Este artigo foi escrito com a colaboração da colunista Ana Paula Canto de Lima, e aborda a seara do Direito Digital, mais precisamente acerca da Lei Geral de Proteção de Dados e as invasões e vazamentos na internet. Ana Paula é nossa colunista e escreve o seu primeiro artigo para o Blog, esperamos que gostem do tema.
Saibam um pouco mais sobre a Autora/Colunista:
Ana Paula é Advogada, palestrante, escritora, idealizadora e coordenadora de diversas obras jurídicas, professora, especialista em Direito da Internet, mestranda da UFRPE, fundadora do escritório Canto de Lima Advocacia. Membro fundador da Academia Brasileira de Ciências Criminais, onde preside a Comissão de Crimes Cibernéticos. Coordenadora do Núcleo de Direito e Tecnologia da ESA/PE, Assessora Jurídica da Corregedoria Seccional OAB/PE, coordenadora do curso Império Jurídico, redatora executiva da Revista Paradigma Jurídico.
Instagram da Autora: @advogandocomana
Texto de responsabilidade, criação e opinião do (a) Autor (a)!
Introdução
A aparente invasão que culminou no vazamento de informações divulgado pelo site “The Intercept” (https://theintercept.com/brasil/) acerca de conversas entre o atual ministro da Justiça, à época Juiz, Sérgio Moro e o procurador da força-tarefa da Operação Lava-Jato, Deltan Dallagnol, levantou diversos questionamentos, além de debates políticos, sobre a vulnerabilidade a que estamos expostos na era digital, onde o Brasil figura como 7° país com mais invasões, segundo reportagem de “O Globo” (https://oglobo.globo.com/economia/tecnologia/brasil-o-setimo-pais-com-mais-invasoes-de-hackers-confira-os-golpes-mais-comuns-23232268).
Em resposta aos vazamentos apontados, uma conta de twitter, com nome “pavão misterioso”, facilmente localizado através “hashtag” – #showdopavão, utilizando a mesma tática de suposta invasão e vazamentos, passou a rebater as acusações divulgadas pelo site “The Intercept“. Conforme se observa no site “Gazeta do povo” (https://www.gazetadopovo.com.br/republica/pavao-misterioso-quem-e/)
Para embasar as supostas “denúncias”, o Pavão exibia supostos printscreens de conversas dos envolvidos no aplicativo Telegram – procedimento parecido ao utilizado pelo Intercept para os diálogos atribuídos a Moro, o procurador Deltan Dallagnol e outros citados. (SOARES, 2019).
No caso em tela, relatos apontam que algumas contas de determinado aplicativo de mensagem foram invadidas. Os invasores apresentaram trechos das conversas que supostamente foram interceptadas. A invasão possibilitou que os hackers baixassem o histórico de conversas, sendo possível editá-las. Em relação aos prints do “pavão misterioso”, igualmente podem ter sido manipulados.
As invasões relatadas, expuseram detalhes das conversas através da troca de mensagens de políticos e jornalistas, mas, não se sabe ao certo a veracidade das informações vazadas, contudo, a invasão de fato ocorreu, os hackers foram localizados e presos.
A cada dia, novas formas mais criativas de invasões ocorrem, independente do meio utilizado, portanto, é preciso estar atento em relação à segurança pessoal e empresarial, utilizando ferramentas que dificultem o ataque e o acesso aos dados pessoais.
O incidente supra demonstra que é preciso se preparar para o que está por vir, a partir de agosto de 2020 a Lei Geral de Proteção de Dados, Lei 13.709/18, (http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm) entrará em vigor, buscando, entre outras coisas, viabilizar a proteção de dados pessoais e a privacidade dos cidadãos, regulamentando o que já deveria há muito ser observado, vez que, já estava abarcado em outros ditames legais.
Pelos vazamentos relatados na grande mídia, se torna perceptível perceber que há falhas e brechas nos sites e em alguns sistemas que facilitam as ações de hackers, demonstrando que nada, ao que tudo indica, é suficientemente seguro. Ainda que a segurança aplicada seja de ponta, procedimentos ou condutas equivocadas podem botar toda segurança a perder e custar caro, como no caso dos dados do FBI que foram acessados por falha humana. Falta de observação aos procedimentos de segurança, ou de orientação? (https://cryptoid.com.br/banco-de-noticias/hacker-invade-sistema-e-rouba-dados-do-fbi-com-um-simples-telefonema/ ).
