LGPD aprovada. ANPD constituída. Os meios de tratar e investigar os casos de vazamentos de dados pessoais estão estabelecidos. Não dá mais para deixar passar em branco um vazamento de dados tão sério e sem precedentes como o que relatamos dias atrás.
O dfndr lab, laboratório da empresa PSafe Technology, identificou um caso escandaloso em que dados sensíveis de mais de 220 milhões de brasileiros ficaram expostos na internet e nas mãos de cibercriminosos, que podem usar essas informações das mais diversas maneiras, desde sacar benefícios do FGTS ou abrir contas fraudulentas. É considerado um dos maiores casos de vazamento de dados da atualidade.
Existem algumas versões espalhadas na internet sobre a origem do ataque, com possível envolvimento de data brokers, empresas que retêm uma enorme quantidade de dados como Serasa, SPC Brasil e Quod, por exemplo. A Serasa se pronunciou afirmando não ser a fonte do vazamento. A Security Report procurou a Quod para comentar o caso, mas a fonte ouvida não pôde se pronunciar.
O estrago na privacidade dos brasileiros foi tão grande que até despertou questionamentos se a Lei Geral de Proteção de Dados ainda faria sentido, já que tudo está exposto. Mas o fato é que o megavazamento está em investigação em várias instâncias, da Autoridade Nacional de Proteção de Dados à Polícia Federal. A Security Report entrou em contato com um agente da Polícia Federal, que também não pôde se pronunciar sobre o caso e a assessoria de imprensa informou que a investigação ocorre em sigilo.
Maturidade em proteção de dados
Na visão de Fabrício da Mota Alves, Sócio Coordenador de Direito Digital, Privacidade e Proteção de Dados na Serur Advogados e membro indicado pelo Senado Federal para compor o CNPD, neste momento, não é prudente apontar culpados, mas é preciso investigar.
“Mesmo porque, dados circulam e é na cadeia de tratamento que está a resposta. Sem dúvida, não havia controles e medidas adequadas para impedir o acesso não autorizado. É bem provável que essas bases não sejam fruto de invasão, mas de cópia, transferência, compartilhamento ou acesso sem o devido cuidado e preocupação de quem compartilhou com terceiros”, alerta.
Para ele, a LGPD faz sentido, por ser o principal instrumento de reparação dos danos para os titulares afetados e atrai para si toda a atenção da sociedade, especialmente atenta à sua efetividade. “Esse episódio vai ser um divisor de águas para a LGPD e a ANPD. Um teste histórico”.
Questionado se os dados pessoais dos brasileiros estão protegidos, Fabricio da Mota Alves foi categórico. “De forma alguma. O Brasil sequer tem uma sociedade consciente das consequências do uso de tecnologias digitais. Somos grandes consumidores, mas que refletimos pouco ou nada sobre o que consumimos em tecnologia e serviços digitais. Vazamentos são apenas uma das faces de um País que despreza ou ignora esse debate há tempos. A LGPD veio, mas não conseguiu (ainda) trazer, da Europa, a cultura em privacidade. Essa não se importa, ela tem de ser construída e conquistada pela população, no seu tempo e a seu ritmo”, completa.
Investigações
Já que os dados expostos envolvem toda a população brasileira, inclusive os falecidos, claro que informações de autoridades e ministros também foram vazadas. O ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF), determinou à Polícia Federal a abertura de inquérito para investigação de vazamento de informações de dados pessoais e sigilosos de ministros da Corte e outras autoridades.
No despacho, o ministro destacou que a comercialização de informações e dados privados e sigilosos de membros do Supremo atinge diretamente a intimidade, a privacidade e segurança pessoal de seus integrantes.
Na última segunda-feira (01), o presidente do STF, ministro Luiz Fux, pediu providências a respeito de suposta comercialização de dados dos magistrados da Corte, noticiada pelo jornal “O Estado de S.Paulo”. Foram enviados ofícios ao ministro da Justiça, André Mendonça, e ao ministro Alexandre de Moraes.
A ANPD também está apurando tecnicamente as informações sobre o incidente e informa que, desde que tomou conhecimento dos fatos noticiados, segue com análises e busca de mais esclarecimentos. A Autoridade oficiou outros órgãos para investigar e auxiliar na apuração e adoção de medidas de contenção e mitigação de riscos, como a Polícia Federal, a empresa PSafe, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República.
Enquanto isso, a Security Report segue acompanhando os desdobramentos do caso.