Topo

LGPD: o que fazer se uma empresa ou governo vazar meus dados?

Vazamento de dados  - vladwel/Getty Images/iStockphoto
Vazamento de dados Imagem: vladwel/Getty Images/iStockphoto

Rosália Vasconcelos

Colaboração para Tilt, do Recife

28/07/2021 04h00Atualizada em 28/07/2021 13h39

A partir de agosto, a possibilidade de aplicação de multas e sanções discriminadas na LGPD (Lei Geral de Proteção de Dados) começa a valer, e as empresas devem redobrar ainda mais os cuidados para manter a integridade das informações pessoais de seus clientes. Mas o que fazer se uma organização (pública ou privada) vazar os nossos dados?

Ao sinal de qualquer suspeita de exposição indevida de dados pessoais e sensíveis (aqueles que permitem identificar uma pessoa) é importante comunicar os órgãos de proteção e privacidade, como a ANPD (Autoridade Nacional de Proteção de Dados) e organizações de direitos do consumidor.

"A partir do momento que alguém identifica um compartilhamento ilegal de informações, que pode acontecer quando não há o consentimento da pessoa [sem a devida autorização], ela deve fazer a denúncia", ressalta Tiago Braga, coordenador geral de tecnologias de informação e informática do IBICT (Instituto Brasileiro de Informação em Ciência e Tecnologia).

"De maneira geral, é difícil perceber a extensão de um vazamento e, quanto mais registros a pessoa tiver, menos problemas terá depois", acrescenta.

Segundo Braga, existem basicamente duas práticas populares que podem envolver o mau uso de dados:

  • Roubo de informações através de hackers e softwares de espionagem
  • Quando uma empresa detentora dos dados pessoais os divulga e/ou comercializa sem o nosso consentimento (a lei prevê algumas exceções)

Em caso de vazamento de informações comprovado por parte de empresas, por exemplo, a legislação pode dar multa de até 2% do faturamento da companhia (com limite de R$ 50 milhões), entre outras penalidades.

Segundo a LGPD, o tratamento de dados pessoais poderá ser realizado com base nas hipóteses abaixo (se quiser saber todas, clique aqui e leia o artigo 7º):

  • mediante o fornecimento de consentimento pelo titular;
  • para o cumprimento de obrigação legal ou regulatória pelo controlador (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais);
  • pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis;
  • para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização (que impede a identificação das pessoas) dos dados pessoais;
  • em processos judiciais e administrativos;
  • proteção da vida do titular ou de terceiro;
  • para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.

O que fazer se for vítima de vazamento

1. ANPD

Para fazer a denúncia na ANPD, o consumidor deve acessar o site anpd.gov.br, clicar em "Denúncia" no lado inferior esquerdo da tela e registrar a ocorrência. Se for o primeiro acesso ao sistema, é necessário fazer antes um cadastro na Plataforma Integrada de Ouvidoria e Acesso à Informação, a Fala.BR.

A partir daí, o órgão poderá instaurar um inquérito e exercer seus poderes de auditoria previstos na LGPD, que envolvem notificar, pedir correção, punir responsáveis, investir em políticas públicas de segurança e privacidade e até mesmo aprimorar a legislação.

2. Boletim de ocorrência

Após informar à ANPD, a vítima deve registrar um boletim de ocorrência em uma delegacia de polícia especializada em repressão a crimes cibernéticos se for possível (elas são comuns em capitais e grandes centros urbanos). Nos municípios menores, é possível fazer a denúncia em uma delegacia geral de polícia.

Algumas delas, permitem oficializar o registro pela internet. Verifique em sua localidade.

3. Órgãos de defesa do consumidor

A ANPD tem o papel de penalizar administrativamente e responsabilizar a empresa que vazou o dado, mas a LGPD não se sobrepõe ao direito do consumidor, ressalta Alberto Borges, consultor em soluções de privacidade digital. Por isso, é fundamental também que a pessoa siga outros passos e procure órgãos de proteção.

Exemplos: Procon e Idec (Instituto Brasileiro de Defesa do Consumidor).

4. Justiça

O próximo passo é recorrer à Justiça de Pequenas Causas ou à Justiça Comum, a depender do dano sofrido, para um reparo material. "Uma alternativa a esse caminho é o Procon. Mas o judiciário é o decisor final, inclusive sobre a própria interpretação da LGPD. E a decisão do juiz garante o direito ao titular dos dados de maneira mais assertiva", explica Borges.

Ao formalizar a denúncia de vazamento de dados nas instâncias acima, o consumidor lesado fornece às autoridades as condições para mapear golpes, responsabilizar empresas e aprimorar a legislação. "Se depois de anos, um fraudador abrir um email e uma rede social no nome de outra pessoa que teve seu dado exposto, ela estará resguardada pela lei", ressalta Tiago Braga.

Guarde provas

A grandeza de um crime se dá a partir da força das provas. E nos crimes virtuais, essa máxima não é diferente, explicam os especialistas. Para isso, reúna evidências sobre tentativas de golpes sofridos, como emails falsos, golpes via SMS, alertas de abertura de cadastros em aplicativos, capturas de telas e backups de conversas.

No caso de imagens capturadas, é importante ir até o cartório fazer a ata notarial. Basicamente, o tabelião analisar a veracidade das imagens e documentar que elas são verdadeiras (se for o caso).

Para evitar prejuízos futuros, também é importante fazer uma varredura nos aparelhos eletrônicos e trocar senhas.

"Produzir provas é fundamental, especialmente nos crimes pequenos, em que quanto mais informações houver para provar, melhor. Em golpes maiores, via de regra, já vai existir todo um aparato policial e administrativo que dará suporte às acusações das vítimas", afirma Braga.

Segundo o IBICT, como a aplicação da LGPD ainda é algo novo, em que consumidores e empresas estão se familiarizando, ainda não se sabe como esse passo a passo se dará na prática. Até o momento, praticamente todas as ações judiciais se deram de maneira coletiva, por grandes grupos ou empresas, mas não individualmente.

Em todo caso, nunca é demais adotar as práticas acima para aumentar a proteção.