Por Francisco Gomes Júnior
Apesar de termos adequada lei de proteção dos dados pessoais no Brasil, a LGPD (Lei Geral de Proteção de Dados), todas as semanas nos deparamos com ataques a sistemas de empresas públicas e privadas que tem como consequência o vazamento de informações. A privacidade dos dados é um direito fundamental previsto na Constituição brasileira, mas todo esse arcabouço legal não se mostra eficaz contra vazamentos.
Para fiscalizar como as empresas lidam com os dados pessoais, foi criada a ANPD (Autoridade Nacional de Proteção de Dados), vinculada à Presidência da República. A ANPD ainda não sancionou empresas, indicando que em um primeiro momento sua função seria mais orientativa e menos punitiva e que em 2022 as sanções previstas na LGPD passariam a ser aplicadas, o que até este momento não ocorreu.
Um caso emblemático foi o ataque ao aplicativo Conecte SUS do Ministério da Saúde. Inicialmente, o ataque que derrubou o aplicativo tornou indisponível todos os dados por quase 15 dias e ainda há reportes de que o sistema permanece instável. Além disso, vários usuários declararam que seus dados foram adulterados. Para finalizar, não se sabe se as informações foram copiadas e estão sendo comercializadas. Passados três meses do incidente, a ANPD ainda não se pronunciou publicamente, inclusive sobre apurações de experts que constataram que o IP do Conecte Sus está nos Estados Unidos, armazenado no serviço de Cloud da Amazon, o que não garante total segurança.
Diante de tantas incertezas, como fica a privacidade de dados? Sem parecer dramático, digo que a privacidade de dados inexiste e não me parece que com todas as medidas de cibersegurança passará a existir. Temos ataques hackers, temos as big techs (Microsoft, Google, Amazon, Facebook) que colecionam milhares de dados nossos, enfim, não temos a privacidade preservada ou se preferir, temos uma privacidade relativa de nossos dados.
O número de ataques e invasões a sistemas aumentam ano a ano, mesmo com maior consciência das empresas para investir em cibersegurança. Criminosos estão sempre à procura de falhas ou bugs que permitam o acesso indevido a um sistema e a captura de dados.
Temos os chamados ataques de “ransomware” onde invade-se um sistema e bloqueia-se seu uso, exigindo o pagamento de um resgate. A JBS admitiu que foi vítima desse tipo de ataque e pagou 11 milhões de dólares ao grupo hacker para ter seus sistemas liberados. Há o ataque “malware” onde se instala um software malicioso no sistema computacional para extração de dados, sem nenhum pedido de pagamento de resgate.
Dados veem sendo “roubados” e vendidos na dark web. Creio que uma solução a ser debatida, mas que importaria em complexa alteração legislativa (no Brasil os dados são considerados derivados do direito da personalidade e assim são inaliáveis), seria a possibilidade de comercializarmos nossos dados, como proprietários. Existe uma Start Up na Califórnia, chamada Drum Wave, que trabalha com criação da monetização dos dados pessoais, onde cada pessoa tem sua carteira digital de dados e pode comercializá-los. Para tanto, os dados têm que ser considerados ativos, como uma mercadoria que se possa comercializar para que essa possibilidade avance.
Realmente, se há vítimas de tantas invasões e roubos de dados, dar ao cidadão a possibilidade de ter ganho financeiro com a venda dos seus dados é uma opção tentadora, mas, seria necessário alterar muitas leis e emendar a Constituição Federal.
*Francisco Gomes Júnior – Sócio da OGF Advogados. Especialista em Direito Digital e Crimes Cibernéticos. Presidente da Associação de Defesa de Dados Pessoais e do Consumidor (ADDP).