A sociedade tende a despertar a atenção para determinado assunto somente quando acontece algum fato significativo que atinge um grande número de pessoas ou grupos determinados. É o que tem acontecido com a questão da proteção e vazamento de dados na internet.
O assunto ganhou o cenário mundial com a recente informação de que houve um vazamento de dados do facebook, que atingiu mais de 87 milhões de usuários e a empresa chegou a cogitar que na realidade, todos os usuários podem ter sido afetados (algo em torno de 2 bilhões de usuários).
A vida de qualquer pessoa está cada vez mais conectada e mais dependente da tecnologia e nossos dados pessoais nunca valeram tanto quanto agora.
Mas porque os meus dados possuem valor?
Existem aplicativos de celular de todos os tipos, para todas as finalidades imagináveis. Aplicativos que controlam seus dados de saúde e doença, que controlam o que você come, bebe, controlam, literalmente, os passos que você dá enquanto pratica uma atividade física, qual tipo/quantidade/frequência de medicamento que você toma.
Inúmeros sites possuem dados bancários dos usuários, dados de consumo que traçam seu perfil consumidor na internet, dados de notícias que você lê, ideias e ideais que você esboça interesse, etc.
Praticamente tudo que fazemos online gera algum tipo de dado que pode passar a valer muito dinheiro, ser vendido para empresas a fim de impulsionar seu mercado consumidor com base no perfil de cada um, fomentar a concorrência desleal, ser utilizado como meio de manobra da opinião pública, influenciar cenário político ou até ser roubado e/ou sequestrado, fazendo com que os hackers/ladrões, cobrem resgate pelos dados.
No caso específico do Facebook que ganhou repercussão mundial, o que aconteceu?
De forma bem resumida, em meados de 2014 um aplicativo em forma de quizz psicológico (sabe aqueles testes “inocentes para passar o tempo e se divertir” que a gente sempre vê circulando pelo feed de notícias, tem alguns até que viram febre?! Estes mesmos!) coletou dados não só de quem acessou, respondeu às perguntas e autorizou essa coleta de dados, como também dos amigos do perfil destas pessoas que não haviam autorizado qualquer ação.
Em 2016 a empresa de análise de dados e propaganda política, Cambridge Analytica, comprou os dados coletados, de milhões de pessoas, por este “inocente” teste e acabou os utilizando para influenciar as escolhas dos eleitores nos Estados Unidos, que culminou na eleição de Donald Trump. Cumpre esclarecer que a empresa Cambridge Analytica era contratada para coordenar a campanha de Donald Trump e com estes dados em mãos, foi catalogado o perfil das pessoas e direcionado de forma personalizada, materiais pró Trump e contra Hillary Clinton.
Existem inúmeros casos em que já houve vazamento de dados pessoais, apenas para citar alguns exemplos, em 2017 correu a notícia do vazamento de dados de usuários de e-mail da Yahoo, todos os usuários tiveram suas contas violadas. A Uber sofreu vazamento de dados de mais de 27 milhões de usuários e 600 mil motoristas; a Bolsa de Valores Nasdaq já passou por situação similar. A Netshoes também teve os dados de quase 2 milhões de clientes expostos na internet.
Um dos recentes casos de vazamento de dados envolve um aplicativo utilizado por corredores para monitorar os percursos com base no GPS do celular. Militares dos Estados Unidos utilizam esse aplicativo durante a prática de atividades físicas e há suspeita de que com os dados vazados, foram divulgadas as localizações de bases militares secretas em diversos países, inclusive em zonas de conflito, colocando em risco os soldados.
Como estamos lidando com a proteção de dados pessoais aqui no Brasil? E no mundo?
Sabemos que a evolução da tecnologia caminha a anos luz a frente das soluções jurídicas.
Por aqui a discussão sobre o assunto é recente, enquanto países da Europa e os Estados Unidos já contam com normativas desde meados da década de 70.
Os dados pessoais gozam de proteção constitucional de privacidade. O Código Civil e o Código de Defesa do Consumidor também possuem alguns artigos que fazem menção à proteção de dados e à privacidade. O Marco Civil da Internet, em seu artigo 7º, incisos VII, VIII, IX e X trata sobre os dados pessoais e privacidade, estabelecendo padrões mínimos de segurança e sigilo a serem adotados pelos provedores de aplicação com relação aos registros, dados pessoais e comunicações privadas de seus usuários. Contudo, é uma legislação ampla e genérica, trazendo apenas diretrizes, princípios e garantias.
O Brasil ainda não possui uma legislação moderna e equilibrada que trate da questão do vazamento de dados, que preveja alguma penalidade ou que direcione para o que deve ser feito diante de um incidente de vazamento, ninguém sabe ao certo como proceder, o que fazer, o que não fazer, como diminuir os efeitos, etc. (Já falamos da importância das empresas contarem com o cyber seguros para auxiliar em eventual vazamento da base de dados de seus clientes – acesse o link)
O Ministério Público do Distrito Federal, muito atento à esse cenário, criou uma Comissão de Dados Pessoais. Esta comissão está responsável por sugerir diretrizes para uma política nacional de proteção de dados pessoais e privacidade, sugerir a adoção de cláusulas contratuais padrão e normas corporativas globais para fins de transferência internacional de dados, receber comunicações sobre ocorrências de incidentes de segurança, e sugerir, ao responsável pelo tratamento dos dados, a adoção de providências, por exemplo: a comunicação do fato aos envolvidos, ampla divulgação do fato em meios de comunicação, medidas a serem adotadas para reverter ou reduzir os efeitos do vazamento.
Inclusive, estão investigando a possibilidade de farmácias venderem dados privados de seus clientes cadastrados em programas de fidelidade (tais como o histórico e a frequência da compra de remédios), para planos de saúde e empresas de avaliação de crédito. Isso pode fazer com que, por exemplo, um plano de saúde cobre taxas mais caras de quem faz compras de um determinado medicamento ou uma empresa de créditos cobre juros mais altos de uma pessoa com doença grave, por julgar que sua capacidade de pagamento pode ser comprometida.
Também há notícia de que esta mesma Comissão recomendou a um provedor de artigos esportivos, que comunicasse o vazamento de dados pessoais de alguns de seus clientes.
Como não existe uma legislação específica sobre o tema, o MP não pode obrigar a empresa a fazer isso, mas apenas recomendar.
Já o texto da Diretiva Europeia de Proteção de Dados que entrará em vigor dentro em breve, prevê essa obrigação das empresas envolvidas noticiarem o vazamento de dados.
Existe também um Projeto de Lei de Proteção de Dados Pessoais em tramitação desde 2016, mas permaneceu parado durante o ano de 2017 e ainda demanda muita discussão.
Em recente nota, o governo divulgou que estuda a criação de um órgão federal para proteção de dados pessoais na internet.
A responsabilidade e o dever de indenizar também devem ser discutidos e enquanto não existir uma lei específica sobre o assunto, para cada incidente de vazamento é prudente que se analise caso a caso, com suas particularidades.
A coleta, proteção e utilização dos dados pessoais por terceiros é assunto muito sério e complexo, temos que pensar e debater o assunto com muita responsabilidade e conhecimento técnico, ainda mais pelo fato de que as eleições/2018 se aproximam e a notícia de que a mesma empresa responsável pela manipulação de dados na última eleição nos Estados Unidos e pelo escândalo do facebook atuará no Brasil, temos que estar preparados para incidentes.