O Brasil teve o maior vazamento de dados de sua história. E agora?

Nas últimas semanas, muito se discutiu sobre o escândalo envolvendo o vazamento de dados pessoais de mais de 220 milhões de brasileiros. As informações comprometidas incluem nome, CPF, RG, título de eleitor, e-mail, endereço, ocupação, pontuação de crédito, escolaridade, estado civil, emprego, salário, renda, poder aquisitivo, foto de rosto, classe social, vínculo universitário, entre diversas outras. Trata-se, em termos simples, do maior e mais grave vazamento de dados da história do Brasil.

No post de hoje, examinamos esse acontecimento e suas consequências para a proteção dos dados pessoais no Brasil.

Entendendo o ocorrido

No dia 22 de janeiro de 2021, veio a público a notícia de um vazamento de dados pessoais de proporções jamais vistas no país, o qual foi identificado pela empresa de segurança PSafe: mais de 220 milhões de pessoas tiveram informações relacionadas aos mais diversos aspectos de suas vidas publicizadas para download na internet. O número chamou atenção por ultrapassar até mesmo o da população brasileira, o que se explica em virtude do vazamento em questão envolver informações relacionadas a pessoas falecidas.

Como reportado pelo Tecnoblog, o vazamento de fato corresponde a dois arquivos contendo conjuntos de dados distintos, porém relacionados. Ambas as bases foram compiladas em agosto de 2019 e publicadas pelo mesmo usuário em um fórum conhecido por ser utilizado para a divulgação de informações dessa natureza. 

O primeiro arquivo contém somente quatro categorias de dados: nome completo, CPF, gênero e data de nascimento, estando disponível para download gratuito. O segundo, por outro lado, apresenta dados referentes a 37 bases distintas, incluindo RG, estado civil, lista de parentes, endereço completo, nível de escolaridade, salário, renda, poder aquisitivo, status na Receita Federal e INSS, entre muitos outros. Ao contrário do primeiro, somente uma prévia do segundo arquivo estava disponível gratuitamente. O acesso a versões mais completas exigia o pagamento em Bitcoin de US$ 0,075 a US$ 1 por CPF, a depender do volume de dados comprado.

A publicação do acontecimento foi imediatamente acompanhada por especulações sobre a origem dos vazamentos, com a Serasa Experian sendo apontada como provável fonte. Um forte indício que embasa essa associação é a presença, entre os dados vazados, de informações conectadas a serviços e sistemas operados pela empresa, a exemplo de pontuações de crédito e classificações segundo modelos preditivos do comportamento do consumidor. Além disso, o arquivo contendo o maior conjunto de dados se denomina “Serasa Experian”. A empresa, por sua vez, nega ser a origem do vazamento. 

As instituições respondem

Ainda que vazamentos de dados sejam bastante frequentes no país, o caso em questão vem gerando repercussões institucionais e midiáticas particularmente significativas. Em parte, isso se explica pelo potencial lesivo do acontecimento, que expôs centenas de milhões de pessoas a diversos riscos: desde diferentes modalidades de fraude de identidade – inclusive fraudes de cartão de crédito e esvaziamento da conta –, até crimes como roubo e sequestro, que podem ser incentivados e facilitados pelo cruzamento entre os dados de endereço, foto de rosto, ocupação, poder aquisitivo e renda da vítima potencial.

Mas a relevância do incidente não decorre somente de sua magnitude: está relacionada também com a conjuntura em que ele se torna notícia. Nos últimos meses, o Brasil passou a contar tanto com uma Lei Geral de Proteção de Dados (LGPD)  vigente quanto com uma instituição estruturada para zelar por sua aplicação, a Autoridade Nacional de Proteção de Dados (ANPD), inclusive fiscalizando e auditando entidades que tratam dados para apurar infrações. Ainda, o país conta com outros órgãos responsáveis por defender os direitos dos consumidores em casos dessa natureza. É o caso do Ministério Público e da Secretaria Nacional do Consumidor (Senacon), que podem atuar com base no Código de Defesa do Consumidor.

Assim, mais que apenas outro acréscimo à longa lista de incidentes de segurança da informação ocorridos no país, o megavazamento representa um teste para a política nacional de proteção de dados que o Brasil vem construindo gradualmente. Dias após o incidente ganhar o noticiário, diversas instituições demandaram respostas nesse sentido: a OAB Nacional enviou um ofício à ANPD pedindo a apuração do ocorrido, ao passo que o Procon-SP e a Senacon notificaram a Serasa Experian demandando explicações sobre o fato. Mesmo o STF chegou a intervir por meio de ofícios enviados ao Ministro da Justiça e o Ministro Relator do inquérito anti-fake news conduzido pela corte, cobrando a apuração do caso em função da exposição dos dados dos ministros do tribunal.

