Embora a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) tenha vindo para colocar ordem ao caos gerado pela histórica e equivocada maneira como empresas, governos e entidades sempre “cuidaram” da segurança das informações dos cidadãos, os vazamentos ainda são gargalos que precisam ser resolvidos.
Criada para regular as atividades de tratamento de dados pessoais, a LGPD proporcionou, em verdade, mais segurança jurídica a toda sociedade. Entretanto, quando o assunto é segurança cibernética, a legislação ainda não conseguiu o mesmo êxito.
Atualmente, os principais riscos cibernéticos são acessos indevidos a dados pessoais, perdas, armazenamentos inseguros e vazamentos de dados, além da ação de ransomware e phishing.
Ransomware é um malware que emprega criptografia para sequestrar e manter as informações da vítima inacessíveis até que esta pague um resgate, geralmente em criptomoedas, pois são muito difíceis de rastrear. Até que o dinheiro seja transferido aos criminosos, a organização ou o governo não poderá acessar arquivos, bancos de dados ou aplicativos.
No mais recente caso, em 8 de outubro, hackers invadiram o sistema integrado de arquivos da Record TV, sequestrando todo acesso ao acervo de reportagens, memória e quadros da emissora. Em junho de 2021, a JBS pagou quase R$ 60 milhões para recuperar o acesso a seu sistema de dados.
Já o phishing é um tipo de fraude on-line que envolve enganar as pessoas para que forneçam informações confidenciais, como senhas ou números de cartão de crédito, disfarçando-se de fonte confiável. Pode ser feito por e-mail, mídia social ou sites maliciosos.
Exemplos de vazamentos não faltam, mesmo entre organizações com grandes recursos e estruturas disponíveis, que têm enfrentado dificuldades para evitar ocorrências desse tipo. Um dos mais emblemáticos casos de vazamento se deu após uma enorme falha da segurança cibernética do governo federal.
Em dezembro de 2020, dados de mais de 200 milhões de brasileiros cadastrados no Sistema Único de Saúde (SUS) ou como beneficiários de planos de saúde foram expostos. Dados sensíveis, que deveriam estar protegidas por login e senha, foram divulgados.
Entre as empresas, o caso de vazamento envolvendo a Netshoes, no início de 2018, expôs na web dados de cerca de dois milhões de clientes, como nome completo, CPF, e-mail e histórico de compras. Após admitir falhas em seus sistemas de proteção, a companhia aceitou pagar R$ 500 mil de indenização por danos morais, segundo acordo celebrado com o Ministério Público do Distrito Federal.
Entre os mais recentes vazamentos, destacam-se o ocorrido no início de dezembro de 2021, quando o Banco Central reportou a exposição de 160.147 chaves Pix que estavam sob a responsabilidade da Acesso Soluções de Pagamento.
Já em setembro deste ano, o BC admitiu outro vazamento, desta vez de 137.285 chaves Pix sob a guarda e a responsabilidade da Abastece Aí, além de dados como nome completo, CPF, instituição, número da agência e conta.
Ainda que a inobservância da LGPD possa gerar sanções e multas que podem chegar a R$ 50 milhões, a aplicação efetiva ainda deixa a desejar, conforme mostra pesquisa do Opice Blum, Bruno e Vainzof Advogados Associados.
De acordo com o escritório, em 2021 foram proferidas 465 decisões sobre o tema, das quais 77% não resultaram em condenação, tendo sido extintas ou julgadas improcedentes. Entretanto, as que tiveram sanção por danos arbitrados geraram multas e indenizações entre R$ 600 e R$ 100 mil.
Mesmo com toda rigidez da lei, quase 40% das empresas brasileiras ainda não estão plenamente adequadas à legislação, segundo levantamento da Fundação Dom Cabral (FDC). Portanto, adaptar-se à LGPD é imperativo para minimizar as chances de vazamentos e sequestros de dados.