Vazamentos de informações, incidentes de segurança e ausência da privacidade precedentes a lei geral de proteção de dados

Com o devido acato, no meu entendimento faz-se necessário inicialmente discorrer sobre a lei de proteção de dados contextualizando-a.

Segundo o professor doutor Marcelo Crespo, após um extenso debate no Congresso Nacional em 14 de agosto de 2018 foi sancionada a LGPD (lei 13.709/18), que colocou o Brasil na lista de mais de 100 países que possuem legislação destinada a proteger a privacidade e uso de dados.

Entre os fatores que levaram à sua criação e aprovação foi o General Data Protection Regulation (GDPR), regulamento europeu sobre proteção de dados.

O principal objetivo, da mesma forma que no GDPR, é garantir a privacidade dos dados pessoais permitindo maior controle sobre eles. Cria regras claras sobre processos de coleta, armazenamento e compartilhamento destas informações, ajuda a promover o desenvolvimento tecnológico da sociedade e a própria defesa do consumidor.

A importância da lei, resumidamente, é o estabelecimento de segurança jurídica para os envolvidos no processo de tratamento de dados porque apesar de termos alguma legislação setorial (como o Código de Defesa do Consumidor, por exemplo), existem casos de obscuridade, sem definição do que seriam os dados pessoais e as consequências do mau uso deles.

Mas a LGPD não se limita apenas à proteção de dados, "mas também sobre demais usos de tecnologia com alto impacto na sociedade, tais como a Inteligência Artificial, a robotização, o Blockchain, entre outros.

Sua aplicação é territorial e extraterritorial, respeitados os critérios expostos no art. 3º: Art. 3º. Esta lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I - a operação de tratamento seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. § 1º. Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.

No final do ano de 2018 tivemos inúmeros casos relatando vazamento de dados, credenciais de acessos, senhas de banco de dados, contas de e-mails etc.

Como exemplo citamos a empresa Tivit, mencionada pelo portal do laboratório DefCon Lab. O site informou o vazamento de informações de diversos clientes de grande, porte tais como: Klabin, Brookfield, JMacedo, Votorantin, entre outros. Dados esses que continham credenciais de acessos.

Ainda, segundo o portal Cybersecurity, as informações mostram e-mails trocados entre funcionários contendo cerca de 50 credenciais de acessos a serviços internos, incluindo rotinas de backup, cópias e transferências de arquivos, endereços e servidores e demais dados críticos da operação. Adicionalmente arquivos contendo cerca de 2,4 mensagens, com anexos, de colaboradores da empresa.

Em resposta, o presidente da Tivit, Carlos Gazaffi, comentou "a origem do ocorrido já havia se identificado e que a equipe de segurança da informação estaria conduzindo uma investigação detalhada, a qual indica que não houve nenhum tipo de invasão aos data centers da empresa, das redes de acesso da Tivit ou de nossos clientes".

E se a lei de proteção de dados já estivesse em vigor antes dos acontecimentos dos fatos, quais seriam as providências que deveriam se tomadas pela empresa citada? Quais seriam eventuais consequências que empresa sofreria?

Um argumento essencial que deve ser posto, é que toda pessoa natural tem assegurado a titularidade de seus dados pessoais, bem como garantidos seus direitos fundamentais de intimidade, liberdade e de privacidade, conforme previsto pela Constituição Federal. Dessa maneira, qualquer pessoa que tenha seus dados utilizados de forma indevida, que sofra danos de ordem moral, individual ou coletivo, poderá requerer o direito de reparação, sendo, portanto, assegurada a sua efetiva indenização, por meio do instituto da responsabilidade civil.

Ainda, a lei de proteção de dados também dispõe de forma específica sobre o direito da pessoa ser indenizada em casos de prejuízos decorrentes do vazamento de seus dados e informações. A legislação traz a possibilidade de denúncia à "Autoridade Nacional de Proteção de Dados (ANPD) e ao "Conselho Nacional de Proteção de Dados Pessoais e da Privacidade", órgãos que ainda precisarão ser regulamentados.

As providências que deveriam serem tomadas pela empresa citada, no meu entendimento, e de forma imediata, seria evidenciar a realização efetiva, eficiente e eficaz de boas práticas de Segurança da Informação, Governança, Risco e Compliance, através de processos e procedimentos internos capazes de demonstrar tais controles efetivos.

Ainda demonstrar que possui implementado Programas de Privacidade, Avaliações Sistemáticas de Impacto e Riscos à Privacidade, Planos de Respostas a Incidentes e remediação, Treinamentos internos, Códigos de Conduta e demais controles que demonstrem boas práticas de Compliance, Segurança da Informação, Privacidade e Cumprimento da Lei de Proteção de Dados.  

Em relação as eventuais consequências que empresa sofreria, a lei de proteção de dados prevê várias punições possíveis, desde uma advertência até multa equivalente a 2% do faturamento, que pode chegar até R$ 50 milhões, publicização da infração, podendo ainda sua operação ser suspensa de forma parcial ou total o funcionamento do banco de dados, conforme o artigo da lei de proteção de dados, referido abaixo:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: 

I - advertência, com indicação de prazo para adoção de medidas corretivas; 

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; 

III - multa diária, observado o limite total a que se refere o inciso II; 

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; 

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 

VI - eliminação dos dados pessoais a que se refere a infração; 

VII - suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo controlador; 

VIII - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 

IX - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 

Segundo o professor foutor Marcio Cots, a lei geral de proteção de dados estabeleceu critérios para a realização da dosimetria da sanção administrativa.

Esta deverá ser aplicada levando-se em consideração as peculiaridades do caso ocorrido, possibilitando que a empresa citada goze do direito da ampla defesa de forma gradativa, isolada ou cumulativa apresentando controles de boas práticas, conforme já mencionado.

A lei geral de proteção de dados é explícita nesse aspecto, conforme o artigo 52, §1º

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: 
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados; 

II - a boa-fé do infrator; 

III - a vantagem auferida ou pretendida pelo infrator; 

IV - a condição econômica do infrator; 

V - a reincidência; 

VI - o grau do dano; 

VII - (VETADO); 

VIII - (VETADO); 

IX - (VETADO); 

X - a pronta adoção de medidas corretivas; e 

XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção. 

Por fim, pode-se afirmar que, de "sorte", os vazamentos ocorridos não prejudicaram empresas que sofreram com os ataques digitais acerca da lei de proteção de dados, no entanto, é de nosso saber que o Ministério Público do Distrito Federal (MPDFT) instaurou inquérito civil público para investigar o vazamento de informações oriundo das empresas de serviços e tecnologias.

___________

*Pablo Correia possui mais de 10 anos de experiência em segurança da informação atuando também em compliance, gestão de risco e prevenção a fraudes.