Vazamento de dados pessoais pós LGPD
Foi recentemente noticiado em diversas mídias o vazamento de dados pessoais de mais de 220 milhões de pessoas. Segundo se veicula, uma empresa de segurança encontrou evidências que grande massa de dados pessoais incluindo nome, número de CPF, endereço, faixa de renda, score de crédito e até fotos de rosto estavam transitando pela internet, não necessariamente na
deep web¹, onde era de se esperar que tal massa estivesse.
Como a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 – LGPD) entrou em vigor em setembro de 2020, bem como diante da magnitude do vazamento, já classificado como maior vazamento de dados pessoais da história brasileira, perguntas que se fazem são: quais as implicações de um vazamento de dados pessoais no contexto regulado pela LGPD? As tratativas serão diferentes considerando a nova lei? Como titular de dados pessoais, quais são meus direitos?
Tentaremos abordar, nos tópicos seguintes, os impactos jurídicos que a LGPD gera no caso de vazamento de dados pessoais² a partir de sua existência e da disciplina que estabelece no tocante ao tratamento de dados pessoais.
Identificação do agente
Bases de dados pessoais não aparecem do nada na internet. Não são uma criação aleatória, mas sim um compêndio organizado para um determinado fim, geralmente econômicos, quando pensamos em iniciativa privada, ou de interesse público, quando pensamos em bancos de dados de órgãos da Administração. Se dados pessoais que constem nesses bancos são acessados por terceiros não autorizados, isso se constitui um caso clássico de vazamento de dados pessoais.
Ocorre que não é tarefa fácil saber a origem do vazamento. Para o titular essa missão é praticamente impossível, já que a ampla maioria não dispõe de meios técnicos ou condições econômicas para essa apuração.
Não cega a esse fato, a LGPD estabeleceu no artigo 55-J, como atribuição da Autoridade Nacional de Proteção de Dados (ANPD), a incumbência de “fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação” (inciso IV), bem como “realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento” (inciso XVI). Em outras palavras, a ANPD tem como dever a fiscalização e a auditoria das atividades de tratamento de dados pessoais, a fim de verificar se elas estão de acordo com a lei3.
A identificação do agente de tratamento de dados pessoais responsável pelo vazamento é essencial para sua responsabilização, seja perante as autoridades, seja perante os titulares.
Contudo, a ANPD, cuja estrutura organizacional foi só estabelecida em agosto de 2020, tem ainda pouca estrutura para cumprir com sua missão e, ainda que atue, detém poucos meios de tornar eficaz sua atuação, tendo em vista a suspensão da aplicação das sanções administrativas até agosto de 2021, conforme veremos adiante.
Disposições da LGPD violadas com um vazamento de dados pessoais
Obviamente que um vazamento de dados pessoais se constitui violação da LGPD. Contudo, vale detalhar as principais disposições violadas, pois podem, inclusive, refletir na punição do agente, conforme veremos no próximo tópico.
O artigo 6º da LGPD descreve, contando com o caput, onze princípios legais a serem observados no tratamento de dados pessoais. Desses 11 princípios, 3 são dedicados a questões relacionadas ao acesso indevido de terceiros: os princípios da Segurança, Prevenção e Responsabilização e Prestação de Contas. Juntos, estes princípios acompanham o ciclo de tratamento, ou seja, o tratamento deve ocorrer com segurança, mas se houver incidente, deve-se saber o que fazer, bem como deverá o agente de tratamento comprovar que adotou medidas protetivas e que elas eram compatíveis e eficazes.
Um caso de vazamento, quando não reportado nos termos da LGPD, faz presumir a violação dos três princípios supra mencionados. Pode parecer pouco, mas nada há de mais basilar para a matéria jurídica do que um princípio.
Seguindo a letra da lei, felizmente, a LGPD lança critérios subjetivos de segurança do tratamento, tornando, assim, suas disposições resistentes ao passar do tempo. Se assim não fosse, eventual padrão de segurança ditado na lei poderia logo ser declarado ineficaz, ante a evolução tecnológica e a criatividade tanto de quem protege quanto de quem ataca os sistemas protetivos de bancos de dados.
