Opinião

Os ataques cibernéticos e a legislação brasileira

Agentes de tratamento de dados precisam desenvolver uma cultura de prevenção robusta

18 de fevereiro de 2021

Por André Damiani e Blanca Albuquerque*

Artigo publicado originalmente no Estadão

O Brasil tem sido palco de significativos vazamentos de dados pessoais. No último mês, foi descoberto o maior vazamento de dados da história do país, envolvendo 223 milhões de CPFs, bem como informações detalhadas — nome, endereço, renda e score de crédito, entre outros dados. A extensão do vazamento é tamanha, que supera em números a população atual do país, tendo em vista a inclusão de dados de pessoas já falecidas.

Em face de uma sequência de ataques hackers e de incidentes de segurança, instalou-se um ambiente de incertezas, no qual fraudes se tornarão mais fáceis e recorrentes, já que criminosos poderão possuir todos os dados de um indivíduo. Além disso, em posse de tantas informações, os cybercriminosos podem enviar mensagens ou fazer ligações se passando por instituições empresariais ou financeiras para promover novos golpes.

Neste sentido, indaga-se como o Brasil poderia se precaver de tantos e recorrentes vazamentos de dados. O mínimo que se pode dizer é que a solução é complexa. A priori, é indiscutível a necessidade de uma legislação robusta contra ataques hackers para todos os países. No Brasil existe a Lei Carolina Dieckmann, a qual aditou ao Código Penal tipificações de delitos digitais, como por exemplo a invasão de dispositivos informáticos alheios. Além disso, a Lei Geral de Proteção de Dados (LGPD) foi sancionada no ano passado, instituindo sanções que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) para os agentes que infringirem a lei. Todavia, estas só passarão a valer em agosto deste ano.

Porém, a melhor resposta não reside exclusivamente na atualização ou imposição de leis mais rígidas. Para um melhor desempenho contra incidentes de segurança, os agentes que tratam dados pessoais devem focar em práticas preventivas.

Os órgãos públicos, bem como as empresas que são agentes de tratamento de dados e, consequentemente, alvos de cybercriminosos, devem implementar políticas de governança de dados para fortalecer os sistemas de segurança intrínsecos a elas e se proteger de ataques hackers.

Outrossim, além de uma cultura preventiva anêmica, um outro grande problema que favorece os incidentes de segurança é a falha na infraestrutura de armazenamento com a concentração de muitos dados em poucas bases, a exemplo do Cadastro Positivo que se tornou de adesão automática pela Lei Complementar 166/19. Ou seja, se o país possui bancos de dados colossais, com diversas informações sobre seus cidadãos concentradas em poucas bases, os danos serão proporcionais ao volume de dados retidos, na ocasião de incidentes de segurança.

Neste diapasão, o recente mega vazamento de dados corrobora a visão daqueles que, como nós, defendiam a necessidade de a LGPD entrar em vigor em agosto de 2020 em sua plenitude, ou seja, com as respectivas sanções ali previstas passando a ser desde então aplicadas aos infratores. Além disso, todos os agentes de tratamento de dados precisam desenvolver uma cultura de prevenção robusta e uma estratégia bem delimitada em casos de incidentes de segurança, bem como devem aprimorar a infraestrutura corrente, para dissipar os dados pessoais dos cidadãos em diversos bancos de dados, impedindo a concentração destes numa base única, evitando-se, assim, outro “vazamento do fim do mundo”.

*André Damiani, especialista em Direito Penal Econômico pela Fundação Getúlio Vargas, é sócio-fundador do Damiani Sociedade de Advogados

*Blanca Albuquerque, associada do Damiani Sociedade de Advogados, é especialista em proteção de dados pessoais pelo Data Privacy Brasil

Notícias Relacionadas

Opinião

Adiar aplicação de penalidades da LGPD concilia interesses da sociedade

Antes da pandemia já existia movimento para adiar entrada em vigor da lei

Notas

AASP elege nova diretoria

Pela primeira vez, entidade será presidida por uma mulher