Os dados da população brasileira vazaram. E agora?

O que aconteceu?

No final de janeiro, o Tecnoblog revelou detalhes sobre o maior vazamento de dados já experienciado no país, que expôs os CPFs e outros dados pessoais de mais de 223 milhões de pessoas, 40 milhões de CNPJs e 104 milhões de registros de veículos. Os arquivos contêm dados os mais variados, como documentos pessoais, gênero, perfis em redes sociais e fotos, além dos chamados dados inferidos – que advêm da criação de perfis a partir dos dados coletados – como a definição de “consumidores indisciplinados” e “aposentadoria dos sonhos”

 

De onde são os dados?

Ainda não se sabe ao certo a origem do vazamento, mas há indícios de que as informações advêm da base de dados do Serasa Experian. Em nota comum a diversos veículos de informação, a empresa alega que “não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Score Serasa é carregado, nem com o Mosaic. Além disso, os dados que vimos incluem elementos que nem mesmo temos em nossos sistemas e os dados que alegam ser atribuídos à Serasa não correspondem aos dados em nossos arquivos”. 

Diante da quantidade e variedade de dados existentes na planilha à venda, diversos especialistas têm indicado a possibilidade de ela ser formada através da junção de várias bases de dados diferentes.

 

O que as autoridades responsáveis estão fazendo?

A Autoridade Nacional de Proteção de Dados (ANPD), criada pela Lei Geral de Proteção de Dados Pessoais (LGPD), pronunciou-se, por meio de uma nota ao site “Tecnoblog”, dizendo que estaria apurando o caso e que cooperaria com outros órgãos competentes para descobrir mais informações sobre o vazamento. Apesar de a LGPD prever diversas sanções para esse tipo de situação, elas só poderão ser aplicadas a partir de agosto de 2021, quando essa seção da lei entrará em vigor. O atraso nas punições que a autoridade poderia impor deve-se à pressão exercida pelo setor privado, com o advento da pandemia de Covid-19, o que deu origem à Lei 14.010/2020. Todavia, a autoridade pode e deve, desde já, atuar no caso, investigando-o e colaborando com outros órgãos.

Isso não quer dizer que não se possa utilizar outras regras já existentes para punir os responsáveis, a depender do resultado da investigação, como a legislação consumerista ou a própria responsabilidade civil. A Senacon e o Procon-SP notificaram o Serasa Experian para pedir esclarecimentos e este último acionou a Polícia Civil para investigar o vazamento. Organizações da sociedade civil também já se organizam para cobrar medidas e colaborar com a apuração e punição dos responsáveis.

 

O que eu posso fazer a partir de agora?

O vazamento de uma base de dados tão grande certamente facilita a aplicação dos mais diversos golpes e violações. A seguir, listamos algumas precauções a serem tomadas:

  • Atente-se a qualquer ligação, mensagem ou e-mail recebido. Não abra e-mails ou clique em links suspeitos. Caso não saiba se a mensagem recebida é verídica, entre em contato diretamente com o remetente através de outra forma de comunicação.
  • Desconfie caso sejam requisitadas informações sensíveis ou financeiras, mesmo quando o atendente/remetente confirme seus dados (como nome, CPF etc.).
  • Troque suas senhas de forma regular e utilize o segundo fator de autenticação quando disponível. Se possível, utilize um gerenciador de senhas.
  • Atente-se para cadastros realizados em seu nome. Caso receba um e-mail ou SMS com confirmação de cadastros que não realizou, entre em contato imediatamente com a instituição responsável.
  • Verifique seu cadastro em aplicativos e sites que ofertam serviços, principalmente aqueles relacionados aos governos. Aplicativos como o FGTS, Carteira Digital de Trânsito, e-título, CPF Digital podem ser acessados com seus dados, e por isso é importante cadastrá-los e verificar se houve tentativa de acesso ou entrada indevida neles.
  • Caso verifique movimentação indevida por uso de dados, acione um advogado ou advogada e a instituição na qual houve a violação.  Conforme o caso, tome medidas preventivas, como boletim de ocorrência, suspensão de cadastro e modificação de senha.

 

Não tenho nada a esconder, como isso me afeta?

