A empresa de cibersegurança PSafe detectou, logo nos primeiros dias de 2021, um vazamento de dados sensíveis de 223 milhões de brasileiros – praticamente, a totalidade da população. Entre as informações potencialmente expostas estavam CPF, nome completo, data de nascimento e até score de crédito dos cidadãos.
No mês seguinte, o mesmo laboratório relatou que foram expostos indevidamente RG, CPF, data de nascimento, e-mail, endereço, número do celular e informações sobre a fatura de 102,8 milhões de contas de celulares das operadoras Claro, Vivo, Oi e Tim.
Para entender o que configura um vazamento, por que eles ocorrem com tanta frequência e o que as vítimas devem fazer, o programa Bem Viver conversou com Diogo Moyses, Coordenador do Programa de Telecomunicações e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec).
O entrevistado, que também é mestre em Direito e doutor em Processos e Meios Audiovisuais pela Universidade de São Paulo (USP), afirma que o Estado brasileiro não está preparado para garantir os direitos dos consumidores nesses casos.
“O fato de termos uma Autoridade Nacional de Proteção de Dados que levou mais de um ano para ser instalada, e ainda hoje possui um corpo técnico absolutamente limitado, é um sintoma de que o Brasil está vendo a banda passar e não está oferecendo instrumentos e garantias para os titulares desses dados”, analisa Moyses.
Confira a entrevista na íntegra:
Brasil de Fato: O que configura, exatamente, um vazamento de dados pessoais?
Diogo Moyses: Dados pessoais são todos aqueles que identificam diretamente ou indiretamente uma pessoa. São dados constituintes da nossa natureza, e por isso precisam ser tratados com cuidado muito especial – principalmente em um momento de “digitalização” de todas as esferas da vida.
Vazamento é diferente de incidente de segurança. Nesse último caso, um hacker, por exemplo, descobre que determinado banco de dados é inseguro e penetrável, e informa isso publicamente. Então, a empresa ou órgão se mobilizam para garantir a segurança desses dados.
O vazamento se configura quando esses dados pessoais são extraídos, efetivamente, por uma pessoa ou instituição sem autorização.
O cenário que a gente está vivendo é complexo porque não são só incidentes de segurança. Ocorrem vazamentos mesmo, e esses dados estão sendo colocados à venda na deepweb – modalidade de internet que só usuários muito especializados conseguem adentrar.
A deepweb é um ambiente criptografado, e é difícil identificar as pessoas.
Por que é tão importante proteger esses dados, se muitas vezes passamos o CPF, por exemplo, ao pagar uma conta na farmácia ou supermercado?
De fato, muitos dados pessoais já foram vazados e estão disponíveis, ou para organizações criminosas ou para empresas que não são responsáveis minimamente pelo que fazem.
Esses dados pessoais são importantes, primeiro, porque eles podem muito facilmente permitir que criminosos apliquem um sem-número de golpes e fraudes – que estão cada vez mais sofisticados.
Quando um criminoso tem acesso aos dados pessoais de alguém, ele pode se passar pelo consumidor, ou se passar por uma empresa para aplicar golpes em um consumidor, por exemplo.
O criminoso não escolhe de onde vai extrair dados. Ele vai atrás deles, onde estiverem disponíveis, para continuar operando seu negócio
Proteger esses dados é importante para que a gente tenha uma vida livre. Ou seja, muitas vezes as empresas obtêm nossos dados e acabam dirigindo o que a gente vai fazer na nossa vida.
O criminoso não escolhe de onde vai extrair dados. Ele vai atrás deles, onde estiverem disponíveis, para continuar operando seu negócio.
Temos exemplos mais triviais, como nas redes sociais, quando a empresa usa nossas informações para, de certa forma, dirigir aquilo que a gente vê e não vê. Mas, também, esses dados podem ser usados para discriminar objetivamente certos tipos de usuário, como mulheres, negros, membros da comunidade LGBT, etc.
Os dados falam muito sobre a gente e podem nos induzir a uma série de coisas a que não gostaríamos de ser induzidos – seja na dinâmica cotidiana da vida, seja na aplicação de golpes e fraudes de toda sorte, que estão se expandindo em uma velocidade incrível aqui no Brasil.
