Celio Vikas, funcionário público aposentado de São Paulo, lembra-se de um incidente particularmente angustiante em janeiro, quando um impostor, fazendo-se passar por funcionário de um banco por telefone, quase o enganou em sua senha. Vikas saiu correndo de casa para alterar suas credenciais no caixa eletrônico conforme instruído, mas a ligação foi desconectada antes que ele revelasse seu novo PIN ao fraudador.
Embora Vikas tenha tido sorte, uma série de vazamentos de informações pessoais abalou o Brasil nos últimos anos, tornando a proteção de dados uma preocupação cada vez mais complexa para os cidadãos.
“Sei que os criminosos têm os meus dados pessoais e isso faz-me sentir muito vulnerável – é quase como se a minha identidade tivesse sido retirada”, disse Vikas, que, temendo uma maior exposição, evita completamente transações online.
Ele não está sozinho: um estudo publicado em 2022 pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação constatou que 42% dos brasileiros ficam “muito preocupados” com seus dados quando fazem compras online.
À medida que o Brasil chega ao quinto aniversário de suas regulamentações de proteção de dados pessoais, a autoridade encarregada de fazer cumprir as regras solicitou recursos adicionais e mais cooperação para enfrentar os crescentes desafios de dados enfrentados por indivíduos e empresas, incluindo o desenvolvimento de uma cultura de privacidade de dados no Brasil e enfrentar as ameaças à privacidade representadas pelos riscos de segurança cibernética e pela inteligência artificial.
Lançada em 2020, dois anos após a promulgação da Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) do Brasil atuou, até o momento, em 29 processos formais de fiscalização para garantir o cumprimento das leis, e recentemente emitiu sua primeira sanção : multa de 14.400 reais (US$ 2.870) e advertência contra a Telekall Infoservice por oferecer lista de contatos do WhatsApp para campanhas eleitorais para distribuição de materiais de candidatos.
Desde o início das suas operações, a autoridade recebeu mais de 630 relatórios de incidentes de segurança, incluindo violações e fugas de dados para análise, e mais de 2.300 pedidos de denunciantes e petições.
“Esses números são significativos, considerando que temos uma equipe tão pequena”, disse Waldemar Gonçalves, diretor-presidente da ANPD, durante seu discurso de abertura em evento comemorativo dos cinco anos da lei.
Com recursos limitados – o orçamento da autoridade é de 36 milhões de reais (7,4 milhões de dólares) para 2023 e deverá diminuir 36 por cento no próximo ano – a ANPD tem-se concentrado em áreas como a produção de materiais educativos para aumentar a sensibilização para a protecção de dados, promovendo a adopção de normas de serviços e produtos para aumentar o controlo dos indivíduos sobre os seus dados pessoais e o envolvimento com outros organismos do setor público.
De acordo com Gonçalves, lidar com questões de proteção de dados para uma população de mais de 200 milhões de pessoas, com o atual quadro de 150 funcionários da ANPD, é uma tarefa difícil.
“O Reino Unido tem uma população de 70 milhões e a sua autoridade de proteção de dados [1044] funcionários”, apontou em comparação.
Apesar dessa desvantagem, o próximo passo da autoridade de proteção de dados do Brasil é uma consulta pública sobre padrões internacionais de transferência de dados, que visam garantir a proteção de dados além-fronteiras, facilitando os negócios globais e ao mesmo tempo salvaguardando a privacidade.
Vazamentos de dados e penalidades
As regulamentações de proteção de dados do Brasil existem há cinco anos, mas só entraram em vigor há menos de três anos. Ainda assim, há uma mudança notável na forma como o público e as empresas percebem essas regras, disse Nairane Farias Rabelo, diretora da ANPD, em entrevista à Al Jazeera. “As pessoas estão a tornar-se mais conscientes dos seus direitos, enquanto as empresas e entidades públicas investem gradualmente mais na privacidade, influenciadas pela concorrência, pela reputação ou pelas terríveis consequências de negligenciá-la”, disse ela.
O maior vazamento da história do país até agora tornou-se público em 2020 e envolveu a exposição de dados pessoais de 243 milhões de brasileiros, incluindo nomes completos, endereços e números de telefone, devido a credenciais fracamente codificadas mantidas no código-fonte do site do Ministério da Saúde.
A ANPD deverá ter neste ano uma conclusão inicial das investigações do caso com mais detalhes sobre o incidente e o impacto do vazamento, disse Rabelo.
