Publicação da LGPD completa 4 anos hoje
A Lei Geral de Proteção de Dados foi publicada em 15 de agosto de 2018, com a expectativa de proporcionar maior segurança às nossas informações pessoais. Desde então, foram 4 anos de avanços e adaptações para criar e fortalecer uma cultura de proteção de dados, principalmente em empresas de todos os segmentos e nos órgãos públicos.
Um grande passo nesse sentido foi elevar a proteção dos dados pessoais a direito fundamental, inserindo-o na Constituição Federal, no mesmo nível dos direitos à saúde e à educação. Apesar disso, a conclusão de algumas pesquisas recentes nos leva a crer que boa parte da população ainda não considera o vazamento de informações como risco real. Os números e os casos, no entanto, mostram que a disseminação ilícita de dados está acontecendo, gerando prejuízos para as pessoas e as empresas.
É global
A cada trimestre, a empresa holandesa de serviços de VPN, Surfshark, publica uma pesquisa apresentando os países com maiores índices de violações online, com resultados não tão satisfatórios para o Brasil. Somente neste segundo trimestre de 2022, foram mais de 3 milhões de usuários com informações vazadas, colocando nosso país na 4ª posição, apenas atrás da Rússia, Índia e China.
Esses números levam a diferentes reflexos, não apenas em nosso território, como no mundo. Uma das consequências foi apontada pela empresa global Delphix, ao entrevistar 100 executivos de TI de diferentes países. O resultado mostrou que 76% deles não confiam na capacidade das empresas para se defenderem em casos de vazamentos de dados. E mais: o estudo ainda estimou que a inatividade das operações de uma empresa por 3 dias, em razão de ataques cibernéticos, pode gerar prejuízos de até 150 milhões de dólares.
No fim das contas, esses prejuízos saem do bolso dos consumidores, de acordo com outro estudo, feito pela fabricante mundial de software e hardware IBM, com 550 organizações de 17 países, entre março de 2021 e março de 2022. Em decorrência dos ataques sofridos, os preços dos produtos crescem para equilibrar as contas das empresas. Infelizmente, o Brasil é o país com a maior taxa de crescimento dos prejuízos por ano, ocupando a 16ª posição, com um custo médio de aproximadamente 1,38 milhão de dólares em recuperações.
Direito à saúde e à privacidade de dados
Outro resultado alarmante veio do relatório anual da Apura Cyber Intelligence, empresa que desenvolve e fornece produtos e serviços para defesa cibernética. Segundo o estudo, o terceiro maior índice de ciberataques em 2021 ocorreu na área da saúde, com informações sendo vendidos na dark web, inclusive por valores maiores que os dados financeiros, por se tratar de dados sensíveis.
As notícias que reiteradamente vemos na mídia confirmam o resultado da pesquisa. Em 2020, por exemplo, o Hospital Santa Helena, no Distrito Federal, teve seu banco de dados invadido. Na época, as informações de uma paciente foram usadas para aplicar um golpe em sua família. Em razão disso, a instituição foi condenada a pagar indenizações por danos morais e materiais, decorrentes da falha na guarda dos dados de seus pacientes.
Também em 2020, a Polícia Federal foi acionada devido a um ataque na plataforma da ConecteSUS. Por um erro de segurança nos registros de pessoas vacinadas contra a covid-19 no Sistema Único de Saúde, mais de 200 milhões de brasileiros tiveram suas informações vazadas. Além disso, em 2021, o Hospital Albert Einstein foi notificado pelo Procon-SP para esclarecer questões referentes ao vazamento de dados de 16 milhões de pessoas.
Órgãos Públicos, dados privados
Ainda de acordo com o relatório da Apura Cyber Intelligence, o principal alvo de ataques malware é o setor público. E, nessa área, os números também estão piores que o esperado, como mostra um estudo do Tribunal de Contas da União (TCU), publicado em junho deste ano. Dos órgãos federais, somente 2,9% estão totalmente adequados à LGPD, enquanto 58,9% se encontram em fase inicial de adequação. Os demais encontram-se em nível intermediário ou estágio inexpressivo de implementação.
Soma-se isso a pesquisa feita pela Dark Tracer, empresa que monitora atividades criminosas na dark web, e o cenário fica ainda mais preocupante. Em março deste ano, a empresa divulgou, em sua conta do Twitter, uma lista com os 100 domínios públicos mais afetados por roubos de dados de acesso. Dentre eles constam muitos sites ligados ao Estado, inclusive nas primeiras posições dos mais acessados para vazamento de informações.
Na prática, vimos isso acontecer em junho desse ano. O portal ComprasNet, do governo federal, expôs dados como RG, CPF e endereço de mais de 20 mil empresários. A falha no servidor foi relatada pela unidade de inteligência do Group-IB, empresa de segurança cibernética que tem parceria com órgãos de investigação, como a Interpol.
Estamos de olho
As pesquisas e os casos que citamos aqui são algumas poucas amostras da importância que a LGPD tem, principalmente agora que estamos praticamente, a todo o momento, conectados no mundo digital. Como os exemplos acima, inúmeras outras matérias envolvendo a falta de proteção de dados e o vazamento de informações pessoais estão sendo divulgadas por sites e empresas especializadas. Isso mostra que há uma certa preocupação quanto ao assunto e, sobretudo, que existem motivos suficientes para levar as empresas e os órgãos públicos à adequação à LGPD.
Próximos passos
Ainda neste ano, a Agência Nacional de Proteção de Dados irá divulgar, em portaria, a metodologia de cálculo para a aplicação das multas previstas na LGPD. A expectativa é que, em outubro, elas já comecem a ser aplicáveis, inclusive com efeito retroativo, ou seja, em condutas praticadas anteriormente à emissão da portaria.
Essa publicação é importante porque, por mais que a Lei Geral de Proteção de Dados Pessoais já esteja valendo e sendo aplicada, a definição dessa metodologia para calcular as multas vai dar transparência e segurança em suas aplicações. Assim, espera-se uma análise cada vez mais rigorosas quanto as violações à LGPD.