Topo

Governo deve financiar ajuda a vítimas de megavazamento, diz especialista

Rafael Zanatta, diretor da Associação Data Privacy Brasil - Divulgação
Rafael Zanatta, diretor da Associação Data Privacy Brasil Imagem: Divulgação

Renata Baptista

De Tilt, em São Paulo

12/02/2021 04h00

Apesar da magnitude do megavazamento que expôs os dados pessoais de mais de 220 milhões de brasileiros —incluindo pessoas falecidas— não podemos seguir com a narrativa de que não há nada a ser feito. Rafael Zanatta, advogado diretor da Data Privacy Brasil, uma das principais consultorias de direito digital do país, defende a aplicação rígida da LGPD (Lei Geral de Proteção de Dados Pessoais) e um plano nacional de contingência do governo para ajudar as vítimas.

Segundo ele, o vazamento mexe com a vida das pessoas —que têm se interessado mais sobre a privacidade digital após a aprovação da lei de dados e o lançamento do filme "O Dilema das Redes"— e vai afetar as relações comerciais, já que a cada dia cresce no público a desconfiança e o medo de golpes.

Apesar de ter elogiado a atuação da ANPD (Autoridade Nacional de Proteção de Dados) nestes seus primeiros meses de existência, o advogado acha que ainda é cedo para avaliar o desempenho da LGPD no país. O diretor da Data Privacy Brasil deu como exemplo positivo nessa parte a forma como os EUA lidaram com casos importantes de vazamentos, como os da empresa de crédito Equifax e da rede de hoteis Marriott.

Na entrevista, Zanatta também fala ainda sobre alguns modelos que o governo pode adotar não apenas para evitar novos vazamentos, mas também mitigar seus danos.

Tilt: Foram vazados dados de mais de 220 milhões de brasileiros. Qual é a extensão dos danos deste megavazamento, na sua visão?

Rafael Zanatta: Esse vazamento foi o incidente mais importante que já registramos em termos de volumetria e de natureza dos dados. Eu conferi no site "Fui Vazado" as minhas informações. Estavam lá expostos meu CPF, salário, profissão, faixa de renda, restituição de imposto de renda —com agência, lote e valor—, meu PIS, LinkedIn, entre outros.

Como disse Ronaldo Lemos (diretor do Instituto de Tecnologia e Sociedade do Rio), é o "vazamento de dados do fim do mundo", porque são várias consequências possíveis. Roubo de identidade, fraudes, golpes de engenharia social... Os dados podem ter até mesmo uso político. Este vazamento vai mexer com a vida das pessoas e com a confiança nas relações comerciais cotidianas, porque todo email com boleto de pagamento agora pode parecer suspeito.

Qualquer tentativa legítima de fazer uma pesquisa de opinião pode gerar dúvidas. Para fazer a pesquisa do Pnad, que o governo estudava fazer por telefone, vai ficar mais difícil porque as pessoas não vão querer cooperar, já que estão mais desconfiadas com golpes.

Além disso, podemos ter prejuízos na faixa dos milhões de reais, por causa de pessoas que caem em armadilhas, como os da agência de crédito Equifax, em 2017, nos EUA. Neste caso, foi criado um fundo de reparação pago pela própria empresa, que foi responsável pelo incidente. Isso tem que ser pensado. Se os Procons detectarem muitas denúncias de golpes ou fraudes associados a essas informações vazadas, vai ser preciso construir um fundo emergencial de reparação para ajudar as vítimas.

Tilt: Você acha que este vazamento pode trazer algum tipo de mudança concreta no comportamento digital do brasileiro?

Zanatta: O que vem acontecendo nos últimos dois anos é uma transformação cultural. Acho que os receios e a revolta não são específicos sobre o megavazamento em si. Vem em razão de muitas mudanças importantes, como a aprovação da LGPD, o surgimento de uma comunidade de proteção de dados pessoais muito ampla no Brasil, o impacto por filmes como "Privacidade Hackeada" e "O Dilema das Redes". Tivemos um despertar de consciência das pessoas sobre a titularidade dos dados e seus direitos.

Esse processo é uma grande vitória social, e isso vai crescer ainda mais, pois vamos ter mudanças importantes em breve, como rotulagem de privacidade, serviços que vão apresentar diferencial competitivo em função da proteção de dados pessoais e outros. Serão importantes inovações técnicas e comerciais que vão reforçar ainda mais o discurso em torno dos direitos fundamentais, que incluem a proteção de dados.