O vazamento dos dados na deepweb é tão grave quanto um vazamento que torne essas informações abertas ao público em geral?
Sim. Muitas vezes os dados vazados ficam disponíveis na internet, de forma aberta, para todo mundo acessar. Porém, essa transferência ou perda de dados vêm ocorrendo de forma mais vigorosa na deepweb, e lá estão boa parte dos "criminosos profissionais".
O problema está em todas as pontas: tanto nos dados que se tornam público, quanto naqueles que são comercializados na deepweb.
O criminoso não escolhe de onde vai extrair dados. Ele vai atrás deles, onde estiverem disponíveis, para continuar operando seu negócio.
Todas as fontes de vazamento são relevantes, e é por isso que um combate estruturado a esse problema demanda atuação nessas diferentes frentes.
A Fundação de Proteção e Defesa do Consumidor em São Paulo (Fundação Procon-SP) pediu informações às operadoras Vivo, Tim, Claro e Oi sobre os dados de quase 100 milhões de celulares brasileiros que teriam vazado em 10 de fevereiro. Algumas delas insistem na narrativa de que não houve vazamento. Como as controvérsias em torno do conceito de vazamento dificultam a responsabilização?
Esse cenário de incerteza sobre a origem do vazamento dos dados ocorreu, no caso citado, das operadoras de telefonia, mas também ocorreu no chamado “megavazamento” revelado no final de janeiro. Este envolveria, eventualmente, dados dos birôs de crédito, especialmente o Serasa, que é a maior desse setor.
Ainda há, no Brasil, uma dificuldade de se identificar de forma rápida e eficaz a origem desses vazamentos. Falta eficiência – para dizer o mínimo – dos órgãos reguladores que atuam no setor, e muitas vezes também há um cenário de pouca colaboração das empresas.
Enquanto não se identifica a origem do vazamento, a atuação do poder público fica muito limitada. Se uma empresa é identificada como a origem do vazamento, ela passa a ter uma série de obrigações legais: informar os consumidores, dizer o que está sendo feito para garantir a segurança dos dados, garantir que os consumidores que foram objetivamente prejudicados sejam ressarcidos.
Esse problema é central no Brasil. Além das empresas, que têm colaborado muito pouco, o governo federal, infelizmente, ainda não tem atuado de forma robusta para garantir uma comunicação rápida aos consumidores que tiveram dados vazados e assegurar que as empresas responsáveis se movimentem para cumprir o que determina a lei.
Nesses dois últimos casos, embora as empresas neguem que tenham sido a origem dos vazamentos, tem um fato claro e inquestionável: os dados dessas empresas estão na lista de dados vazados. Pelo menos uma das origens desses dados são as empresas de telecomunicações.
Vazar score de crédito, como ocorreu em janeiro, depende evidentemente do envolvimento, mesmo que indireto, dos birôs de crédito – e do Serasa, em específico.
Então, a identificação das empresas responsáveis, encadeada com uma atuação governamental eficiente para garantir os direitos dos consumidores, ainda está em estágio preliminar no Brasil. Ainda falta muito para nossos órgãos reguladores e nossas agências setoriais darem respostas satisfatórias a casos como esses.
Ainda sobre o megavazamento, revelado há mais de um mês, não tivemos nenhuma atitude estrutural dos órgãos reguladores, da Autoridade Nacional de Proteção de Dados [ANPD] e da própria Secretaria Nacional do Consumidor [Senacon, vinculada ao Ministério da Justiça], para orientação aos consumidores.
As pessoas precisam saber quais os seus direitos e o que fazer em caso de prejuízo objetivo em função do vazamento dos dados.
Esse cenário de proteção ao consumidor é incipiente porque, de fato, as legislações dos países demoram a se adequar a mudanças tecnológicas e estão sempre um passo atrás, ou há uma intencionalidade por trás dessa falta de eficiência?
