Quais dados vazados?
O vazamento expõe contas telefônicas e segundo a Psafe estavam disponíveis na Dark Web desde o dia 03 de fevereiro e envolvem informações como CPF, número de celular, tipo de conta telefônica, minutos gastos em ligação e demais dados pessoais. São 102.828.814 mil registros. Ao que parece pertencem as operadoras Claro e Vivo, mas é preciso investigação para se confirmar pois as empresas negam a responsabilidade.
Qual a motivação?
A motivação ao que identificado é financeira. Já que as informações estão sendo vendidas individualmente ou em pacotes, no valor de U$$ 1 cada.
As pessoas devem se preocupar?
As pessoas precisam se preocupar com vazamentos desta natureza, pois eles podem ser utilizados para criação de cadastros, falsa identidade, compras, aplicações de golpes e fraudes e até por tentativas de acessar contas bancárias e ativos das vítimas. É muito importante ficar atento a mensagens não solicitadas recebidas e caso receba abordagens de pessoas ou empresas que desconhece, questionar como o agente obteve os dados. Lembrando que nos termos da LGPD é direito do titular de dados confirmar a existência de tratamento, acessar os dados e até mesmo a eliminação dos dados tratados em desconformidade com a Lei.
Os cidadãos tem culpa?
Não. Os usuários não têm culpa alguma. Um dataset gigante com 100 milhões de registros, certamente veio de um agente de tratamento, este que pode ter negligenciado com seus deveres relativos à segurança da informação e proteção de dados. Lembrando que pela LGPD o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes. Assim, a ANPD precisa investigar adequadamente o caso. Conforme dispõe a LGPD, responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que deixa de adotar as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Como a Autoridade Nacional de Proteção de Dados (ANP) pode agir?
Compete à ANPD fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. Neste caso, a ANPD poderá instaurar um procedimento administrativo para apurar a responsabilidade dos agentes de tratamento que seriam responsáveis pela base de dados. Embora as penas só possam ser aplicadas em agosto de 2021, nada impede, no entanto, que outras entidades atuem, como Procon, Senacon e até mesmo o Ministério Público, que tem se mostrado muito ativo nas questões envolvendo vazamento de dados pessoais.
Se comprovado, as empresas de telefonia respondem pelos danos?
Conforme dispõe a LGPD, responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Assim, as responsáveis poderão ser processadas por entidades de defesa do consumidor, associações de representação e Ministério Público, caso comprovada a negligência que permitiu o vazamento de dados. A ANPD também divulgou nota informando que oficiou outros órgãos, já que ainda não pode aplicar suas penalidades, e que promoverá, com estes órgãos competentes, a responsabilização e punição dos envolvidos. Procon e Anatel também estariam habilitadas a atuar nestes casos. O Procon poderia inclusive aplicar multa com base no Código de Defesa do Consumidor. Acreditamos que nestes casos a prova pericial em dados será fundamental para apurar se realmente os dados se originaram de vazamentos das operadoras de telefonia ou não.
Em síntese
Com a LGPD e o aumento da maturidade e consciência em relação à privacidade e proteção de dados, ganha relevância maior notícias de vazamento de dados. Por outro lado, nos últimos dois casos grandes no Brasil, os suspeitos negaram o envolvimento. Assim, a questão será probatória e técnica, sendo necessárias auditorias e perícias em informática para que, no processo administrativo, fique comprovado ou não o envolvimento.
José Antonio Milagre, advogado e perito em segurança da informação e dados pessoais, especialista em crimes cibernéticos e Presidente do Instituto de Defesa do Cidadão na Internet (IDCI Brasil).