Tilt: Que ações jurídicas as vítimas do vazamento devem tomar?

Zanatta: As pessoas podem produzir prova, por exemplo, com um print screen [captura de tela] do [resultado da busca no] "Fui Vazado". Também podem reunir evidências sobre tentativas de golpes sofridos, como emails falsos, golpes via SMS, alertas de abertura de cadastros em aplicativos. Com essas informações, as vítimas podem acessar anpd.gov.br, clicar em "Denúncia" e registrar o que está ocorrendo, especialmente se for suspeita de uso ilícito de dados pessoais. Além disso, as pessoas podem procurar o Procon local para apresentar evidências de que estão sofrendo danos relacionados ao vazamento.

Tilt: Após saber do anúncio, muita gente jogou a toalha e disse que não há nada a fazer sobre privacidade de dados. O que fazer para que essas pessoas revejam a questão?

Zanatta: Há muito o que fazer. Temos que vencer a narrativa de que não podemos fazer nada. Não podemos ficar imobilizados e achar que as coisas se encerram no desastre em si. O desastre aconteceu, mas tem um monte de coisa a ser feita na mitigação desses danos e de melhoria das práticas comerciais, porque o ponto também é que não pode ocorrer novos casos.

Tilt: Qual é o papel da ANPD neste vazamento dos 220 milhões? Como a Autoridade deveria proceder sobre o caso?

Zanatta: A ANPD já tem plenas condições para instauração de um inquérito e para exercer seus poderes de auditoria previstos no artigo 55-J da LGPD. Na auditoria, seria possível, por exemplo, verificar o grau de similitude nos tipos de dados que estão neste vazamento com o modo em que a Serasa Experian, que hoje é a empresa principal suspeita pelo incidente, organizava dados e contratos de espelhamento.

A ANPD tem o papel de delimitar quem é o agente de posse dessas informações. Ela pode chegar à conclusão de que esses dados possuem dezenas de origens, ou até mesmo que não foi estruturado pela Serasa. Já é um ótimo encaminhamento, porque é algo que queremos saber por meio de investigação e inquérito. Assim que se apontar o agente de tratamento de dados, isto pode desencadear consequências jurídicas. Como aconteceu com a Equifax, o culpado se torna responsável em executar o plano de contingência, inclusive com recursos financeiros.

O que a gente espera é que exista essa cooperação no inquérito. É possível que existam três processos administrativos concomitantes entre Senacon, Banco Central e ANPD, sendo que a autoridade deve fazer essa condução dos aprendizados entre cada agente e compartilhar as informações. Vale destacar que a ANPD também deve ser a fonte de contato com as pessoas que sofreram danos. Estreou há pouco no site anpd.gov.br o canal de denúncias. Os Procons também podem receber as reclamações, mas a ANPD não só tem o papel de conduzir o inquérito como também o de atender o cidadão.

Tilt: A melhor resposta para este megavazamento seria então por meio de políticas públicas?

Zanatta: Seria a aplicação correta da LGPD, articulação institucional e um plano público contingencial. Isso é mais específico do que implementação de políticas públicas. Precisamos destravar emergencialmente alguns recursos públicos para colocar de pé serviços para atendimento à população.

Tilt: O que você acha de iniciativas como o "Fui Vazado"? Acha que ações independentes ajudam ou atrapalham em grandes vazamentos de dados como este?

Zanatta: O "Fui Vazado" é um caso de inovação cívica importante. Allan Moraes [desenvolvedor do site] tomou o cuidado de criar uma checagem que verifica se as informações foram vazadas com base no sim e não, sem dizer quais são estas informações. Conversei com várias pessoas que checaram os códigos de trás para frente, e o processo é de minimização de dados. Ele só coleta CPF e data de nascimento como critério de autenticação de informação para cruzar se há ou não informação vazada. Houve uma boa intenção em fazer algo, a exemplo do que já existia a partir de outros vazamentos.

Um dos projetos que eu mais gosto e que sempre apresento como uma opção é o haveibeenpwned.com ("Eu Fui Vazado?", em inglês). O serviço pode checar, com base em informações já comercializadas na dark web, se seus dados estão em meio a vazamentos. A iniciativa inspirou projetos privados, como o da Mozilla e o da Apple.

