Estela Aranha*

Em 22 de janeiro o site de tecnologia “Tecnoblog” noticiou a detecção de um vazamento enorme de dados pessoais de 220 milhões de brasileiros (incluindo pessoas mortas) e que esse conjunto de dados pessoais estava sendo oferecido em fórum de internet para venda.

O “vendedor” dos bancos de dados oferecia nesse fórum, gratuitamente, uma “amostra” do banco de dados que estaria disponível para a venda.

Entre outros dados disponíveis, estavam todos os chamados dados cadastrais (nome, CPF, gênero, data de nascimento), além de nome do pai, nome da mãe, estado civil, vínculo familiar, e-mail, telefone, endereço: ainda dados de escolaridade, ocupação, emprego, salário, renda, classe social, poder aquisitivo, numeração de todos os documentos, incluindo fotos de rostos de 1.176.157 pessoas.

Essa notícia ao longo da semana foi verificada e repercutida por diversos meios de comunicação e foram entrevistados uma série de especialistas no assunto, reforçando a autenticidade do fato noticiado.

Diversos órgãos abriram investigação de acordo com suas competências como Procons, Secretaria Nacional do Consumidor, Polícia Federal e Autoridade Nacional de Proteção de Dados.

Se constatado a extensão desse vazamento quase a totalidade dos brasileiros estão com seus dados à venda na internet. Além do volume, a natureza e a extensão dos dados traz um risco enorme de possibilidades de fraudes: roubo de identidade, os mais diversos tipos de golpes e o que chamamos de engenharia social na área de segurança da informação.

O impacto desse vazamento pode ser de anos, pois a grande maioria dos dados vazados, referentes a identificação, documentação não podem ser trocados ou substituídos e poderão continuar sendo usados pelos fraudadores por tempo indefinido, o que aumenta o potencial lesivo do fato.

Saíram reportagens mostrando golpes que apenas usando os dados cadastrais por exemplo (nome, CPF, data da nascimento) seria possível fazer saque na conta do FGTS.

Os possíveis danos de um vazamento desse porte é incalculável. Ele pode impactar todos os sistemas de confirmação de identidade. Especialistas tem comparado esse vazamento com um caso semelhante que aconteceu nos Estados Unidos em 2017, da empresa Equifax, também um bureau de crédito.

A comparação dos casos é importante para o debate sobre a responsabilização uma vez que, segundo o pesquisador Rafael Zanatta “é absolutamente impróprio colocar a responsabilidade nas pessoas em casos de 'desastres informacionais'”.

Não pode ser de responsabilidade de cada cidadão o monitoramento constante do seu CPF para evitar golpes que só são possíveis com o uso desses dados. Isso é ainda mais grave em se tratando da população mais vulnerável. Os titulares dos dados na maioria das vezes nem têm informação sobre o vazamento. Quanto mais tempo e dinheiro disponível para tomar todas as providências necessárias como monitoramento de CPF, entre outras providências para tentar evitar o roubo de identidade.

Ainda de acordo com Zanatta “São lesões coletivas de direitos que devem ser suportados pelos agentes responsáveis com novos arranjos”.

Ao se referir aos novos arranjos o pesquisador fala como exemplo os acordos que a Equifax fechou com as autoridades americanas que fizeram com que a companhia destinasse um montante milionário.

A companhia fechou um acordo destinando US$ 380,5 milhões para um fundo para os consumidores afetados pelo vazamento, incluindo honorários advocatícios, despesas, custos de notificação e administração.

O acordo também previu que a empresa também disponibilizasse mais de US$ 125 milhões em indenização para os casos de dano material e potencialmente um gasto de US$ 2 bilhões caso todos os afetados se inscrevessem em um sistema de monitoramento de crédito. Ainda conforme a decisão acordada, a Equifax teve que se comprometer a investir US$ 1 bilhão nos cinco anos subsequentes para melhorar seu sistema de segurança de dados.

Esse caso demonstra a magnitude da lesão que um vazamento semelhante pode ocasionar. Além das investigações e de se buscar a responsabilização do controlador dos dados pessoais vazados, é importante que seja articulado um plano de contingência trazendo medidas que mitiguem os riscos imediatamente. É também necessário iniciar um debate sobre a criação de um novo sistema de identidade digital e novas formas de autenticação de identidade que não estejam comprometidas com esse vazamento.

*Estela Aranha é advogada e presidente da Comissão de Proteção de Dados e Privacidade da OABRJ