Independente dos motivos de eventuais vazamentos, cabe ao cidadão participar dessa mudança de cultura buscando a prevenção, dificultando assim a ação de invasores, agindo de maneira diligente para com os seus dados pessoais, dando atenção às senhas, se habituando a ler termos de uso, políticas de privacidade, contratos e dando atenção para os cadastros. Importante atentar para o que é enviado para aplicativos de mensagens, redes sociais e e-mails. Se policiar para não clicar em links suspeitos e adicionar sempre que possível autenticação em duas etapas. Esses são pequenos cuidados que auxiliam na manutenção da privacidade e na proteção dos seus dados pessoais.
Já no que se refere às empresas, readequações serão necessárias, começando por um mapeamento geral com vistas a verificar como a empresa usa, coleta e armazena os dados.
Qual o objetivo e a finalidade para que a empresa solicite os dados pessoais? Todos os dados solicitados são realmente necessários? Onde estão armazenados? Qual o tempo de utilização? Como serão eliminados? O titular consegue modificar suas informações? Quais os departamentos e pessoas envolvidas no tratamento e no acesso desses dados? São algumas das muitas questões que deverão ser respondidas para servir de ponto de partida para a adequação.
Além disso, é preciso revisar e adequar todos os termos de uso, políticas de privacidade, autorizações, contratos, e demais documentos. Indispensável treinar os envolvidos, atualizar os sistemas, além de verificar se há segurança da empresa em relação aos dados pessoais.
Pode ser uma boa saída criar guias, cartilhas, e outras formas de orientação à equipe, o material deve ficar acessível para consulta sempre que qualquer dúvida surgir. Importante também pensar no relatório de impacto, onde as medidas, e ações tomadas para adequação da empresa devem estar detalhadas.
Não se engane, tudo e todos que utilizam ou que têm contato com dados pessoais terão que se adequar e precisarão de treinamento. Outros envolvidos, ainda que indiretamente, também precisam de adequação, isso inclui empresas parceiras, fornecedores, e qualquer terceiro que tenha acesso aos dados. O tempo é curto para tantas mudanças. E essas são apenas algumas entre tantas outras medidas que deverão ser tomadas para estar em Compliance com a LGPD.
Cabe trazer algumas definições e conceitos retirados da legislação em comento. O Art. 1º trata do objetivo da Lei, que é o de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
De forma resumida, a legislação visa proteger os dados pessoais, inclusive nos meios digitais. E a própria legislação se encarrega de conceituar e definir dados, dados sensíveis, tratamento, consentimento, entre outros termos importantes, como se verá a seguir.
O que são dados?
Ainda de acordo com legislação, dados é a informação relacionada a pessoa natural identificada ou identificável.
A legislação define dado sensível como sendo o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Segundo a legislação, é considerado tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Conforme art. 5°, XII da LGPD, o consentimento do titular dos dados deve ser uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
A LGPD determina princípios que devem ser seguidos para que se faça tratamento dos dados pessoais, observe-se:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Em análise aos princípios supracitados, percebe-se que a Lei busca coibir abusos relacionados ao tratamento de dados, bem como, garantir o acesso do titular dos dados às suas informações, observando a transparência na coleta e tratamento, considerando a finalidade, a adequação e o os limites de tratamento. Ademais, a legislação deixa claro que medidas devem ser tomadas para evitar eventuais danos ao titular dos dados.
Destaca-se que a legislação supra sofreu modificação, os vetos do Presidente Jair Bolsonaro destacados na Lei 13.853 de 8 de julho de 2019 foram relevantes. (http://www.planalto.gov.br/CCIVIL_03/_Ato2019-2022/2019/Lei/L13853.htm) a referida Lei também criou a Autoridade Nacional de Proteção de Dados, que terá a responsabilidade de fiscalizar o cumprimento da legislação.
Entre os vetos mais significativos, cita-se o veto aos dispositivos que previam suspensão e proibição de uso de banco de dados e do exercício das atividades afetas ao tratamento de dados pelas empresas. O referido veto enfraquece a legislação, vez que, menos sanções, implica em menos receio das empresas, dificultando, a curto prazo, a mudança de cultura esperada pela legislação.
Outro veto realizado se refere ao DPO (Data Protection Officer), que não precisará mais ter conhecimento jurídico-regulatório, entretanto, é possível que o próprio mercado mantenha esse critério, visto que é preciso compreender a LGPD e a GDPR para fazer a adequação satisfatoriamente.
No que se refere ao veto relacionado à revisão de decisões automatizadas, embora o cidadão ainda possa requerer a revisão, não precisa mais que ela seja efetuada por pessoa natural. O que pode fazer com que a revisão perca o sentido.
