tona por conta de uma denúncia que apareceu na conta de Twitter Breach Radar, que analisa casos de cibersegurança. O banco de dados de 92 milhões de brasileiros estaria em um arquivo de 16 GB com telefones, endereços físicos, endereços de email, profissão, grau de instrução e outras informações.

A origem dos dados ainda não está clara, apesar de os anunciantes dizerem que é uma base de dados "do governo". Uma reportagem do portal "Bleeping Computer" comparou uma amostra do arquivo com a checagem de CPF do portal da Receita Federal e garantiu que os dados batem. O preço inicial do leilão pelo banco de dados é de US$ 15 mil, com acréscimo de US$ 1 mil dólares por cada lance adicional.

A mineração e revenda de dados pessoais já se estabeleceu na deep web como um modelo de negócios rentável e destrutivo: estima-se que o cibercrime deverá gerar em 2021 um prejuízo de US$ 6 trilhões, segundo a Herjavec Group, consultoria de segurança cibernética.

Isso é muito sério?

Apesar dos dois vazamentos terem ocorrido em um intervalo de poucos dias, o especialista Daniel Barbosa, da empresa de segurança digital Eset, crê que não se pode relacioná-las. Mas não deixam de ser muito sérias.

"Ambas as falhas expuseram dados como nome, RG, data de nascimento e endereço de usuários de várias partes do país. Estas informações são extremamente sensíveis, o que mostra a seriedade das duas situações", explica.

Atualmente o órgão do governo federal mais importante sobre ciberameaças é o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), subordinado ao Gabinete de Segurança Institucional (GSI).

Dos variados problemas cibernéticos que páginas do governo sofrem (de abuso de site a ataques com malware) os vazamentos de dados cresceram 19 vezes nos últimos seis anos e se tornaram o segundo problema mais comum da segurança digital do governo.

A culpa é de quem?

O caso do Detran-RN poderia ser enquadrado na Lei Geral de Proteção de Dados pois se trata de dado pessoal "tratado por pessoa física ou jurídica pública (governo) ou privada (empresa)". O problema é que, como dissemos, a LGPD só entra em vigor em agosto de 2020. E aí?

Já há leis que responsabilizam quem vazou e repara os cidadãos que se sentirem lesados. Quando a LGPD passar a valer, sanções poderão ser aplicadas diretamente a entidades municipais, estaduais ou federais. Um órgão novo chamado ANPD (Autoridade Nacional de Proteção de Dados) ficará a cargo disso.

Algumas dessas sanções vão de uma simples advertência até a divulgação da infração, além do bloqueio e eliminação dos dados pessoais envolvidos.

Segundo Gisele Truzzi, advogada de direito digital da Truzzi Advogados, a privacidade já é garantida hoje pela Constituição Federal (art. 5º, inciso X). O Marco Civil da internet (Lei 12.965/14) também coloca a privacidade e a proteção dos dados pessoais como um dos princípios norteadores no uso da internet no Brasil (art. 3º, incisos II e III).

Se a LGPD estivesse em vigor, seria preciso entender uma série de fatores para aplicar as penas. "Se a prevenção era adequada, com políticas de segurança e protocolos de respostas a incidentes, e mesmo assim houve a violação, a responsabilidade da entidade seria bem menor", pontuou o advogado Diego Borba, consultor de segurança digital da Nielsen.

Assim que a LGPD estiver em vigência, a futura vítima de um incidente desse tipo poderá denunciar o fato à ANPD e ao setor responsável pelo tratamento de dados do órgão público.

Não foi o caso aqui, mas lembramos ainda que empresas privadas responsáveis por vazamentos de dados sensíveis receberão, pela LGPD, multas de até 2% do seu faturamento até o limite de R$ 50 milhões.

O que faço se fui vítima desses atuais vazamentos?

Os conselhos da especialista Gisele Truzzi são os seguintes:

1) Coletar todas as provas do incidente (capturas de tela do site governamental onde seus dados estão expostos, ou de sites que efetuam essa consulta; matérias jornalísticas que relataram o fato) e apresentar documentos pessoais e informações próprias relacionadas à ocorrência, para comprovar que os dados são autênticos (por exemplo: CNH, documento do veículo, RG, CPF, comprovante de residência, etc.)

2) Criar uma ata notarial em qualquer cartório. Basta informar os links da internet que possuem os dados expostos publicamente. O Tabelião irá descrever o que pode ser visualizado naquele site e inserirá um print de imagem do conteúdo exposto. A ata é uma prova 100% válida em processos judiciais

3) Obter uma prova de conteúdo digital, extraído diretamente pelo cidadão em sites que oferecem esse serviço usando tecnologia blockchain, como por exemplo o Pacweb. Esse tipo de prova acaba sendo mais barata e mais rápida do que a ata notarial, e também é válida juridicamente.

De posse de toda essa documentação, o cidadão poderá procurar o Ministério Público ou Defensoria Pública em seu município, ou também buscar um advogado particular para entrar com uma ação judicial contra o órgão federal.

O que eu poderia ter feito para evitar?

Os vazamentos provavelmente ocorreram por erro ou falha de segurança do Detran e do governo federal, e nós, usuários, não podíamos ter evitado isso a princípio. De qualquer forma, o especialista da Eset Daniel Barbosa deu algumas recomendações gerais de segurança aos usuários, que não custa serem seguidas:

  • Manter aplicativos, sistemas operacionais e programas sempre atualizados,
  • Instalar uma boa solução de segurança da informação no aparelho
  • Redobrar a atenção com quais dados são compartilhados virtualmente
  • Verificar as configurações de privacidade de seus aplicativos e utilizar senhas longas e complexas
  • Caso seja vítima de um ataque, nunca negocie com cibercriminosos e busque ajuda

SIGA TILT NAS REDES SOCIAIS

Errata: este conteúdo foi atualizado
Diferentemente do que foi escrito no texto, quando a LGPD passar a valer, apenas sanções poderão ser aplicadas diretamente a entidades municipais, estaduais ou federais. Antes o texto dizia que multas e sanções poderão ser aplicadas às entidades públicas. O texto foi corrigido.