Maior vazamento de dados da história do Brasil impõe à ANPD seu primeiro grande desafio

O dia 28 de Janeiro foi a data escolhida pelo Comitê de Ministros do Conselho da Europa (CE) para celebrar o DIA INTERNACIONAL DA PROTEÇÃO DE DADOS PESSOAIS e assim engajar o mundo em discussões que deveriam rememorar e debater a relevância da privacidade na internet.

Para o Brasil, especialmente, o dia 28 de janeiro de 2021 se tornou ainda mais emblemático, mas infelizmente não em razão da ainda recente entrada em vigor da tão aguardada Lei Geral de Proteção de Dados que ocorreu em 18 de setembro de 2020, ou, em virtude das ainda mais recentes nomeações dos membros do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), ocorridas em 6 de novembro de 2020.

A data em 2021 em verdade será lembrada pela ocorrência do que, para muitos, já é considerado o maior vazamento de dados da história do país. Se porventura você foi pego de surpresa com essa notícia, fique ciente que, provavelmente, é muito possível que neste momento os seus dados pessoais, de seus familiares, de amigos e conhecidos estejam sendo manipulados por usuários mal-intencionados, para dizer o mínimo.

Para se ter ideia da proporção deste incidente de segurança, os especialistas asseveram que o impacto do aludido vazamento é tão catastrófico que os efeitos podem perdurar por anos.

O megavazamento de dados, como já é chamado pela mídia, foi identificado pelo DFNDR LAB, laboratório especializado em segurança digital da PSafe, ainda em 19 de janeiro de 2021, mas apenas ganhou repercussão nos últimos dias. Os detalhes do incidente ainda são relativamente desencontrados, mas as informações preliminares são de que cerca de 223 milhões de pessoas tiveram dados pessoais como nomes, CPFs e datas de nascimento expostos gratuitamente em um fórum da internet. Entretanto, há relatos de que os referidos dados estariam conectados a uma outra base ainda mais comprometedora, que incluiria fotos, números de telefone, endereços, e-mails, salários, scores de crédito, declarações de imposto de renda, além de informações relativas a empresas e veículos, entre muitas outras.

Isto é, o incidente envolve dois vazamentos.

O primeiro vazamento, referente a nomes, CPFs e datas de nascimento, até então estava disponível gratuitamente para download em um conhecido fórum na internet. Já as informações do segundo vazamento, no entanto, apenas podiam ser acessadas mediante o pagamento de bitcoins, que variavam de acordo com a quantidade de dados efetivamente comprados.

A prática é comum entre os cibercriminosos, que costumam disponibilizar gratuitamente parte da base de dados obtida ilegalmente para demonstrar sua veracidade e, assim, após conquistar a confiança do interessado, lucrar em cima dos dados mais delicados.

Não bastasse a gravidade da situação, as autoridades brasileiras ainda não conseguem afirmar qual seria a origem do vazamento, muito embora tenham sido reportados a existência de indícios de que as informações, supostamente, seriam oriundas da base de dados da Serasa Experian, que, por sua vez, nega veementemente qualquer violação em sua base de dados.

O art. 48 da LGPD dispõe que, na hipótese de ocorrência de incidente de segurança com capacidade de acarretar risco ou dano relevante aos envolvidos, deveria o controlador comunicar o fato à Autoridade Nacional e aos titulares. Todavia, o que se observa até o momento é que, aparentemente, nem o possível controlador acionou a Autoridade Nacional - seja em decorrência do fato de que ele ainda não identificou a falha de segurança em seu sistema, seja por uma tentativa de ocultar sua responsabilidade -, nem muito menos iniciou contato com os possíveis titulares prejudicados.

Ainda no mesmo dispositivo, o §1º prevê que essa comunicação deveria ocorrer em prazo razoável, devendo mencionar:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Seguramente o controlador responsável se valerá da proteção salvaguardada no inciso V do supramencionado comando legal, de modo que incumbirá a Autoridade Nacional analisar a pertinência da justificativa.

Fato é que, considerando que a responsabilidade pela ocorrência do incidente ainda é desconhecida, cabe às autoridades envolvidas acelerar o processo de investigação, dar ampla publicidade ao ocorrido e, principalmente, elaborar e aplicar urgentes medidas de mitigação dos danos.

Certamente a ANPD não esperava um problema de tamanha magnitude em uma data como essa, mas a situação é relevante não apenas para, mais uma vez, reiterar a importância do aprofundamento no tema mas, sobretudo, para analisar a atuação da Autoridade Nacional de Proteção de Dados naquilo que pode ser seu primeiro grande desafio. 

O planejamento de 2021 da ANPD que vinha sendo publicizado até então era o de que, por enquanto, ela se manteria basicamente focada na criação de metodologias, de regulamentação de sanções e de elaboração de seu regimento interno, mas a circunstância pode acabar acelerando a sua atuação de cunho investigativo e fiscalizador. Aliás, não é demais rememorar que além de competência fiscalizadora, sancionadora e normativa, ela também desempenha função de zelar pela proteção dos dados pessoais.

Em que pese os quadros da ANPD ainda se encontrarem em formação, tendo em vista a gravidade do cenário relatado, espera-se que ela desempenhe papel de protagonismo na condução da investigação e na elaboração do plano de contingência, podendo também atuar de forma cooperativa com outros órgãos reguladores, se for o caso.

Vale frisar que, não obstante as sanções previstas na LGPD só possam ser aplicadas a partir de 1º de agosto de 2021, entre elas a de multa que pode atingir a monta de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração e a suspensão ou proibição do exercício das atividades do culpado, a empresa responsável pelo vazamento certamente poderá ser penalizada com base em outras leis, mormente pelo Código de Defesa do Consumidor e pelo próprio Código Civil. 

Considerando que o momento por enquanto é de incerteza, o mais prudente é que os consumidores aproveitem a situação para reformular todas as suas senhas e passem a adotar postura de permanente cautela e vigilância, em especial para movimentações financeiras em suas contas ou em seus cartões de crédito. Vale ficar atento até mesmo para conversas de aplicativos/redes sociais ou para e-mails de pessoas conhecidas, pois a extensão do vazamento pode ter permitido que cibercriminosos se apropriem de contas de terceiros.

A proteção de dados já é um componente essencial para a defesa de toda a sociedade e a criação da LGPD foi um avanço inquestionável para esse processo de salvaguarda, mas a sua implementação está diretamente condicionada a existência de uma Autoridade Nacional que esteja devidamente amparada por uma estrutura que lhe imbua de capacidade de investigação.

A sociedade brasileira seguramente anseia que esse episódio sirva para demonstrar até onde vai a força da Autoridade Nacional que recebemos.