A mídia noticiou, em janeiro de 2021, um grande vazamento de dados de pessoas físicas e jurídicas no Brasil. O vazamento atinge mais de 223 milhões de brasileiros.
A empresa de segurança digital PSafe informou, em 19/01/2021, que a informação vazada abarca CPF (de pessoas vivas e mortas), nome completo, data de nascimento, endereço, quadro societário, score de crédito, entre outros dados sensíveis. Dentre as pessoas atingidas, há diversas autoridades.
Na deep web um perfil anônimo disponibilizava, através de pagamento em bitcoin, também retratos, endereços, telefones, declaração de imposto de renda, listas de familiares, renda mensal, score de crédito, analises de crédito de pessoas e empresas, entre várias outras informações sensíveis.
Também foram vazadas informações detalhadas sobre cerca de 104 milhões de veículos automotores e dados sigilisos de mais de 40 milhões de empresas.
O vazamento dessas informações coloca todos os brasileiros em risco, pois com essa informação criminosos podem aplicar golpes. Conats bancárias podem ser abertas, em especial nos bancos digitais, cuja abertura de conta corrente se dá totalmente pela internet. Compras e vendas podem ser realizadas em nome de pessoas, entre outros tantos golpes.
Um outro golpe que pode ser realizado por golpistas que adquirirem as informações mencionadas, é o phising, que é uma forma de enganar pessoas para que compartilhem informações confidenciais como senhas, números de cartões de crédito. O criminoso entra em contato com a vítima, informando os seus dados para dar credibilidade à operação e a pessoa, constatando que o remetente tem aquela informação, tende a pensar que o contato vem de uma empresa com a qual já se relaciona e pode passar dados sigilosos, em especial senhas de contas.
A segurança cibernética é um tema cada vez mais importante, especialmente com o aumento da digitalizaçã o dos serviços de empresas privadas e do governo. Não basta ofertar o serviço digitalmente, é preciso investimento em segurança para evitar vazamento de dados ou a invasão dos bancos de dados por criminosos.
O elemento mais importante na segurança dos dados é o humano, devendo as pessoas se preocuparem em aprender sobre segurança de dados e as condutas que devem adotar para aumentar a segurança dos seus equipamentos, evitando comportamemtos (como abrir anexos suspeitos em e-mails) que aumentem o risco de violação dos dados.
Importante que a Autoridade Nacional de Proteção de Dados – ANPD exerça o seu papel legal de “zelar pela proteção dos dados pessoais, nos termos da legislação”, conforme previsto no art. 55-J, inciso I, da Lei nº 13.709/2018. Eis as competências legais da ANPD:
I – zelar pela proteção dos dados pessoais, nos termos da legislação;
II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
III – elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
XI – solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
XII – elaborar relatórios de gestão anuais acerca de suas atividades;
XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
XVII – celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
XIX – garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
XX – deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
XXI – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
XXII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
XXIII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
XXIV – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
Importante também que o Ministério Público Federal investigue para apurar quem foi o responsável, ou responsáveis, pela coleta ilegal e vazamento de grande quantidade de informações sensíveis dos brasileiros, pois disponibilização de dados sigilosos em grande escala coloca em risco não só pessoas e empresas, mas a própria economia, com a quebra de confiança na circulação segura de informações.
Praticamente, só resta às pessoas e empresas permenecerem atentos a qualquer recebimento de comunicações (e-mails, mensagens eletrônicas em geral) que solicitem confirmação de dados ou novos dados. É interessante trocar as senhas de e-mails e de outros serviços na internet constantemente, de preferência semanalmente, e não colocar a mesma senha em diversos serviços e aparelhos eletrônicos.
Se alguém for vítima de golpe com a utilização dos seus dados, a exemplo da abertura de conta bancária e empréstimos, importante fazer um boletim de ocorrência e procurar um advogado para anular os negócios jurídicos realizados pelo fraudador.