LGPD: Recentemente, a PSafe noticiou um vazamento de dados de 220 milhões de CPFs no Brasil. Em que pese a população do país atingir hoje a marca de 211 milhões de pessoas, há notícias de que a base indexou dados de CPFs que estiveram ativos de 2008 até 2020, incluindo aí, possivelmente, dados de pessoas falecidas no período.
Entre as informações vazadas, o banco de dados fornece o nome completo, a data de nascimento e o CPF, além de informações de pelo menos 104 milhões de veículos, incluindo o número de chassi, a placa, o município, a cor, a marca, o modelo e o ano de fabricação.
Há notícias de que as informações estão sendo vendidas em lotes em alguns fóruns de Internet e na Deep Web.
A empresa citada no print acima nega o envolvimento.
Ainda não foi divulgada a origem dos dados, mas muitos acreditam que, pelos nomes das tabelas encontradas no banco de dados, é possível inferir que os dados são oriundos de algum dos birôs de proteção ao crédito no Brasil.
Alguns dos birôs inclusive fornecem serviço de monitoramento para que o usuário saiba se seus dados foram vazados na Deep Web. Se confirmadas as informações, este produto pode ter tido a “perda do objeto”. Afinal, o CPF de toda a população pode estar disponível nesta camada.
Mas e a Lei Geral de Proteção de Dados? Onde entra nessa história?
A LGPD é o dispositivo legal que reúne no seu bojo as principais diretrizes de proteção da privacidade das pessoas no Brasil. Se comunica com as demais legislações que protegem a privacidade e traz novas diretrizes. Há bastante temos falado sobre segurança da informação. Em recente evento falamos sobre o assunto na Universidade Luterana de São Jerônimo.
Recentemente, passamos por inúmeras discussões sobre se esta lei veio para ficar, se vai causar prejuízo para as empresas, sobre como sobreviverão os pequenos negócios frente ao cumprimento dessa legislação e como irá se comportar a Autoridade Nacional de Proteção de Dados (ANPD).
Pois bem. O caso deste vazamento de dados exemplifica perfeitamente a razão de ser da própria LGPD e da ANPD. Entendo que é para a proteção de eventos como este que deve se direcionar os olhares que visam à proteção da privacidade dos brasileiros. Muito mais do que as microrrelações, é preciso tomar consciência da necessidade de proteção dos dados e, na falha, da ação da ANPD.
Precisamos compreender que com o CPF, a data de nascimento e o endereço à disposição, quadrilhas mal intencionadas podem causar uma verdadeira catástrofe na vida de muitas pessoas, com golpes que vão desde a aquisição fraudulenta de crédito até os mais inimagináveis delitos.
Dito isto, entramos no ponto: nós não precisamos sacrificar empresas em praça pública. A nossa legislação ainda não prevê tratamento diferenciado para pequenos negócios, o que significa dizer que até o momento pequenas empresas, ou one man’s company, as empresas de um homem só, precisam de um Encarregado (DPO). Isso não é viável.
A Autoridade Nacional de Proteção de Dados precisa se manifestar quanto a essas e outras questões pendentes, mas também quanto a episódios gigantes como este.
As multas da LGPD só passarão a ser aplicáveis a partir de agosto de 2021. Todavia a ANPD já está em funcionamento e pode notificar os potenciais envolvidos no vazamento para que respondam e demonstrem a ausência de responsabilidade. Este ato geraria subsídios para que o Ministério Público e as entidades de proteção ao consumidor possam atuar no caso.
Temos que ter em mente que a Lei Geral de Proteção de Dados Pessoais pode vir a se tornar uma excelente legislação para o nosso país. Todavia, os agentes precisam trabalhar pela privacidade. E o início do caminho é atuando nas causas de grande preocupação. Este evento é um exemplo. A forma com que as big techs tratam os dados é outro exemplo. Precisamos iniciar por aí.
Punir os pequenos e médios com o rigorismo da lei e relativizar com os maiores nos parece injusto e prejudicial para o país e para a própria economia.
Para os empreendedores e empreendimentos, a mensagem que fica é:
Mexam-se. A Lei Geral de Proteção de Dados já pegou. Nós precisamos aprender, nos conscientizar e implementar essa legislação no core de nossos negócios.