A proteção dos dados nos dias atuais vai muito além da necessidade de sigilo ou de algo a se esconder. Ela está ligada à concretização de direitos básicos e a necessária confiança nas relações do dia a dia. Ademais, é importante lembrar a frase de Edward Snowden, que afirma que “dizer que você não se importa com a privacidade por não ter nada a esconder é como argumentar que você é contra a liberdade de expressão por não ter nada a dizer”. Alguns exemplos básicos sobre como a violação aos dados pessoais pode te afetar são:

  • Roubo de identidade e utilização dos dados para criação de cadastros e perfis falsos, que podem trazer prejuízos financeiros e contratempos burocráticos. Exemplo de golpe ocorreu recentemente, através do aplicativo Caixa Tem, que permitia que o valor do FGTS fosse sacado sem a confirmação de identidade. Ao longo do tempo, isso também pode minar a confiança na utilização de identificadores únicos, como o CPF, ou de sistemas como o score de crédito.
  • Utilização dos dados vazados para o ganho econômico, direcionamento de publicidade ou propaganda política, como revelou o caso do Cambridge Analytica.
  • Criação de listas de detratores, que são utilizadas para intimidar comunicadores e minar as liberdades de expressão e associação, essenciais em uma sociedade democrática.

Percebe-se que os problemas individuais são graves, mas são enormes também os prejuízos gerados para a coletividade e a democracia. Nesse sentido, vale a pena destrinchar melhor as relações entre a privacidade, a proteção de dados e a liberdade de expressão. 

O relator da ONU para Liberdade de Expressão, David Kaye, já destacou em diversas ocasiões a importância do direito à privacidade enquanto meio para a garantia da liberdade de expressão e de associação. Apesar de a ligação entre esses direitos ser algo complexo, em uma sociedade em que não há um controle sobre o fluxo de dados, imperando uma vigilância generalizada, sente-se imediatamente o chamado efeito inibitório. Isto é, ao saberem que estão sendo vigiadas e que suas informações não estão seguras, as pessoas não se expressam de forma livre, como o fariam caso lhes fossem garantidos o controle de seus dados ou até mesmo seu anonimato. Da mesma forma, as pessoas podem se sentir impelidas a não participarem de espaços públicos e da vida social — especialmente aquelas de grupos vulnerabilizados, como mulheres e LGBTQIA+, ou de um posicionamento político de oposição — o que afeta diretamente a sua liberdade de associação. O efeito inibitório também atinge jornalistas e comunicadores, que podem ser desencorajados a conduzir investigações ou a contatar suas fontes.

 

Como podemos evitar que isso ocorra novamente?

A atuação das autoridades responsáveis será crucial neste momento e tem o potencial de ditar o ritmo e a seriedade com que assuntos como esse serão tratados no Brasil. Nesse sentido, um primeiro passo é a cobrança, pela sociedade civil, de um plano de resposta a esse incidente de segurança. Importantíssimo também é garantir a autonomia da ANPD, vinculada à Presidência da República, e um investimento adequado em seu funcionamento.

Outro passo fundamental é que as pessoas, organizações e instituições dêem importância para seus sistemas digitais, conferindo a eles máxima segurança e promovendo medidas, esclarecimentos e suporte para evitar vazamentos, brechas e ações maliciosas contra sua estrutura digital.

É preciso entender, ainda, por que hoje é possível que bases de dados tão grandes e concentradas existam. Em primeiro lugar, destaca-se a demora da aprovação da LGPD no Brasil e da criação de políticas públicas que desenvolvessem no país uma cultura de proteção de dados e segurança digital. Ademais, caso se confirme que os dados, ou ao menos parte deles, advêm da base do Serasa Experian, deve-se questionar as justificativas legais que permitem que birôs de crédito tenham acesso a todas essas informações. Isso foi fortemente facilitado pela aprovação da Lei do Cadastro Positivo e da posterior inserção do inciso X no art. 7º, da LGPD — que traz como hipótese autorizativa de tratamento de dados a proteção do crédito, algo único no mundo e na contramão das tendências de proteção de dados atuais.

Essas gigantes bases de dados também estão sendo estruturadas pelo próprio governo, a partir do Cadastro Base do Cidadão (Decreto 10.046/2019), que integra diversas bases da administração pública. Esse decreto desrespeita diversos princípios e dispositivos da Lei Geral de Proteção de Dados. Em pesquisa realizada pela organização Coding Rights já se sabe que 28 órgãos já solicitaram acesso ao Cadastro Base do Cidadão, incluindo a ABIN.

Em resumo, com um vazamento dessas proporções, em que dados de quase toda a população brasileira estavam à venda para quem quisesse pagar, percebe-se que o colonialismo de dados está se estabelecendo com cada vez mais vigor, especialmente no Sul Global. Assim, é necessário que soluções coletivas e criativas sejam pensadas de forma democrática, especialmente por aqueles mais afetados.

Icone de voltar ao topo