Os vazamentos de dados revelados recentemente que expuseram a privacidade de 223 milhões de brasileiros também escancararam os efeitos do atraso na adoção de uma lei que proteja essas informações no Brasil.
Embora a Lei Geral de Proteção de Dados (LGPD) esteja em vigor desde o ano passado, a Agência Nacional de Proteção de Dados (ANPD), que é responsável pela fiscalização, ainda não está funcionando de fato. O órgão está constituído, mas ainda não publicou nenhuma das regulamentações previstas em lei.
De qualquer forma, a agência não poderia aplicar multas antes de agosto de 2021, por decisão do Congresso.
É claro que esse cenário não é culpa da ANPD, que existe há apenas dois meses. De fato, o Brasil passou a década de 2000 observando a web crescer, sem aprovar qualquer regulamentação efetiva para a internet ou para sistemas eletrônicos.
O Marco Civil da Internet apareceu em 2014, o mesmo ano em que o Instituto Brasileiro de Geografia e Estatística (IBGE) apontou que mundo tinha se transformado: pela primeira vez, celulares estavam superando o computador no acesso à internet, que chegava a 136 milhões de brasileiros.
O Marco Civil acabou sendo um “engenheiro de obra pronta” – pouco regulador, e mais descritivo em relação a tudo que já estava em prática. Nem a regra de “neutralidade da rede” pegou (e ninguém fala mais nisso).
Além disso, ele praticamente não abordou a questão dos dados pessoais, embora este tema talvez fosse o mais urgente.
Os Estados Unidos aprovaram uma lei de privacidade em 1974, enquanto a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) publicou suas recomendações em 1980.
Em 1995, a Comissão Europeia já estabelecia praticamente todos os preceitos mais importantes para a proteção de dados – como segurança e consentimento de uso.
O Brasil esperou até 2020 para colocar sua LGPD em vigor. Em 2021, vemos apenas a consequência. Mas é pouco provável que ocorram mudanças muito bruscas ou específicas para o cotidiano do brasileiro – pois essa realidade já estava ganhando forma há pelo menos duas décadas.
Alguns especialistas em segurança já avaliam que o vazamento de dados de 223 milhões de brasileiros pode ser o maior do mundo até hoje. Mas não existe métrica para isso.
É verdade que hackers já ofereceram ou obtiveram pacotes maiores, mas um vazamento que expõe senhas ou cartões de crédito, que são informações substituíveis, é diferente de outro que traz informações pessoais – como documentos, datas de nascimento e histórico financeiro. Os dados expostos no vazamento brasileiro são desse segundo tipo.
A falta de qualquer regra ou limite para a guarda de dados no Brasil, aliada ao excesso de burocracia, sempre incentivou que empresas e órgãos do governo mantivessem todos os dados possíveis – inclusive os que não eram necessários.
Aos poucos, pequenos vazamentos foram se somando a outros maiores, gerando grandes coleções de dados.
O marketing eletrônico também pode ter contribuído. A prática do “spam” (e-mails em massa com propaganda não autorizada) sempre teve um certo elo com os crimes eletrônicos, pois hackers eram capazes de vender dados coletados de computadores para as empresas de marketing, gerando uma fonte secundária de renda.
Do ponto de vista de quem estava organizando uma ação de marketing, não havia risco de fazer a compra e não era preciso questionar a origem dos dados.
Também praticamente não havia risco para pessoas que, com acesso privilegiado a informações, copiavam e entregavam esses dados a terceiros.
Ao mesmo tempo, o Brasil construiu uma burocracia muito dependente do número do Cadastro de Pessoa Física (CPF). Como o número do Registro Geral (RG) não é único (é possível ter um em cada estado), o CPF se tornou a identidade nacional: é obrigatório para enviar um presente pelos Correios (na Declaração de Conteúdo), para abrir uma conta bancária ou para declarar seu imposto de renda.
CPF — Foto: Divulgação/Prefeitura de Guarulhos
Os diversos outros números de identificação do Brasil (como CNH ou título de eleitor) são, no fim, associados às mesmas informações do CPF.
Mas o benefício de criar números especializados desaparece quando somos aconselhados a fornecer o RG para fazer uma compra on-line e quando o próprio CPF faz o caminho inverso e aparece impresso na carteira de identidade do RG – no fim, tornam-se números que ajudam a identificar uma pessoa, não uma atividade ou relação específica.
Se você não está comprando bebida alcoólica, não faz sentido fornecer sua data de nascimento para uma compra. Só é muito raro que não se solicite essa informação no Brasil – porque ela é usada na verificação do CPF.
Mas, se uma empresa pode verificar um CPF, todos que tiveram acesso aos dados dessa empresa – inclusive os hackers – também poderão.
E assim, o problema se retroalimenta: empresas precisam de mais dados para identificar os clientes e evitar fraudes, mas esses dados, quando são extraviados, colaboram com fraudes ainda mais sofisticadas.
É possível que o custo deste vazamento seja empurrado em grande parte para as fintechs – as startups de serviços financeiros que, sem agências físicas, precisam identificar clientes em operações totalmente remotas e digitais.
Aquela foto com o documento na mão tende a virar vídeo, que talvez em breve se transforme até em videochamada para confirmar serviços muito visados por criminosos.
Tudo vai depender do que as empresas inventarem para resolver o desafio de verificação de identidade com os menores custos possíveis. A frequência das fraudes também influencia muito: por mais que seja possível usar dados pessoais, se ninguém fizer isso na prática, não há problema.
Outra parte do custo pode ficar com o cidadão, seja com a dor de cabeça para ser reembolsado pelo prejuízo das fraudes ou com as interações necessárias para provar sua própria identidade.
Mas esse preço já está sendo pago – pode ser difícil de perceber, mas nós sabemos onde ele está: a compra com cartão de crédito recusada sem motivo (e mais cara que no boleto, para compensar o risco de fraude), o WhatsApp roubado, as cobranças não autorizadas e até as filas das agências dos bancos, que muitas vezes são obrigados a exigir nossa presença para compensar o risco do roubo de identidade.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com