Acordamos nesse 11 de fevereiro, Dia Internacional da Internet Segura, com a notícia de um vazamento na internet expondo os dados de contas de celular de mais de 100 milhões de brasileiros. Mais um. Pouco antes, no final de janeiro, fomos informados sobre outro vazamento com dados individuais de mais de 223 milhões de pessoas (algumas já falecidas, o que explica o número maior que a população do país).
Um mês antes o problema foi no Ministério da Saúde, quando cerca de 200 milhões de registros com informações pessoais ficaram expostos. No caso do Ministério da Saúde foi a terceira grande falha de segurança tornada pública em seis meses.
Mas esse vazamento em janeiro foi o maior até agora. Ele trazia praticamente todas as informações mais relevantes sobre qualquer indivíduo: nome completo, idade, CPF, RG, gênero, filiação, estado civil, endereço, email, número do telefone com o tipo de plano na operadora, número do PIS, título do eleitor e escolaridade. Segundo os especialistas, ele revelava diversos dados financeiros como o score de crédito, a renda e salário, se havia registro de algum cheque sem fundo ou de alguma dívida. Também fornecia a situação na Receita Federal, com detalhes do Imposto de Renda. Nos casos em que o trabalhador tivesse carteira assinada, vinha o nome e o CNPJ do empregador.
Não só. Em certos casos havia fotos de identificação das pessoas. Sobre algumas era informado o vínculo familiar até o segundo grau. Para mais de 1,5 milhão agraciados havia menção à faculdade feita, com o ano de entrada e o de graduação. Em outros casos era informado se a pessoa era beneficiário do Bolsa Família e qual o valor recebido.
Um mês antes o problema foi no Ministério da Saúde, quando cerca de 200 milhões de registros com informações pessoais ficaram expostos. No caso do Ministério da Saúde foi a terceira grande falha de segurança tornada pública em seis meses.
Mas esse vazamento em janeiro foi o maior até agora. Ele trazia praticamente todas as informações mais relevantes sobre qualquer indivíduo: nome completo, idade, CPF, RG, gênero, filiação, estado civil, endereço, email, número do telefone com o tipo de plano na operadora, número do PIS, título do eleitor e escolaridade. Segundo os especialistas, ele revelava diversos dados financeiros como o score de crédito, a renda e salário, se havia registro de algum cheque sem fundo ou de alguma dívida. Também fornecia a situação na Receita Federal, com detalhes do Imposto de Renda. Nos casos em que o trabalhador tivesse carteira assinada, vinha o nome e o CNPJ do empregador.
Não só. Em certos casos havia fotos de identificação das pessoas. Sobre algumas era informado o vínculo familiar até o segundo grau. Para mais de 1,5 milhão agraciados havia menção à faculdade feita, com o ano de entrada e o de graduação. Em outros casos era informado se a pessoa era beneficiário do Bolsa Família e qual o valor recebido.
Faltou alguma informação relevante? São violações gravíssimas da privacidade de todos nós. E o pior é que essas informações pessoais estão sendo comercializadas na deep web, a rede "subterrânea" da internet onde é praticamente impossível rastrear os computadores que acessam esses sites _ e, por isso, o ambiente onde atividades criminosas prosperam sem controle.
A variedade de possibilidades de fraudes e golpes para quem detiver esses dados é quase ilimitada. E, em boa parte deles, quem tiver seus dados usados em ilícitos pode ficar sabendo apenas depois que o estrago tiver sido feito.
Esses exemplos deixam claro a falta de segurança nas bases de dados de empresas e órgãos públicos. Um problema já evidenciado de modo diferente em outras situações, como no ataque de hackers aos sistemas do Superior Tribunal de Justiça e do Tribunal Superior Eleitoral, por exemplo.
A Autoridade Nacional de Proteção de Dados (ANPD) anunciou que irá apurar os vazamentos para responsabilizar e punir os envolvidos. No entanto, por causa da pandemia, as punições previstas na Lei Geral de Proteção de Dados (LGPD) estão em uma espécie de moratória.
Independente disso, é preciso que a ANPD crie planos de contingência. Não apenas para reduzir os riscos de utilização criminosas desses dados. Mas com protocolos para informar os titulares desses dados acerca do risco e sobre como proceder em casos de fraudes.
A LGPD foi um avanço ao tentar trazer um pouco de ordenamento ao mundo virtual e proteção para seus usuários. Mas, para além do que diz a lei, ainda há um longo caminho a percorrer na implantação de medidas práticas e ferramentas de segurança eficientes.
A variedade de possibilidades de fraudes e golpes para quem detiver esses dados é quase ilimitada. E, em boa parte deles, quem tiver seus dados usados em ilícitos pode ficar sabendo apenas depois que o estrago tiver sido feito.
Esses exemplos deixam claro a falta de segurança nas bases de dados de empresas e órgãos públicos. Um problema já evidenciado de modo diferente em outras situações, como no ataque de hackers aos sistemas do Superior Tribunal de Justiça e do Tribunal Superior Eleitoral, por exemplo.
A Autoridade Nacional de Proteção de Dados (ANPD) anunciou que irá apurar os vazamentos para responsabilizar e punir os envolvidos. No entanto, por causa da pandemia, as punições previstas na Lei Geral de Proteção de Dados (LGPD) estão em uma espécie de moratória.
Independente disso, é preciso que a ANPD crie planos de contingência. Não apenas para reduzir os riscos de utilização criminosas desses dados. Mas com protocolos para informar os titulares desses dados acerca do risco e sobre como proceder em casos de fraudes.
A LGPD foi um avanço ao tentar trazer um pouco de ordenamento ao mundo virtual e proteção para seus usuários. Mas, para além do que diz a lei, ainda há um longo caminho a percorrer na implantação de medidas práticas e ferramentas de segurança eficientes.
Publicidade
*Luciano Bandeira é presidente da OABRJ
