GERAL

Megavazamento expõe atraso da segurança cibernética no país

Falhas na implantação das políticas de proteção de dados no país das fake news expõem a população a golpes como a divulgação e venda de dados pessoais

Por Marcelo Menna Barreto / Publicado em 4 de fevereiro de 2021

Foto: Twitter/ Reprodução

O recente vazamento de dados de mais de 220 milhões de cidadãos brasileiros – informações que atualmente são vendidas na deep web – revela que o debate em torno da privacidade cibernética no país ainda é incipiente.

Mesmo após anos de discussão para estabelecer a Lei Geral de Proteção de Dados (LGPD) no Brasil, o diretor de Pesquisa e Políticas Públicas do Laboratório de Políticas Públicas e Internet (Lapin), José Renato Laranjeira de Pereira, entende que a falta de cultura sobre o tema não está apenas nos usuários comuns das redes. Governo e empresas, na opinião do especialista, também têm que fazer o seu dever de casa.

No âmbito governamental, Pereira lembra que, apesar da LGPD ter sido aprovada e sancionada em 2018, a criação da Agência Nacional de Proteção de Dados (ANPD) foi atrasada ao máximo e só foi implementada praticamente no final de 2020, após a entrada em vigor da legislação.

Sem o caráter autárquico e a autonomia de agências como a Agência Nacional de Energia Elétrica (Aneel), a Agência Nacional de Vigilância Sanitária (Anvisa), entre outras, a ANPD tem, segundo o diretor do Lapin, um grande problema para o cumprimento dos objetivos do órgão.

Para ele, além de estar debaixo do governo, o baixo orçamento destinado e o pequeno quadro funcional da ANPD, comprometem as funções para as quais ela foi criada, o de fiscalizar e “estabelecer boas práticas e criar formas de conscientizar os cidadãos da importância da segurança de seus dados, que é o cerne da LGPD”, enfatiza Pereira.

Dados típicos de birô de crédito

O certo é que o atraso e as polêmicas envolvendo a criação da ANPD fizeram com que ela ainda esteja se estruturando e não tenha nem um regimento interno aprovado.

Para piorar a situação, as possíveis sanções da legislação de proteção de dados brasileira só entram em vigor em agosto deste ano.

Isso significa, segundo um especialista que não quis se identificar, que – havendo uma comprovação de que os dados vazados foram oriundos da Serasa Experian, que nega fortemente – a empresa não sofreria qualquer penalidade por negligenciar a guarda das informações do seu banco de dados.

Para esse especialista, as suspeitas que pairam sobre a Serasa não são gratuitas. “Essa quantidade de dados, nomes completos, CPFs, lugar onde mora, onde estuda, nome da mãe, são típicas de um birô de crédito”, assinala.

Responsabilidade das empresas

Foto: Divulgação

Para José Pereira, do Lapin, a pirataria de dados vai perdurar enquanto as empresas não mudarem a coleta de informações dos clientes

Foto: Divulgação

O diretor do Lapin diz que no vácuo da impossibilidade de penalizar via LGPD, as alternativas seriam o Código do Consumidor e o Código Civil. “Também acredito que existam possibilidades de enquadramento no Marco Civil da Internet”, completa.

Pereira é cético sobre o real papel das empresas na segurança das informações que lhe são confiadas. “Vê-se ainda coleta de dados excessivos nos mais variados setores. Qualquer cadastro que você faz, te pedem uma infinidade de informações”, exemplifica.

De fato, informa Pereira, as boas práticas dizem que deveria se buscar o menor número possível de dados. O necessário para cumprir uma finalidade. “Esse, aliás, é um dos princípios da LGPD”, ressalta.

A prova de que não existe um tratamento adequado, com mecanismos de segurança que restrinjam acessos e tecnologia suficiente, segundo ele, é exatamente o atual megavazamento ocorrido.

Pereira ainda lembra casos recentes como a da distribuidora de energia Enel. Em novembro passado, a empresa acabou expondo dados cadastrais de 280 mil consumidores da região de Osasco, Grande São Paulo. Foram nomes completos, CPFs, números de contas bancárias, endereços e telefones vazados.

Cidadão comum exposto a golpes

Pesquisa realizada mundialmente pela OpenText, organização canadense que desenvolve software de gerenciamento de dados, revelou no último dia 3 de fevereiro que seis em cada 10 dez brasileiros afirmam ter apenas uma “vaga ideia” do que se trata a LGPD.

Isso preocupa muito Pereira. Em geral, diz ele, “o consumidor diz ‘qual o problema de passar o meu CPF’. Com um dado tipo esse, pode ser feita uma infinidade de golpes”.

Entre eles, elenca contas em agências bancárias, em redes sociais. “Até criar perfis de pessoas para microtarget”. Isso, além, por exemplo, de enviar sugestões de produtos para uma possível compra, pessoas com interesses políticos podem remeter falsas informações de acordo com o perfil parametrizado. “Assim busca-se, como exemplos recentes, a manipulação eleitoral”, afirma.

Sobre o recente vazamento, Pereira é muito pessimista. “O resultado vai perdurar por muito, muito tempo. O CPF de uma pessoa não muda, o nome da mãe não vai mudar”. Os golpes e as tentativas vão perdurar “a não ser que haja uma mudança de prática generalizada dos dados que serão pedidos pelas mais variadas empresas”, aponta.

Pirataria de dados

No dia 18 de janeiro, dados pessoais de 223,7 milhões de brasileiros foram vazados durante um fórum na internet acessível por busca no Google. O número é maior do que o total da população brasileira porque inclui os dados pessoais de mortos. Nomes, CPF, CNPJ, fotos, telefones, históricos de crédito, endereços, salários, entre outras informações pessoais, além de dados de 104 milhões de veículos e de 40 milhões de empresas foram expostas e permanecem acessíveis na deep web – o submundo da internet. A Polícia Federal abriu inquérito a pedido da ANPD.