Megavazamento reforça a urgência na disseminação da cultura de proteção de dados

No Brasil se trata da divulgação feita pela imprensa acerca de incidente de segurança

No cenário da proteção de dados pessoais a notícia recente que mais chamou atenção no Brasil se trata da divulgação feita pela imprensa acerca de incidente de segurança que pode ter publicizado dados de mais de 220 milhões de pessoas, em conjunto com aqueles associados a empresas (CNPJ, razão social, nome fantasia, data de fundação) e veículos (chassi, placa, modelo, ano de fabricação, município de registro, combustível utilizado).

Os dados pessoais incluem, segundo anunciado, CPF, RG, nome completo, estado civil, endereço, e-mail, data de nascimento, escolaridade, renda e dados pessoais sensíveis, os quais juntamente com as informações sobre empresas e veículos estariam sendo comercializados na deep web. Os riscos de crimes cibernéticos são elevados, vez que tais dados permitiriam fraudar a contratação de produtos e serviços, bem como a prática de negócios jurídicos com a identidade de terceiros, fora outros usos inadequados dos dados expostos.

O incidente de segurança, detentor das maiores proporções conhecidas no Brasil, recebeu mais destaque após ser publicada notícia de que dados pessoais de autoridades nacionais estariam à venda na internet, incluindo o Presidente da República e os Ministros do STF. Tal fato ensejou, pedido de providências, realizado pelo Ministro Luiz Fux, presidente do STF, ao Ministro da Justiça e ao Ministro Alexandre de Moraes, relator do Inquérito 4781, cujo objeto é a investigação de infrações que atingem a segurança do STF e dos seus membros.

Vale lembrar, nesse contexto, que a comunicação de incidentes de segurança, disposta no artigo 48 da LGPD, tem previsão de início da regulamentação, conforme disponibilizado pela ANPD em sua agenda regulatória, no primeiro semestre de 2021. O que abrange “fixar requisitos, prazos, critérios e procedimentos” e “implementar um fluxo para o sistema de incidentes”.

Registre-se que o Conselho Federal da OAB remeteu ofício à ANPD requerendo a adoção imediata de medidas para a apuração dos vazamentos de dados, considerando as competências da ANPD para realizar auditorias sobre o tratamento de dados pessoais feito por agentes de tratamento e celebrar com estes compromissos para eliminar irregularidade e incerteza jurídica.

Em nota pública, a ANPD declarou que “está apurando tecnicamente informações sobre o caso e atuará de maneira cooperativa com os órgãos de investigação competentes para apurar a origem; a forma em que se deu o possível vazamento; as medidas de contenção e de mitigação adotadas em um plano de contingência; as possíveis consequências e os danos causados pela violação”.

É uma medida urgente a organização de plano de contingência destinado a reduzir os riscos a que estão expostas as pessoas cujos dados pessoais foram vazados. Igualmente deve ser considerada a possibilidade de judicialização decorrente de eventuais fraudes cometidas a partir da utilização inadequada dos dados vazados, ainda que seja dificultada a demonstração da relação de causalidade entre o incidente de segurança e eventuais danos.

O “megavazamento” sublinha, portanto, a premência de uma cultura de proteção de dados ser adotada e disseminada nas organizações, não apenas como requisito de conformidade à LGPD e normas jurídicas semelhantes, mas também enquanto diretriz essencial de governança e diferencial competitivo importante, incluindo gestão de riscos e plano de resposta a incidentes de segurança.

Wilson Sales Belchior