Poder360: Vazamento do "fim do mundo" testa a agência brasileira de proteção de dados

O Brasil adora hipérboles (a figura de estilo que exagera de propósito), um conceito usado para que ele ganhe contornos dramáticos a fim de impressionar. Tivemos a “delação do fim do mundo”, feita pela Odebrecht em 2017, que depois se revelou mansa comum gatinho de madame. Agora há o “vazamento do fim do mundo”, um ataque via computadores que capturou dados de praticamente todos os brasileiros que têm vida econômica ativa. Os números são assustadores. Foram hackeados 223.739.215 CPFs (muitos de pessoas mortas e 40.183.784 CNPJs. Até os dados do presidente Jair Bolsonaro (sem partido) foram capturados.

Se quiser saber se os seus dados foram surrupiados, consulte o site FuiVazado! 

Se quiser saber se os seus dados foram surrupiados, consulte o site FuiVazado! (o autor do trabalho, Allan Fernando, diz ter recebido o pacote de dados num fórum da internet). Os meus foram. De um total de 37 tipos de registro (data de nascimento, endereço, email, salário, declarações de imposto de renda, score de crédito), só não furtaram 14, de acordo com o site Fui Vazado. Infelizmente os que ficaram intactos são bobagem: foto do rosto (encontrável facilmente na internet), se recebo bolsa família ou se faço parte de algum conselho de administração de empresa.

Tudo indica que os dados foram hackeados da Serasa Experian, segundo especialistas. A ANPD (Autoridade Nacional de Proteção de Dados) e o Procon de São Paulo já pediram explicações à empresa, que nega ser a fonte do vazamento. É essencial saber de onde vieram os dados para corrigir eventuais falhas. Os dados são hackeados e depois vendidos para bandidos e estelionatários digitais na “deep web”, uma parte da internet onde se vende armas, drogas, dados e documentos falsos e não é rastreável pelo Google e outras ferramentas de busca.

O megacrime testará a capacidade da recém-criada Autoridade Nacional de Proteção de Dados de administrar e punir o que já é considerado um dos maiores vazamento de dados do mundo. A ANPD segue os parâmetros do Regulamento Geral de Proteção de Dados da União Europeia, a mais avançada no quesito de proteção à privicidade.

A lei é moderna, mas especialistas temem que a ANPD siga o padrão habitual de incompetência do governo Bolsonaro. Em outubro de 2020, o presidente indicou três militares para a ANPD. O presidente do órgão, o coronel Waldemar Gonçalves Ortunho Jr., engenheiro eletrônico formado pelo IME (Instituto Militar de Engenharia), não deu um pio até agora sobre o vazamento do fim do mundo, mesmo provocado pela OAB (Ordem dos Advogados do Brasil).

A causa provável do vazamento é a maneira como os dados do Cadastro Positivo de Crédito foram agrupados pelas empresas. De acordo com o advogado Ronaldo Lemos, professor da Universidade Estadual do Rio de Janeiro e colunista da Folha de S. Paulo, a ideia de centralizar os dados num único cadastro facilitou o ataque. Se os dados estivessem separados, o estrago seria menor. Lemos compara a estratégia de agrupar todos os dados com os antigos petroleiros, que só tinham um compartimento de óleo e, quando ocorria umvazamento, todo o petróleo contaminva o mar. Atualmente os petroleiros têm vários compartimentos para evitar uma desgraça maior.

Os arquivos gigantes de dados não foram obra do acaso. Eles foram desenhados na Lei do Cadastro Positivo. Aprovada em outubro de 2019, a lei estabeleceu que todos os brasileiros deveriam estar no cadastro, queiram eles ou não. Em outros países, você é quem escolhe se quer fazer parte do cadastro ou não.

Tudo isso poderia estar em discussão na Autoridade Nacional de Proteção de Dados. A agência federal, porém, preferiu o silêncio _o vazamento foi descoberto pela start-up de segurança digital Psafe e revelado pelo jornal O Estado de S. Paulo em 21 de janeiro.

Apesar da gravidade do crime, não há nada sobre o vazamento do do fim do mundo no site da ANPD. Há uma série de questões práticas que deveriam estar sob análise e orientação da agência federal. Uma questão banal que a ANPD poderia esclarecer: como faço agora que minha data de nascimento, meu CPF e milhares dos meus são públicos para bandidos ou estão à venda na “deep web”? O que eu digo quando ligar para a operadora de cartão de crédito e perguntarem a data do meu nascimento e o meu CPF? Como o vazamento do fim do mundo, esses dados já não servem para provar que eu sou eu.

É muito cedo para fazer qualquer julgamento sobre a ANPD, mas ao mesmo tempo é exasperante que a autoridade se cale sobre um ataque desse porte. Há um risco de que toda a legislação sobre proteção de dados vire uma daquelas leis que não pega, como ocorre com frequência no Brasil. A tradição bacharelesca do país é mestra em criar leis que parecem atacar uma questão grave, mas só existem no papel. Lembra do tabelamento dos juros anuais a 12%? Era uma bobagem, claro, mas o teto foi aprovado como emenda constitucional em 1988 e perdurou até 2003 sem ter sido aplicada. Se a ANPD não agir logo para orientar os que foram hackeados, a lei de proteção de dados vai virar uma imagem desbotada das promessas de um futuro menos selvagem.

PROCON-SP: Vazamento de Dados Pessoais

O Procon-SP encaminhou no dia 28/1 um ofício à Delegacia Geral de Polícia Civil do Estado de São Paulo para apuração do vazamento de 220 milhões de dados pessoais de brasileiros. O caso será encaminhado a Divisão de Crimes Cibernéticos.

Conforme divulgado, dados como nome, CPF, fotografia, salário, renda, nível de escolaridade, estado civil, score de crédito, endereço, entre outros estão sendo divulgados e comercializados na internet.

“Vim entregar pessoalmente ao Delegado Geral de Polícia, Ruy Fontes, o pedido de instauração de inquérito policial para investigar o incidente. Vamos trabalhar juntos para esclarecer o que ocorreu”, afirma Fernando Capez, diretor executivo do Procon-SP.

Na quarta-feira (27/1), a Serasa Experian foi notificada pelo Procon-SP para esclarecer se o vazamento de informações pessoais ocorreu a partir de sua base de dados e, em caso positivo, explicar os motivos e as providências adotadas.

LGPD (Lei Federal 13.709) e CDC (Lei Federal 8.078)

A Lei Geral de Proteção de Dados (LGPD) e o Código de Defesa do Consumidor (CDC) preveem sanções para esse tipo de ocorrência.

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 18/9/2020 para disciplinar as regras sobre o tratamento e armazenamento de dados pessoais, restabelecer ao titular desses dados o controle de suas informações e proteger os direitos fundamentais de liberdade e de privacidade. As sanções previstas na lei poderão ser aplicadas a partir de agosto.

O Código de Defesa do Consumidor (CDC) – Lei Federal 8.078 – determina multas que vão de R$704,27 a R$10.546.442,048