Home Artigos e notícias LGPD: entenda o papel da legislação diante dos megavazamentos de dados

LGPD: entenda o papel da legislação diante dos megavazamentos de dados

22 de fevereiro de 2021

string(4) "topo"

Entenda o que é a LGPD e saiba mais sobre os megavazamentos de dados que vêm ocorrendo no país.

Recentemente, o nosso país se deparou com casos de megavazamentos de dados pessoais que expuseram a privacidade de milhões de brasileiros, vivos e mortos.

De acordo com especialistas, uma dessas ações já pode ser caracterizada como um dos maiores roubos de informações da história nacional.

No entanto, existem algumas iniciativas que prometem garantir a segurança de informações digitais, dentre elas, a aprovação da Lei Geral de Proteção de Dados (LGPD) e a criação da Autoridade Nacional de Proteção de Dados (ANPD).

Porém, apesar de termos uma legislação específica e uma autoridade nacional destinada a tratar do assunto, os megavazamentos de dados recentes demonstram fragilidades da aplicação prática dessa lei.

Entenda do que trata a LGPD e saiba como redobrar os cuidados após esses megavazamentos.

O que é a LGPD?

A Lei Geral de Proteção de Dados foi instituída por meio da  Lei Nº 13.709, de 14 de agosto de 2018, e está em vigência desde 18 de setembro de 2020.

De acordo com seu Art. 1º, “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Em outras palavras, ela define direitos de indivíduos em relação às suas informações pessoais e regras para quem coleta e trata esses registros.

Foi criada com os objetivos de proteger os direitos fundamentais de liberdade e privacidade e aumentar a segurança e transparência no processo de coleta de dados pessoais, inclusive na internet, exigindo a garantia da integridade deles.

Vale ressaltar que a LGPD garante proteção a todos os dados, em formato físico ou digital, cujos titulares são pessoas naturais. Assim sendo, essa lei não tem efeito quanto aos dados titularizados por pessoas jurídicas por não serem considerados pessoais.

Afinal, o que são dados?

A LGPD adota um conceito aberto de dado pessoal definido como a informação relacionada a uma pessoa natural identificada ou identificável. 

lgpd-entenda-o-papel-da-legislacao-diante-dos-megavazamentos-de-dados-2
A Lei Geral de Proteção de Dados defende um conceito aberto do que é dado pessoal.

Além disso, são informações geradas por pessoas no dia a dia, on-line ou não. São os rastros deixados ao visitar sites, ao realizar cadastros feitos em um clube ou em páginas da internet, entre outras diversas situações.

Veja abaixo alguns exemplos práticos do que são dados pessoais:

  • nome e sobrenome;
  • nome dos pais;
  • nome do cônjuge;
  • apelido;
  • endereço residencial;
  • endereço de e-mail;
  • número de identificação de documento, como CPF ou RG;
  • dados de localização de aparelho celular;
  • endereço de IP (protocolo de internet);
  • testemunhos de conexão (cookies);
  • dados retidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.

Dados pessoais sensíveis

São aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um indivíduo

Dessa forma, são considerados dados pessoais sensíveis:

  • a orientação sexual;
  • origem racial ou étnica;
  • convicção religiosa;
  • opinião política;
  • filiação político-partidária;
  • filiação sindical, ou a organização de caráter religioso ou filosófico;
  • dados referente à saúde ou à vida sexual;
  • o histórico médico, incluindo dados genéticos ou biométricos.

Portanto, de acordo com a LGPD, são igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinado indivíduo.

Autoridade Nacional de Proteção de Dados (ANPD).

A ANPD é a autoridade instituída para tratar da proteção de dados em território nacional.

Foi instituída pela Lei Nº 13.853, de 8 de julho de 2019, que alterou a LGPD e, dentre outras providências, criou a Autoridade Nacional de Proteção de Dados um mês antes da lei entrar em vigor.

O órgão faz parte da administração pública federal integrante da Presidência da República e possui autonomia técnica e decisória.

É responsável por zelar pela proteção dos dados pessoais e por orientar, regulamentar e fiscalizar o cumprimento da legislação.

De acordo com o com site oficial do Governo Federal, destacam-se as seguintes atuações:

  • elaborar as diretrizes para a Política Nacional de Proteção de Dados e da Privacidade;
  • promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  • promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
  • estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais;
  • fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.

Megavazamentos de dados

Nos últimos dois meses ocorreram alguns episódios de megavazamentos de dados digitais que comprometem e violam a privacidade de milhões de pessoas.

lgpd-entenda-o-papel-da-legislacao-diante-dos-megavazamentos-de-dados-3
Em fevereiro de 2021 dados de mais de 100 milhões de contas de celular foram vazados.