Voltando ao que a LGPD dispõe, no seu artigo 46 há a obrigação de que os “agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Para tanto, o critério subjetivo de segurança é o de que o agente de tratamento deve atender as expectativas do titular quanto ao nível de segurança adotado, bem como os riscos que se espera na relação jurídica (art. 44). Se, por exemplo, o titular entrega seus dados à uma instituição bancária, se presume que espere um alto nível de segurança, diferentemente do nível de segurança que se espera no mercadinho da esquina que realiza sorteios com cupons físicos que ficam numa urna no meio de sua loja. A expectativa do titular, segundo a LGPD, dita o padrão de segurança a ser adotado pelo agente, o que, certamente, corresponde à época na qual o negócio jurídico está inserido (inciso III do artigo 44).
Ademais, se o agente é sabedor de um incidente de segurança, deveria informar à ANPD, nos termos do artigo 48, bem como aos titulares, dependendo da gravidade do incidente. Ocorre que a forma de prestação de informações ainda precisa ser regulamentada pela autoridade, ou seja, não há, na prática, parâmetros para a realização de comunicação prevista no referido artigo.
Sendo assim, podemos dizer que um vazamento de dados pessoais poderia caracterizar a violação desses dois importantes artigos, o 44 e 46 da LGPD, considerando que a não adoção das medidas de segurança segundo a expectativa do titular ocasionou o acesso de terceiros aos dados pessoais em posse do agente de tratamento, bem como, no futuro, após regulamentação, a violação do artigo 48, caso não haja comunicação do incidente.
Aferição da gravidade do incidente
Nem todos os vazamentos de dados podem ser considerados iguais quando pensamos em sua gravidade e possibilidade de causar danos aos titulares e à sociedade em geral. O vazamento de uma base de dados com endereços de pessoas pode ter diferentes contornos. Imaginemos que a base de dados, por exemplo, seja de pessoas famosas ou politicamente expostas. Esse fato pode acarretar sérios riscos de segurança física a tais pessoas, enquanto a mesma base dados de pessoas sem essas características poderia até gerar riscos de segurança, mas numa escala bastante reduzida se em comparação com o primeiro público.
A questão que se impõe é que o incidente precisa ser avaliado para estabelecer parâmetros para a aplicação das sanções e mitigação de efeitos, nos termos do § 2º do artigo 48. Após essa avaliação, a ANPD poderá determinar medidas de contenção de dados, como determinar a “ampla divulgação do fato em meios de comunicação” e ações para “reverter ou mitigar os efeitos do incidente”.
Ocorre que, ainda que se faça o juízo de gravidade do incidente, ele perde bastante relevância se não confrontado com as sanções que poderiam ser aplicadas de acordo com o nível de gravidade. Se incidentes de alta gravidade devem ser punidos com as sanções mais severas previstas na lei, é necessário saber quais são essas sanções e como elas serão aplicadas. São duas matérias que caminham juntas, pois, se há sanções severas, é porque o nível de gravidade de um incidente comportaria essa aplicação.
Superada essa parte, o parâmetro das sanções administrativas depende da realização de consulta pública por parte da ANPD, conforme o artigo 53, ou seja, antes de se apurar tal parâmetro, caminhará manca a análise da gravidade do incidente.
A aplicação das sanções administrativas
Identificado o agente que permitiu o vazamento dos dados pessoais, sanções administrativas estão previstas para aplicação, cujo importe pode chegar em 50 milhões de reais por infração à LGPD. Obviamente que a estipulação das sanções deverá considerar elementos atenuadores e agravantes vinculadas as ações ou omissões do agente de tratamento no sentido de tentar evitar o incidente. Negligência, imprudência ou imperícia certamente resultará em sanções de maior gravidade, visando a dupla função de punir e educar o agente.
Contudo, a aplicação de sanções administrativas está suspensa até 1º de agosto de 2021. Em outras palavras, como indicamos no primeiro tópico da análise, a atuação da ANPD no sentido de apurar e fiscalizar o tratamento dos dados pessoais pode ser pouco eficaz nesse sentido, pois não poderá punir o agente de tratamento.