É uma soma de fatores. Em primeiro lugar, tivemos um processo muito demorado para que, enfim, a Lei Geral de Proteção de Dados [LGPD], aprovada em 2018, entrasse em vigor. Foram várias idas e vindas, vetos de Michel Temer [MDB] e Bolsonaro [sem partido], novas discussões no Congresso Nacional.
Inclusive, hoje, embora a gente tenha uma lei vigente, as sanções, multas e afins só poderão ser aplicadas a partir de agosto. Isso decorre de um acordo feito no Legislativo para que a LGPD pudesse entrar em vigor. E, ainda hoje, temos propostas na mesa para adiar o início da vigência das sanções.
De forma geral, a orientação do Executivo federal é não fazer força nenhuma para garantir direitos dos consumidores e cidadãos
Muitos setores econômicos pressionam por esse adiamento, e infelizmente nosso parlamento e o governo federal são muito mais suscetíveis a esses movimentos do que a uma eventual pressão da sociedade para garantia dos seus direitos.
De forma geral, a orientação do Executivo federal é não fazer força nenhuma para garantir direitos dos consumidores e cidadãos.
Se olharmos para a última década, por exemplo, esses vazamentos são cada vez mais frequentes devido à sofisticação das operações criminosas? Ou as empresas estão, ainda que lentamente, aprimorando as formas de controle e proteção dos dados?
A quantidade de vazamentos está ligada, em primeiro lugar, a uma radicalização do processo de tratamento e coleta de dados.
Nós assistimos, especialmente nos últimos dez anos, a uma digitalização das diferentes esferas da vida. Hoje, praticamente todas as nossas relações e comunicações passam pela internet.
Essa é a primeira razão para o aumento dos vazamentos. Outro elemento, como mencionei, é o despreparo institucional. Cresce exponencialmente a quantidade e a qualidade dos dados coletados e tratados, e não nos preparamos adequadamente para lidar com essa situação.
O fato de termos uma ANPD que levou mais de um ano para ser instalada, e ainda hoje possui um corpo técnico absolutamente limitado, é um sintoma de que o Brasil está vendo a banda passar e não está oferecendo instrumentos e garantias para os titulares desses dados.
Qual a melhor forma de prevenir esses golpes e fraudes, e como devo proceder ao descobrir que meus dados vazaram, ou que meu número de celular foi clonado e está sendo usado indevidamente?
O que nós temos dito aos consumidores é que a primeira coisa que deve ser feita, desde já, é aumentar muito o cuidado pessoal com transações, e-mails, mensagens recebidas pelo celular.
Desconfie dos contatos que você recebe por esses meios. Desconfie de ligações de telemarketing.
Esse olhar “desconfiado” de absolutamente tudo que passa na nossa frente, nesse momento de megavazamentos de dados, é fundamental. Senhas fortes, autenticação em dois fatores, também são instrumentos muito importantes.
Se o consumidor for prejudicado objetivamente por um vazamento de dados, ele pode reivindicar seus direitos junto à empresa responsável. Se isso não for possível, deve acionar as instâncias administrativas e judiciais.
O Procon é a instância administrativa nesses casos, ligado aos governos estaduais ou às prefeituras, a depender do estado. Se esse processo não for bem-sucedido, o segundo passo é entrar com ação judicial para reparar os danos sofridos.
Há, inclusive, um juizado especial para esse tipo de causa. Antigamente, se chamava Juizado de Pequenas Causas, hoje se chama Juizado Especial Cível [JEC].
É muito importante, caso o consumidor tenha sofrido algum prejuízo material ou moral, que ele busque os seus direitos até o fim.
Em eventuais cenários onde não se consegue identificar a origem do vazamento, mas o consumidor demonstra que foi vítima de golpe ou fraude, também é importante fazer um boletim de ocorrência antes de acionar o Procon ou o JEC.
Mas, reitero: infelizmente, em função de um cenário de desarticulação do governo federal, precisamos tomar muito cuidado com a gestão dos nossos dados. Jamais devemos passar dados a pessoas ou instituições sem a confirmação de que eles representam, de fato, uma empresa ou instituição, e precisamos todos os cuidados possíveis ao nos comunicarmos pela internet.
Edição: Poliana Dallabrida