Sempre é importante ressaltar que outras legislações podem fundamentar a proteção aos dados e a privacidade do cidadão, entre elas, a Constituição Federal, nossa Carta Magna, (http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm ) em seu artigo 5º, X, XII e LXXI. Bem como, o Marco Civil da Internet, considerada a Constituição da Internet, (http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm), em seus artigos 3º, 7º, 10, 11, 16, e de onde se pode destacar inclusive algumas sanções. Imprescindível citar ainda o Código de Defesa do Consumidor (http://www.planalto.gov.br/ccivil_03/leis/l8078.htm ) destacando os artigos 43, 72 e 73.
Em que pese a matéria já ser abordada em outras legislações, conforme se salientou alhures, percebeu-se a necessidade de prover maior proteção para os dados pessoais e à privacidade. Destarte, as relações na era digital foram ficando mais complexas, logo, a legislação precisa se aperfeiçoar, sendo mais abrangente e eficaz. Ademais, é importante que o Brasil esteja alinhado com as diretrizes de outros países, inclusive para facilitar e fomentar as relações comerciais internacionais.
Ressalte-se que LGPD foi inspirada na GDPR (General Data Protection Regulation – Regulamento Geral de proteção de dados). Por sua vez, a GDPR (https://eur-lex.europa.eu/eli/reg/2016/679/oj) considerou o contexto atual, onde o avanço tecnológico e a globalização, possibilitaram, em uma escala sem precedentes, à realização de coleta, tratamento e compartilhamento de dados pessoais de forma significativa, a cada dia as pessoas cedem mais dados pessoais para tudo que fazem.
A legislação supra deve ser observada no Brasil e no mundo por empresas que mantém relacionamento comercial com a União Europeia, devendo as empresas se adequarem aos parâmetros da legislação em comento. Algumas empresas já estão adequadas à GDPR, o que facilitará o caminho de adequação à LGPD.
Cumpre salientar que a GDPR vem causando impacto nos cofres de empresas como o Google que recebeu multa de 50 milhões de euros na França (https://tecnoblog.net/275817/google-multa-gdpr-franca/ ). Em setembro de 2018, hackers comprometeram as contas de mais de 50 milhões de usuários do Facebook, que ainda pode vir a responder por multa de até US$ 1,63 bilhão, se ficar constatado que violou a lei de privacidade, conforme aduz o “The Wall Street Jornal” (https://www.wsj.com/articles/facebook-faces-potential-1-63-billion-fine-in-europe-over-data-breach-1538330906).
Na LGPD as multas previstas para o descumprimento da legislação variam de 2% do faturamento, limitados a R$ 50 milhões de reais. As empresas precisam se adequar o quanto antes, sejam elas pequenas, médias ou de grande porte, sem distinção, vez que, há uma obrigação legal a ser cumprida. Ademais, há possibilidade de denúncias e sempre haverá o risco de invasão e vazamento de dados capaz de expor os clientes e a própria empresa. Contudo, percebe-se que algumas empresas relutam como se a adequação fosse uma opção, quando não é.
É fundamental pensar em um conjunto de ações relacionadas à segurança, bem como, em relação à transparência voltados à coleta dos dados, com informações claras sobre o tratamento que será efetuado, levando em consideração o mínimo possível a ser exigido para atingir a finalidade da coleta.
O suposto vazamento que tivemos acesso através da mídia, se verídico, demonstrou claramente que qualquer plataforma, aplicativo, site pode ser invadido, que não importa quem você é ou o que faz, você pode ser exposto.
Partindo dessa premissa, é imperativo focar na adequação às normas da Lei Geral de Proteção de Dados o quanto antes para minimizar os riscos. Sempre buscando sanar eventuais vulnerabilidades, adequar políticas internas de segurança, investir em ferramentas de segurança, mapear riscos, objetivando combater pontos fracos para evitar vazamentos.
É imprescindível contratar um encarregado, que é o profissional responsável por administrar o fluxo de dados da empresa, que também exerce fiscalização interna, e será porta-voz da empresa perante as autoridades, conforme detalha a matéria da mobile time. (https://www.mobiletime.com.br/noticias/08/11/2018/dpo-o-profissional-que-ganhara-espaco-nas-empresas-com-a-lgpd/ )
Por fim, é salutar ter clareza que protelar as boas práticas em relação a proteção de dados, repise-se, pode prejudicar a imagem da empresa no mercado, acabando por manchar a sua reputação. Além dos impactos que eventuais multas e indenizações decorrentes da inadequação da legislação podem ocasionar.
Esperamos que este artigo tenha sido útil. Enquanto isso, siga-nos em nossas redes sociais:
Instagram: www.instagram.com/lucenatorresadv/
Página do Facebook: www.facebook.com/lucenatorresadv/
Blog: https://lucenatorresadv.wordpress.com
Site: www.lucenatorresadv.com
Canal no Youtube: http://www.youtube.com/c/DireitoSemAperreio