A cibersegurança e a privacidade de dados são duas faces da mesma moeda, disse Rabelo. “Bases de dados enormes, muitas vezes partilhadas com várias empresas, necessitam de proteção adequada. A falha em garantir isso leva diretamente ao comprometimento da segurança e à violação dos direitos dos indivíduos. Em essência, os dados não podem ser verdadeiramente protegidos sem implementar a segurança da informação”, destacou.
Considerando que os dados de inúmeros brasileiros já foram vazados, a dúvida é se a ANPD está apenas perseguindo sombras.
As inúmeras violações de dados não negam a importância dos esforços contínuos de proteção, disse Renato Opice Blum, advogado especializado em proteção de dados e direito digital. “O [cybersecurity situation in Brazil] está longe do ideal, mas as coisas seriam piores se não tivéssemos regulamentos de proteção de dados em vigor”, afirmou.
No geral, uma combinação de fatores legais, tecnológicos, culturais e econômicos está impulsionando mudanças na interseção entre segurança cibernética e proteção de dados no Brasil, disse Marcos Oliveira, gerente nacional da empresa de segurança cibernética Palo Alto Networks no Brasil.
“A aplicação rigorosa de leis robustas de proteção de dados como a LGPD, com penalidades significativas para violações, está levando as empresas a investir mais em segurança cibernética para evitar multas e danos à reputação”, acrescentou.
Os investimentos projetados em segurança cibernética do Brasil estão fixados em 8,3 bilhões de reais (US$ 1,7 bilhão) para 2023 e podem atingir 10,8 bilhões de reais (US$ 2,2 bilhões) até 2026, de acordo com a consultoria PwC. As previsões ilustram a relevância da conformidade, uma vez que as penalidades por violação da LGPD podem atingir até dois por cento da receita de uma empresa, com um limite de 50 milhões de reais (US$ 10 milhões).
A capacidade de penalizar as empresas que não cumprirem a lei será crucial para avançar no espaço de proteção de dados no Brasil, disse o advogado Opice Blum. “À medida que a ANPD passar a sancionar mais, haverá mais proteção às pessoas e mais compliance por parte do empresariado”, previu.
É mais fácil falar do que fazer, pois há “desafios na identificação da fonte” dos vazamentos de dados, especialmente em empresas privadas, disse Rabelo. A falta de pessoal na ANPD não ajudou.
‘Vendi meus dados’
Outros desafios para a ANPD incluem a indústria de venda de dados, onde indivíduos que trabalham em empresas brasileiras lucram com o compartilhamento de informações pessoais sem o consentimento dos indivíduos.
Alguns brasileiros desenvolveram seus próprios métodos para se protegerem dessa prática generalizada.
“Eu não posso dizer [which businesses] vendi meus dados, mas tenho certeza de que isso acontece porque forneci um nome falso e um endereço de e-mail específico para determinados sites. Comecei então a receber abordagens de empresas das quais nunca tinha ouvido falar usando nomes falsos”, disse Bruno Magri, analista de sistemas.
Combater os mercados ilegais de dados exige garantir que o compartilhamento de dados ocorra apenas quando legalmente justificado, disse Rabelo, da ANPD. A questão será abordada de forma mais eficaz quando a protecção de dados for vista como parte de uma estratégia nacional: “A colaboração entre diferentes órgãos governamentais, tanto federais como estaduais, é essencial”, disse ela.
Uma das principais conquistas do Brasil no domínio da proteção de dados foi reconhecer a proteção de dados como um direito fundamental, tornando-a assim uma garantia constitucional. Além disso, a transformação da ANPD em uma autarquia especial – o que significa que o órgão tem autonomia técnica, decisória, administrativa e financeira própria – foi outro passo fundamental.
No entanto, ainda são necessários desenvolvimentos adicionais, como um decreto presidencial, para que a autoridade concretize todo o seu potencial, incluindo a mudança da percepção de que a ANPD está um tanto desligada do cidadão comum.
“Tenho um nível mais elevado de consciência [about digital rights] por causa da minha profissão”, disse Magri, o analista de sistemas. “Ainda assim, eu não saberia exatamente o que fazer caso a privacidade dos meus dados fosse comprometida, muito menos pessoas vulneráveis e com conhecimento limitado sobre essas coisas.”
Fonte: www.aljazeera.com