Por sua parte, a ANPD começou a tomar as medidas cabíveis: encaminhou um pedido à Polícia Federal para a abertura de um inquérito de apuração do caso, além de ter iniciado comunicações com a PSafe, com o Gabinete de Segurança Institucional (GSI) e com o Comitê Gestor da Internet no Brasil (CGI.br). A expectativa é de que a Autoridade trabalhe coordenadamente com as demais entidades a fim de determinar e operacionalizar as respostas institucionais pertinentes ao acontecido. Embora esteja impossibilitada de aplicar as sanções administrativas previstas na LGPD, pois estes dispositivos da lei só entrarão em vigor a partir de agosto, outras sanções ainda podem ser aplicadas com base no Código de Defesa do Consumidor.

Os danos são coletivos, as respostas também devem ser

Quando nos deparamos com um caso dessa grandeza, é natural e compreensível que as vítimas fiquem ansiosas e busquem imediatamente saber que medidas podem ser tomadas para mitigar os riscos da exposição. De fato, há medidas viáveis no plano individual para fins de redução de danos: redobrar a atenção com mensagens contendo links e anexos de remetentes desconhecidos, suspeitar de supostos e-mails ou ligações institucionais pedindo a confirmação de informações pessoais, implementar autenticação de dois fatores em seus cadastros em redes sociais e serviços, utilizar senhas seguras armazenadas em um gerenciador e não repetir a mesma senha em diferentes aplicações.

No entanto, é importante notar que esse tipo de violação gera danos no plano coletivo, de modo que muitas das respostas e reparações devem ser igualmente buscadas  para além dos indivíduos. 

Nesse sentido, cabe às autoridades competentes investigar o caso com o objetivo de identificar a origem efetiva do vazamento, as condições que o tornaram possível e quem são seus agentes causadores. Se a Serasa Experian for confirmada como a fonte, as autoridades deverão cobrar da empresa a demonstração de que medidas efetivas de segurança haviam sido tomadas para reduzir o risco de um incidente dessa natureza, como o armazenamento cifrado das informações e a existência de procedimentos rigorosos de controle de acesso a tais dados. Ainda, ela deverá demonstrar que estabeleceu um plano de contingência para identificar e mitigar os danos decorrentes do vazamento assim que teve ciência do fato. Na ausência desses cuidados, os responsáveis por tais omissões deverão ser identificados e responsabilizados proporcionalmente.

A experiência internacional pode representar uma boa fonte de aprendizado para o caso. Muitos paralelos têm sido estabelecidos entre o megavazamento e o caso Equifax, em que cibercriminosos tiveram acesso a cerca de 150 milhões de registros de um serviço de monitoramento de crédito denominado Equifax, afetando 54% da população dos EUA. Na ocasião, a empresa teve de pagar até US$ 700 milhões para o encerramento das ações coletivas movidas contra ela, sendo grande parte destinada a um fundo em que os afetados poderiam realizar saques se pudessem provar prejuízos. Ela também foi condenada a investir pelo menos 1 bilhão para melhorar a proteção de dados e fornecer até 10 anos de monitoramento de crédito ou compensação correspondente para os membros da ação coletiva.

Além disso, o caso provocou um enorme debate cultural sobre a importância da proteção de dados entre as instituições estadunidenses. Representantes da sociedade civil puderam participar de diversas audiências no Congresso Nacional e pautar questões importantes para os direitos digitais dos cidadãos, como a construção de um novo sistema de identidade digital e políticas para dar maior autonomia ao cidadão que tem seus dados coletados pelos birôs de crédito. Nesse sentido, quem sabe o megavazamento não pode se converter numa oportunidade para pautar questões importantes para os direitos digitais no Brasil?

Conclusão

O megavazamento de dados de 2021 é um acontecimento dramático cujas repercussões ainda veremos nas próximas semanas. O que parece nítido, desde já, é que esse evento não deve ser visto com a resignação com a qual incidentes de segurança da informação tão frequentemente são encarados no país. Pelo contrário, devemos aproveitar essa oportunidade para realizar debate público sobre que condições tornaram o incidente possível e como podemos enfrentar os riscos de que eventos dessa natureza se repitam.

O vazamento chama atenção, por exemplo, para os problemas de sistemas como o do cadastro positivo, que em 2019 passou a incluir automaticamente os CPFs dos cidadãos em um registro de bons pagadores a partir de seus hábitos. Apesar dos protestos de organizações de direitos digitais na época, a inclusão automática foi transformada em lei. Iniciativas como essa ajudam a construir megabases de dados mais propensas a ciberataques e reduzem a autonomia do cidadão sobre seus dados. Assim como ocorreu nos EUA com os debates provocados pelo caso Equifax, não seria esse o momento das instituições brasileiras reconsiderarem iniciativas como essa à luz de seus riscos?

Quer entender mais sobre a relação entre segurança da informação e proteção de dados pessoais? Confira o post sobre o assunto.

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.