Isso não quer dizer que a apuração seja completamente inútil, pelo contrário: sua atuação como especialista em tratamento de dados poderá dar embasamento aos titulares e demais autoridade para atuação na esfera judicial, especialmente para ações individuais e coletivas. A possibilidade de ingressar com tais ações repousa em outras legislações, como o Código de Defesa do Consumidor, Marco Civil da Internet ou a Lei da Ação Civil Pública, não sendo novidade criada ou vinculada à LGPD.
Desta forma, na esfera administrativa, considerando unicamente a LGPD, não se pode esperar sanção do agente até agosto de 2021, ou seja, nesse aspecto a LGPD pouco contribui nesse momento, mas pode contribuir no futuro, quando suas sanções entrarem em vigor.
O vazamento noticiado é uma “prova de fogo” para a LGPD?
Há quem diga que o vazamento ensejador deste artigo é uma “prova de fogo” para a LGPD e seu ecossistema de proteção de dados pessoais. Não iríamos tão longe, ante os fatos que narramos acima. De fato, estamos num cenário de transição e de aplicação parcial da nova lei, com claros entraves para a efetividade da proteção de dados que foi pretendida pelo legislador. Isso não quer dizer que sejam inúteis as providências a serem tomadas pela ANPD, mas há de se considerar suas limitações de infraestrutura técnica e de pessoas.
Verifique-se, por exemplo, que, segundo o planejamento estratégico da ANPD4, a ampliação do corpo de servidores se dará em um horizonte temporal de médio prazo (até 2 anos), provavelmente por conta da necessidade de liberação de verbas orçamentárias e realização de concurso público para composição de alguns quadros. Esse fato só evidência que o caminho a ser trilhado para que o ecossistema de proteção de dados pessoais seja efetivo na sua missão ainda é longo.
Logicamente que não devemos depender de um cenário perfeito para colocar a eficácia da LGPD à prova. Tal cenário não existe, pois, especialmente no âmbito público, geralmente há recursos limitados e demandas excedentes. Contudo, conforme dito, devemos considerar esse momento de transição como único e que, superada essa fase, não haverá escusas para que a LGPD surta todos os seus tão esperados efeitos.
Conclusão
Incidentes de segurança, especialmente o vazamento de dados pessoais, é prejudicial para os titulares atingidos, que poderão ser expostos a fraudes ou incursões de terceiros à sua privacidade, às empresas, que podem estar perdendo um grande ativo de seu negócio e à sociedade em geral, que tem interesse na harmonia e pacificação social, elementos que formam um terreno fértil para a conjugação adequada e equilibrada de direitos, tais como proteção da privacidade, a livre iniciativa e empreendedorismo.
A LGPD é um instrumento legal fundamental não apenas para prever direitos aos titulares, mas para, por meio da regulamentação, criar a cultura da privacidade junto à sociedade em geral. Para tanto, é imprescindível a estruturação de seu principal ator, a ANPD, que desempenhará importante papel, incluindo a atuação nos incidentes de vazamento de dados pessoais.
Contudo, estamos atualmente em um período de transição de um cenário sem regulamentação para um cenário regulado e, ainda que os desafios não estejam sendo superados com a velocidade que a sociedade gostaria, a médio prazo, a tendência é que a LGPD seja mais efetiva nos casos de vazamento, o que não acontece atualmente, seja porque a ANPD não dispõe de estrutura adequada para sua atuação, seja porque as sanções administrativas só poderão ser aplicadas em agosto de 2021.
Não que a LGPD e ANPD sejam irrelevantes para tratar o vazamento de dados pessoais recentemente noticiado ou qualquer outro que ocorra nesse período de transição, pelo contrário. A LGPD trouxe objetividade e clareza ao ecossistema de proteção de dados, municiando as autoridades e titulares com elementos até então inexistentes, como a definição das obrigações dos agentes de tratamento, os direitos do titular, as premissas de segurança, entre outros. Já a ANPD poderá, ainda que limitadamente, auxiliar na apuração da gravidade e responsabilidade do vazamento de dados. Contudo, teremos que aguardar um pouco mais para termos a eficácia projetada pela LGPD plenamente desenvolvida em nosso ordenamento jurídico e no cotidiano das pessoas.