O desastre dos megavazamentos de dados

Há pouco mais de três semanas, a startup de cibersegurança Psafe denunciou que 220 milhões de brasileiros tiveram seus dados vazados na internet. O número é superior à população do país — atualmente em 212 milhões de habitantes —, o que sugere que pessoas falecidas estejam no rol de vítimas. Qual a consequência disso? Abertura de conta em bancos, pedido de empréstimo em instituições financeiras, solicitação de cartões de crédito, compras em lojas virtuais e mais. Muito mais.

Segundo a empresa que descobriu o ocorrido depois de receber relatos de um hacker, documentos pessoais (RG e CPF), informações financeiras, registros de empresas e veículos estavam sendo comercializados na deep web — camada da internet em que ocorrem delitos virtuais de difícil rastreio. Um lote com informações de até 100 pessoas físicas e jurídicas, por exemplo, era vendido no “mercado negro” ao custo aproximado de US$ 50 (R$ 269,40). O valor estimado de todo o conteúdo chega a R$ 80 milhões.

O hacker admitiu à Psafe ter copiado os dados ao longo dos últimos 18 meses, indicando que o vazamento começou em 2019. Nesse período, o homem garante que coletou informações que constavam associadas a CPFs que estiveram ativos entre 2008 e 2020. Segundo ele, a fonte do vazamento é a Serasa Experian, que negou a acusação. Daniel Becker, advogado especialista em disputas no setor de tecnologia e professor da plataforma Future Law, afirma que os dados podem ter sido coletados de fontes diversas, “dificultando a responsabilização dos culpados, o que precisa ser apurado com urgência”.

Outros ataques

Dias depois, os brasileiros receberam a notícia de que haviam sido expostos a outro vazamento, descoberto também pela Psafe: 103 milhões de informações obtidas das operadoras de telefonia Claro, Oi, Tim e Vivo foram divulgadas ilegalmente — não se sabe se há ligação com o primeiro ataque. Entre os dados estão números de celulares dos consumidores, RG, CPF, CNPJ, e-mail, endereços residenciais e/ou comerciais, detalhes sobre o pagamento da fatura (atraso no pagamento, valor, dívidas) e outros dados sensíveis.

Nesta semana, o Departamento de Proteção e Defesa do Consumidor, vinculado ao Ministério da Justiça e Segurança Pública (MJSP), deu prazo de 15 dias para que as teles expliquem o ocorrido. A pasta quer saber quais informações foram obtidas e como foram vazadas. O Procon de São Paulo fez o mesmo que o MJSP e notificou as companhias. A Psafe também recebeu uma intimação com a finalidade de esclarecer como se deu o contato com o hacker, onde ele mora e se o vazamento se deu apenas no ambiente da dark web.

Até o momento, são os maiores vazamentos de dados da história do Brasil, que tem sido alvo de sucessivos ataques nos últimos meses. Em dezembro passado, veio à tona um vazamento de senhas no Ministério da Saúde que expôs dados de 16 milhões de pessoas. O problema foi causado por um cientista de dados externo que alega ter publicado a lista de senhas na plataforma de hospedagem GitHub para fazer um teste e esquecido de removê-la posteriormente.

Um mês antes, a Polícia Federal prendeu em Portugal um hacker suspeito de invadir os sistemas do Tribunal Superior Eleitoral (TSE). O criminoso colheu dados no dia do primeiro turno das eleições municipais no Brasil — a apuração dos votos chegou a atrasar em alguns Estados. Ele conseguiu informações armazenadas de 2001 a 2010 sobre funcionários e ex-ministros do TSE. Não demorou muito para que outro órgão do Poder Judiciário entrasse na mira dos criminosos: o Superior Tribunal de Justiça (STJ).

Após a ofensiva contra o TSE, um atentado cibernético bloqueou processos e e-mails do STJ. Em consequência da ilegalidade, a base de dados do tribunal ficou inacessível por semanas, impedindo a tramitação usual de processos e até mesmo o acesso ao servidor interno de e-mails.

O ocorrido acaba por arranhar a imagem do Brasil lá fora. Os vazamentos são um exemplo ruim para o regime internacional de proteção e de governança de dados das maiores organizações, como a União Europeia, a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) e a Organização Mundial do Comércio. O significado do megavazamento é de baixa reputacional para o Brasil. Ou seja, para nosso país entrar na OCDE, precisa demonstrar que está dentro das normas estabelecidas pelos países-membros, que se preocupam com a segurança digital. Obviamente, é também negativa a mensagem para investidores internacionais, cada vez mais ciosos em questões relacionadas a dados.

