Sancionada em 2020, LGPD obriga empresas privadas e órgãos públicos a investirem em segurança da informação sob pena de responderem criminalmente
O brasileiro começou 2021 sabendo que haveria mais com que se preocupar além da pandemia do Coronavírus.
Mal havíamos dobrado a primeira quinzena de janeiro e a startup PSafe anunciou a descoberta de um gigantesco vazamento de dados que deixou mais de 220 milhões de pessoas vulneráveis – potencialmente toda a população brasileira viva e mais um número de cidadãos já mortos – além de informações detalhadas sobre 104 milhões de automóveis e 40 milhões de empresas.
No blog oficial da Psafe, Emilio Simoni, diretor do dfndr lab (que é o setor de segurança empresarial contra vazamento de dados da Psafe) deu uma ideia do perigo desse vazamento sem precedentes. De acordo com ele, os dados vêm sendo comercializados ilegalmente em fóruns da dark web nos quais os cibercriminosos disponibilizam parte das bases para comprovar a veracidade das informações obtidas e tentam de alguma forma lucrar com esses incidentes, vendendo dados mais aprofundados como e-mails, telefones, dados de poder aquisitivo e ocupação das pessoas afetadas.
A quantidade de golpes que um cracker pode praticar de posse de dados tão minuciosos de cidadãos brasileiros é ilimitada. Imagine a facilidade com que alguém que tem número de chassi, placa, município, cor, marca, modelo, ano de fabricação, cilindradas e até mesmo o tipo de combustível do seu veículo pode colocá-lo para venda em classificados online. Ou, de posse de seu nome completo, CPF, data de nascimento, endereço e telefone obter um cartão de crédito se passando por você.
A Lei Geral de Proteção de Dados veio para colocar pressão sobre os detentores de bancos de dados pessoais de modo a que eles se vejam obrigados a garantir a segurança da informação que detêm. Ela entrou em vigor em setembro de 2020 e as punições que ela estabelece começam a valer a partir de agosto deste ano (2021).
A indenização a ser fixada por um (a) juiz (a) para o cidadão que comprove judicialmente ter sido lesado pelo vazamento de seus dados pode chegar a R$ 50 milhões conforme estabelece o artigo 52 da lei (multa simples, de até 2% do faturamento da pessoa jurídica de direito privado – limitada, no total, a R$ 50.000.000,00 por infração), entre outras penalidades.
O Brasil estava muito atrasado no tema – o modelo europeu de proteção de dados pessoais dos consumidores, por exemplo, data de 1995. Mas não é só isso.
A ausência de uma legislação efetiva de proteção de dados pessoais era um obstáculo para que o Brasil pudesse ter chance de ingressar na OCDE (Organização para a Cooperação e Desenvolvimento Econômico), um organismo internacional formado por países que aceitam os princípios de democracia representativa e de economia de mercado.
Mas ainda falta chão, pois é preciso agora que os países-membros da OCDE se convençam de que a recém-criada legislação vai de fato sair do papel e ser colocada em prática.
A LGPD é extensa – ela tem 65 artigos e cobre diversos aspectos relacionados à proteção de dados pessoais por empresas e órgãos públicos. Neste artigo, vou abordar apenas alguns conceitos básicos da lei.
Um primeiro conceito a ser compreendido é o de “tratamento de dados pessoais”, pois este é a base da legislação: ela “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
E qual é a definição de tratamento para efeito da lei?
De acordo com a própria lei, tratamento é “toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” dos dados.
Isso significa que tanto a loja de departamentos onde você fez compras, como a clínica dentária que você frequenta, o supermercado virtual que te abastece delivery ou o Departamento de Trânsito de sua cidade têm a mesma responsabilidade de garantir o sigilo e a segurança das informações que elas detêm e sobre as quais você tem a titularidade – e estão igualmente passíveis de sanção caso tenham concorrido para que sua privacidade seja exposta.
Outro conceito importante para efeito da lei é o de Dado pessoal: Qualquer informação relacionada a pessoa natural identificada ou identificável é considerada um dado pessoal. É um leque que engloba tanto os números dos seus documentos, como suas informações de contato, endereço, e-mail, fotografias, dados clínicos, informações sobre seus bens móveis e imóveis, relações de parentesco, cartões de crédito, conta bancária, perfil de consumo, somente para citar alguns.
Já o Banco de dados é definido pela LGPD como o “conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico” (a lei também protege o “dado pessoal sensível”, que iremos abordar em outro artigo, e que está definido como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”).
A vigência da lei obriga textualmente, no artigo 46, a que os Agentes de tratamento dos dados pessoais “adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
Fechando o tripé de conceitos importantes para uma compreensão inicial do alcance da lei, quero colocar aqui o de Consentimento.
Repare no conceito de tratamento de dados pessoais, definido pela lei, que coloquei acima. Ele inclui desde a coleta (tomada) dos seus dados até a difusão (divulgação) deles, passando por acesso, armazenamento, transferência, etc, certo?
Pois bem, a lei determina que qualquer uma das ações previstas na definição de tratamento somente pode ser realizada se você, o titular dos dados pessoais, fornecer o consentimento, que é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.”
Assim, aquela empresa que te envia insistentemente promoções via e-mail marketing, se ela não teve seu consentimento expresso para enviar mensagem para sua conta pessoal de e-mail, ela está infringindo a LGPD – principalmente se você solicitou sua exclusão daquela base de dados e seu pedido foi ignorado.
Outro aspecto importante afixado pela lei no que tange ao consentimento é o de que ninguém que obteve o seu consentimento para tratar seus dados pessoais ganha o direito de passá-los adiante. A lei é clara ao estabelecer que o controlador que obteve o consentimento e que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim – ou seja, para compartilhar seus dados, também é mandatório que você consinta.
E tem mais! Mesmo depois de fornecido, o consentimento para possuir, manejar e gerir seus dados pode ser revogado a qualquer momento mediante manifestação expressa, e esse procedimento deve, necessariamente, ser gratuito e facilitado – embora todos os atos realizados enquanto durou seu consentimento possam ser ratificados.
E mesmo antes de ter suas penas passíveis de aplicação, a LGPD serviu como base para o Ministério Público impetrar uma primeira ação civil pública motivada por vazamento de dados. O alvo foi a Infortexto, uma empresa sediada em Belo Horizonte (MG), que detinha dados pessoais dos clientes de um serviço chamado Lembrete Digital.
A Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do Ministério Público do Distrito Federal e Territórios (MPDFT) levantou que a empresa vinha comercializando as informações pessoais de sua base de dados em pacotes cujos preços variavam entre R$ 42, R$ 212,90 a até R$ 462,90 (este último, mais caro, era cobrado pelo conjunto para envio de SMS de propaganda política).
Milhões de cidadãos brasileiros teriam sido vítimas do esquema. A ação acabou extinta pelo juiz da 5ª Vara Cível do Tribunal de Justiça do Distrito Federal e Territórios, que concluiu haver ausência de interesse processual pois o website que vendia os dados já estava em manutenção quando foi acessado pela Justiça. De todo modo, o rápido protagonismo do MPDFT nos dá uma medida da enxurrada que poderá vir pela frente assim que advogados, procuradores, e – principalmente – os cidadãos brasileiros se familiarizarem com o alcance da lei.