A iniciativa do Allan pode inspirar outros serviços semelhantes e até mesmo um projeto governamental, porque se há uma enorme demanda das pessoas em verificar que dados foram vazados, e se há credibilidade da informação e do método que ele organizou, por que não fazer disso algo público? Hoje o projeto dele vive de doações, pelo que soube. Algo importante assim tem que ser reconhecido como de utilidade pública. Um "fuivazado.gov.br" daria muito mais credibilidade para a população do que um serviço ".com.br".

Tilt: Os EUA têm o site identitytheft.gov, que orienta vítimas de roubo de identidade com listas de verificação e exemplos de cartas para orientá-las a recuperar cartões de crédito, por exemplo. Uma iniciativa semelhante no Brasil minimizaria os danos e riscos?

Zanatta: Essa é uma ferramenta muito boa. É um projeto que foi estruturado em 2017, na época de muitos vazamentos de dados, como o da Equifax e o da rede de hotelaria Marriott. O governo [dos EUA] percebeu que o problema de fraude de identidade era crônico, então desenvolveu um serviço público de orientação. Você tem lá muita explicação por vídeo, formas de identificar os vazamentos e um plano de recuperação. Tem um questionário onde você explica o que aconteceu, e isso gera para o governo uma inteligência muito importante para saber onde os golpes estão se alastrando. Ele dá ainda dicas de como você perceber se há golpe, e se aconteceu, como você deve proceder.

Ainda neste mês de fevereiro vamos nos reunir com o pessoal da ANPD e com o grupo de trabalho criado pela Senacon [Secretaria Nacional do Consumidor], e gostaríamos de apresentar a criação de algo com essa estrutura no serviço público.

Tilt: Como você avalia a postura do atual governo na questão da privacidade de dados?

Zanatta: Difícil dizer, porque não dá para julgar como um todo. A ANPD tem feito um ótimo trabalho nesse começo de ano. Tem uma diretoria que já se mostrou muito aberta ao diálogo, com compromisso de montar agenda regulatória para os próximos dois anos e de conseguir mais gente para trabalhar. Tem uma postura de fazer consultas abertas.

Por outro lado, temos um projeto que investiga condutas autoritárias do governo no uso de dados, e em um relatório apontamos vários exemplos de condutas abusivas. Como exemplo, cito a criação do dossiê antifascista pelo Ministério da Justiça e a tentativa do governo de ampliar os poderes da Abin para obter dados biométricos do Detran. São pontos extremamente preocupantes.

Então depende de como a gente olha. Temos problemas que estão acontecendo no Ministério da Justiça, mas se mudamos o foco para a ANPD, temos que ver de uma outra forma. São espaços distintos, apesar de todos estarem ligados à administração pública.

Tilt: Como você vê a diferença do desempenho da LGPD com outras novas leis de tratamento de dados pelo mundo, até o momento? Onde estamos acertando e onde estamos errando?

Zanatta: Ainda é cedo para uma avaliação, sobretudo com a legislação europeia, que é bem mais antiga. Em comparação com os países da América Latina, podemos fazer um paralelo interessante. Paraguai e Bolívia estão na construção de leis de proteção de dados, enquanto Argentina e Uruguai têm suas autoridades, que também são enxutas. O Chile discute a criação de uma nova autoridade, que pode ter o Brasil como influenciador.

É muito importante que o Brasil comece a fazer parte dos circuitos internacionais como o GPA (Global Privacy Assembly), ou de autoridades europeias ou a iberoamerica de proteção de dados, que se reúnem regularmente. É natural não termos o acesso ainda porque nossa legislação é muito recente. Mas é importante não nos isolarmos, porque grande parte dos casos depende da cooperação internacional. Há uns bem complexos, como o Cambridge Analytica, que foi analisado por várias autoridades porque precisava coletar informações de outras partes do mundo. Aqui no Brasil alguns casos vão ser deste porte.

Em setembro vamos completar um ano da vigência da LGPD, e aí poderemos avaliar a penetração dela no Brasil. Vamos ter grandes casos no STF (Supremo Tribunal Federal), onde vão avaliar, por exemplo, o Cadastro Base do Cidadão e a expansão da rede de dados da Abin (Agência Brasileira de Inteligência). Esses casos podem promover uma interpretação sobre o direito supremo da proteção de dados. E as provas de fogo vão ser estes primeiros inquéritos.