O que está em jogo no vazamento de milhões de CPFs?
Autor
5 de fevereiro de 2021, 10h35
O recente vazamento de mais de 220 milhões de CPFs colocou especialistas e titulares de dados em alerta. Sim, segundo a Lei Geral de Proteção de Dados (LGPD — Leis nº 13.709/2018 e 13.853/2019) somos todos titulares de dados. Aqui, cabe uma discussão sobre o fato ocorrido.
Inicialmente, há de se explicar que dados, independentemente de serem pessoais ou não, podem ser cadastrais, bancários, hospitalares, empresariais, entre outros, e despertam os mais variados interesses, sejam para fins lícitos ou ilícitos. Dados são elementos básicos de informação e contam muito sobre as pessoas. Pessoas geram dados, que geram conhecimento sobre essas pessoas. Por esse motivo é que discussões em nível mundial sobre proteção de dados e privacidade têm estado na pauta.
Outro ponto: toda a área de Tecnologia da Informação e Comunicação (TIC) sabe que vazamentos de dados ocorrem e que podem ser aplicadas medidas técnicas de salvaguarda e segurança da informação para prevenir, controlar, garantir a continuidade de serviços (públicos ou privados) e minimizar riscos jurídicos (políticas, termos, procedimentos organizacionais) e tecnológicos (hardware, software e peopleware). A LGPD é uma oportunidade para que as áreas jurídica e tecnológica trabalhem conjuntamente, compreendendo as necessidades e estabelecendo planos de ação e mitigação de riscos, evoluindo de um Sistema de Gestão da Segurança da Informação (Norma ISO/IEC 27.001) para um Sistema de Gerenciamento de Informações de Privacidade (Norma ISO/IEC 27.701).
Há de se lembrar também que a LGPD carrega em seu bojo aspectos não somente jurídicos, mas um arsenal de termos técnicos da área de segurança da informação associados aos termos básicos da área de ciência da computação como um todo. Os termos: coleta de dados, tratamento de dados, anonimização, bloqueio, prevenção, riscos, medidas, salvaguardas e mecanismos de mitigação de riscos e relatórios de impacto à proteção de dados pessoais. Esses são alguns exemplos de aspectos tecnológicos que permeiam o texto legislativo. Todos esses elementos são importantes frente ao interesse de proteger dados e garantir a privacidade como direitos fundamentais para todos os titulares de dados.
A discussão chega ao ponto de a quem devemos perguntar sobre o ocorrido? A quem cabe a função de esclarecer e responsabilizar? Até o momento, o entendimento é que o silêncio da Autoridade Nacional de Proteção de Dados (ANPD) aponta para um espaço cheio de dúvidas e de procedimentos a aplicar. Como responsabilizar? As multas ainda não podem ser aplicadas, de acordo com a LGPD, mas caberiam sanções aos responsáveis? Uma análise de múltiplas violações de direitos é cabível, podendo-se lançar mão da Constituição Federal, do Código de Defesa do Consumidor e do Marco Civil da Internet (Lei nº 12.965/2014), além de outras legislações. Há de se lembrar que estão em jogo direitos coletivos e, portanto, muitas instituições (públicas ou privadas) podem auxiliar na tutela de tais diretos. Que equipe técnica da ANPD será designada para constatar o referido vazamento? Como as medidas de salvaguarda e proteção de dados foram aplicadas? Qual é a origem e a autoria? Muitas são as perguntas que precisam de respostas.
Sabe-se que há um longo caminho entre dados e proteção dados, entre titulares e privacidade, entre lei e segurança da informação. Sabe-se também que o exercício de questionar e trazer à tona reflexões multidisciplinares entre as áreas do Direito e da tecnologia é o papel fundamental da universidade.
Autores
Encontrou um erro? Avise nossa equipe!