A Autoridade Nacional de Proteção de Dados (ANPD) em xeque

Os mais recentes vazamentos fecharam o cerco sobre a ANPD, agência responsável por regular a Lei Geral de Proteção de Dados (LGPD), sancionada no ano passado. É a autarquia que tem o dever de zelar pela proteção dos dados dos brasileiros. Ela, entretanto, ainda não está 100% operante. Isso porque, apesar de a LGPD ter sido aprovada no Congresso Nacional em 2018, houve atrasos burocráticos e a estrutura da ANPD empacou — os membros foram definidos só em 2020.

Vinculado à Presidência da República, o órgão — que deveria ser independente como as demais agências reguladoras e não semelhante a um aparato de governo — também sofre com a restrição orçamentária e a falta de estrutura. Nem mesmo as regras para a instrução de processos investigativos foram definidas pelo conselho da ANPD, que tem cinco integrantes — incluindo o diretor-presidente, o coronel Waldemar Ortunho Junior. Também está em análise o modelo para aplicação de multas.

Quaisquer punições previstas na nova legislação só poderão ser aplicadas a partir de agosto deste ano (uma delas prevê multa de até R$ 50 milhões a empresas), pois é o prazo estipulado em lei de modo que a ANPD funcione a todo o vapor. Enquanto isso, é preciso recorrer a outros mecanismos que não a LGPD, aprovada justamente para emergências como a que estamos vivendo. Em linhas gerais, as fragilidades abrem brechas para questionamentos na Justiça sobre o papel da própria agência.

“Ao término das apurações, e com os responsáveis devidamente identificados, tanto companhias da iniciativa privada envolvidas quanto o governo podem ser punidos na esfera administrativa e judicial”, explicou Luiz Augusto D’Urso, advogado e especialista em cibercrimes e direito digital pelo Ibmec-SP. De acordo com ele, a partir daí, é possível pensar em uma ação civil pública em benefício da coletividade por meio do Ministério Público Federal (MPF), por exemplo.

Luis Barros, advogado corporativo, especialista em LGPD e sócio da empresa Russell Bedford Brasil, ressalta a importância do papel do MPF até que a ANPD esteja funcionando plenamente. “Há muito tempo, o MPF atua no cenário de vazamento de dados. O órgão já aplicou punições no passado com base no Código de Defesa do Consumidor e no Marco Civil da Internet”, exemplificou Barros, ao mencionar que a autarquia já foi oficiada pela ANPD de modo a colaborar com os investigadores. “A figura de protagonista foi assumida pelo MPF”, disse Barros.

Tão logo se chegue aos culpados, as pessoas também podem conseguir uma reparação financeira na Justiça. “Para fins de indenização, o consumidor tem de se dirigir ao Procon ou à Justiça comum”, orientou Marcelo Chiavassa, professor de Direito Digital da Universidade Presbiteriana Mackenzie, de São Paulo. E, até que tudo se esclareça, é necessário ampliar os cuidados com os dados na internet, advertiu Marco Araújo Junior, advogado especialista em direito do consumidor e diretor do Instituto Brasileiro de Política e Direito do Consumidor (Brasilcon).

“No primeiro indicativo de que algum dado foi usado, ou na tentativa de alguma fraude por parte dos golpistas virtuais, o consumidor deverá registrar uma ocorrência policial para preservar direitos”, recomendou Araújo. “Suspeite de ligações de pessoas que estejam dispostas a ajudar você a quitar dívidas com bancos ou lojas”, acrescentou o especialista, que alerta os usuários a não consultar em sites se suas informações foram vazadas. Araújo acrescenta que a população brasileira está vulnerável a crimes futuros. Por isso, tem de se prevenir.

“Ainda estamos suscetíveis a outros ataques. No entanto, conseguiremos corrigir esses problemas à medida  que o governo, as empresas e as pessoas se conscientizarem da importância de nossos dados, de sua proteção e dos riscos que corremos”, concluiu Araújo.

Leia também “Lei de Proteção de Dados: um cenário incerto para as empresas”