Quando vai ocorrer o próximo vazamento de dados?

A questão a ser trabalhada não é se haverá um vazamento de dados. Mas quando ele ocorrerá.

Afinal, a LGPD veio para coibir esse tipo de acontecimento? Penalizar? As empresas que estiverem adequadas à nova lei terão garantia de que esses vazamentos não ocorrerão? E os titulares de dados, poderão ficar tranquilos?

A Lei Geral de Proteção de Dados foi elaborada depois de anos de discussão e acompanhando uma tendência internacional de leis de privacidade e proteção de dados, colocando o Brasil no mapa da proteção a esses direitos. O início da vigência da lei e os primeiros passos da Autoridade Nacional de Proteção de Dados são ótimas notícias para os titulares de dados e para o país em geral. Mas não são uma garantia. Não há como garantir que vazamentos de dados não ocorrerão, nem mesmo sob a vigência e proteção da nova lei.

O Brasil não é um país conhecido por ter uma madura e enraizada cultura de privacidade de dados, essa é uma questão que teremos de desenvolver com o tempo e conscientização das empresas, do poder público, especialistas e dos titulares de dados. A LGPD é um excelente avanço para o desenvolvimento dessa cultura, ensinando aos titulares quais são seus direitos e os riscos a que estão expostos, e às empresas como mitigar os riscos, agir com transparência e desenvolver mecanismos de rápida resposta a incidentes através de suas políticas internas de privacidade e segurança da informação.

Entre os tipos de dados vazados identificados estão CPF, nome completo, data de nascimento, informações de crédito, dados de veículos, fotos de rosto, entre outros. Não se sabe ainda a fonte dos dados, apesar de existirem algumas suspeitas. Com esses dados em mãos erradas, pode haver um aumento de casos de crimes e a recomendação é manter vigilância.

De acordo com a LGPD, qualquer tratamento de dados pessoais deve garantir a privacidade e proteção dos direitos dos titulares, como a confirmação da existência do tratamento de dados, acessos a eles, correção e deleção desses dados, anonimização ou eliminação de dados desnecessários ou excessivos, portabilidade dos dados, informações sobre compartilhamento desses dados, revogação de consentimento para esse tratamento, entre outros.

Segundo a Lei Geral de Proteção de Dados, os agentes de tratamento são obrigados a adotar medidas de segurança técnicas e administrativas para evitar situações acidentais ou ilícitas de destruição, perda, alteração ou outra forma inadequada de tratamento de dados pessoais. Além de prever regras para a comunicação dessas situações, a lei determina sanções administrativas a serem aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados) como multa de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil, limitada a R$ 50 milhões.

No caso do incidente em questão, por ora não há notícias concretas da causa. A ANPD informou que apura tecnicamente as informações sobre o caso em cooperação com os órgãos de investigação competentes para encontrar a ou as fontes responsáveis.

Entretanto, as punições previstas na LGPD tiveram sua vigência adiada para agosto de 2021, o que inviabilizaria a sua aplicação neste momento. Outros órgãos podem agir em parceria com a Autoridade, como a Senacon (Secretaria Nacional do Consumidor), que já instaurou procedimento para averiguação, ou a Polícia Federal, para investigar e responsabilizar quem está por trás do vazamento.

Enquanto o resultado das investigações não surge, resta-nos aprender com os erros já cometidos. A primeira e principal lição é que os vazamentos de dados vão ocorrer. O que precisamos é aprender com a nova lei e as experiências internacionais, difundir e incentivar a cultura de privacidade.