Um deles ocorreu em janeiro e é apontado por especialistas como o maior vazamento de dados ocorrido até ao momento no Brasil. O outro, por sua vez, ocorreu neste mês de fevereiro e supostamente envolve operadoras de telefonia celular.

Janeiro de 2021

Foi revelado pelo DFNDR Lab, laboratório de segurança especializado no combate ao cibercrime criado pela startup PSafe, dois megavazamentos de dados que liberaram informações de mais de 223 milhões de CPFs.

Esse número ultrapassa a população do país, estimada em 212 milhões, tendo em vista que inclui dados de pessoas falecidas.

Informações como nome, renda, endereço, fotos, scores de crédito, entre outros dados passaram a ser vendidos na deep web, uma área da Internet que fica “escondida” e tem pouca regulamentação, portanto, suscetível a práticas delituosas.

Entre as vítimas, aparecem nomes como o do Presidente da República, Jair Bolsonaro (sem partido), e dos 11 ministros do Supremo Tribunal Federal (STF).

Além disso, foram expostos 104 milhões de registros de veículos e 40 milhões de CNPJs.

Algumas dessas informações circulam na internet de forma gratuita, outra parte, está sendo vendida por criminosos.

O caso vem provocando grande repercussão em vista da quantidade de informações que foram expostas, o que pode facilitar a aplicação de golpes e fraudes.

Fevereiro de 2021

No dia 10 de fevereiro, a empresa PSafe confirmou um novo vazamento de dados que, diferentemente do caso ocorrido em janeiro, as informações teriam sido extraídas de operadoras de telefonia celular.

Dessa vez, foi detectado o vazamento de informações de quase 103 milhões de contas de celulares na deep web. Entre as vítimas estão o Presidente Jair Bolsonaro e os jornalistas Fátima Bernardes e William Bonner.

Entre as informações divulgadas estão os números de telefone celular, duração de ligações, endereços e dados pessoais.

A empresa de cibersegurança declarou que foi contatada por um hacker que está vendendo as informações em fóruns na deep web.

O mesmo, ainda de acordo com nota emitida pela PSafe, afirma que as informações foram extraídas das bases das operadoras Vivo e Claro. Todavia, a própria startup afirma que por enquanto, ainda não é possível definir com clareza se estas informações foram realmente extraídas destas empresas.

O que está sendo feito com os casos de megavazamentos de dados?

Até o momento, nenhum dos casos mencionados teve resolução.

O megavazamento ocorrido em janeiro ainda não tem origem confirmada. Porém, a PSafe se comprometeu a enviar um relatório com os resultados da investigação para a Autoridade Nacional de Proteção de Dados.

Cabe à ANPD, por sua vez, apurar o incidente e interagir com órgãos de defesa do consumidor, incluindo Senacon, Ministério Público e Procons, para, conforme o caso, promover a responsabilização e punição dos criminosos e oficiar a Polícia Federal e outras partes envolvidas.

Quanto ao ocorrido em fevereiro, as operadoras Claro, Oi, Tim, Vivo e PSafe foram notificadas no dia 15 de fevereiro pelo Departamento de Proteção e Defesa do Consumidor, do Ministério da Justiça e Segurança Pública, o Procon. O prazo para resposta é de 15 dias.

Uma nota publicada em 11 de fevereiro no site oficial da ANPD afirma que todas as providências cabíveis estão sendo tomadas.

A autoridade informa ainda que “oficiou outros órgãos, como a Polícia Federal, a empresa que noticiou o fato e as empresas envolvidas, para investigar e auxiliar na apuração e na adoção de medidas de contenção e de mitigação de riscos relacionados aos dados pessoais dos possíveis afetados”.

Ademais, a Secretaria Nacional do Consumidor sinalizou que está em contato direto com a ANPD para firmar um plano para proteção de dados de consumidores, uma vez que o órgão é a autoridade competente responsável por fiscalizar a proteção de dados no Brasil.

O que fazer para tentar evitar o vazamento de seus dados

Existem alguns cuidados que podem ser tomados para tentar diminuir as possibilidades de fraude, são eles:

  • não deixe números de cartões de crédito e de documentos cadastrados em sites de compras;
  • busque informações e referências sobre lojas e páginas antes de se cadastrar ou efetuar operações;
  • jamais informe seus dados pessoais por telefone ou aplicativos de mensagem, como WhatsApp e Telegram;
  • em caso de suspeita, formalize uma reclamação nos bancos, autoridades constituídas e/ou agências reguladoras do serviço relacionado e registre um Boletim de Ocorrência.

Imagens: Freepik

0Shares
0