Publicado originalmente no Jota em 21/02/2021.
Créditos da foto: Pexels.com
Um relatório de janeiro do time de cibersergurança e proteção de dados do escritório de advocacia DLA Piper[1] mostra que já foram aplicadas multas no valor de 272,5 milhões de euros pelas autoridades de proteção de dados da União Europeia, Reino Unido, Noruega, Islândia e Liechtenstein, com base em violações à proteção de dados pessoais previstas na GDPR (General Data Protection Regulation).
O relatório aponta ainda que houve um aumento significativo das notificações de infrações à GDPR, passando de 278 em 2019 para 331 notificações por dia em 2020, um aumento de 19%.
No total, houve mais de 281.000 notificações de violação de dados desde o início da vigência da GDPR em 25 de maio de 2018, tendo a Alemanha (77.747), Holanda (66.527) e Reino Unido (30.536) como os três primeiros países em quantidade de notificações.
A copresidente do Grupo de Proteção e Segurança de Dados da DLA Piper, Ewa Kurowska-Tober, afirmou que os reguladores têm testado os limites de seus poderes este ano (2020), emitindo multas por uma ampla variedade de violações das duras leis europeias de proteção de dados.
Mas eles certamente não tiveram as coisas do seu jeito com alguns apelos notáveis bem sucedidos e grandes reduções nas multas propostas. Dadas as grandes somas envolvidas e o risco de reivindicações de indenização, esperamos ver a tendência de mais recursos e defesas mais robustas das ações de execução continuarem. (DLA PIPER’S CYBERSECURITY AND DATA PROTECTION TEAM, 2021)
Pontos comuns na atuação das autoridades de proteção de dados europeias
De todo o modo, foi possível identificar pontos comuns na atuação das autoridades reguladoras de proteção de dados nos países analisados quanto à aplicação de sanções com base em: (i) violação na aplicação do princípio da transparência[2]; (ii) violação na demonstração da base legal que fundamenta o processamento de dados pessoais; (iii) violação na implementação de medidas de segurança apropriadas; (iv) violação nos princípios de minimização de dados[3] e limitação de armazenamento[4].
Além disso, o relatório destaca que há uma omissão comum quanto ao previsto no Capítulo V da GDPR, que trata dos requisitos para transferência de dados para outros países e organizações internacionais.
Outro ponto de destaque é a lista das três maiores multas já aplicadas com base na GDPR:
1) 50 milhões de euros, aplicada pela autoridade francesa ao Google em janeiro de 2019, por violação ao princípio da transparência e por não demonstrar adequadamente a base legal para realizar processamento de dados pessoais em relação à publicidade personalizada (artigos 6, 12 e 13 da GDPR)[5];
2) 35,26 milhões de euros, aplicada pela autoridade de proteção de dados de Hamburgo à H&M, em outubro de 2020, por não demonstrar base legal para realizar o processamento de dados pessoais (artigos 5 e 6 da GDPR)[6]; e
3) 27,8 milhões de euros, aplicada pela autoridade de proteção de dados da Itália à TIM, em janeiro de 2020, por falhas quanto à transparência, privacidade, base legal e medidas técnicas inadequadas (artigos 5, 6, 17, 21 e 32 da GDPR)[7].
E no Brasil?
No Brasil, estamos vivendo uma onda de grandes vazamentos de dados. Em janeiro, foi divulgado o vazamento de dados pessoais de mais de 223 milhões de brasileiros[8], relacionados aos números de CPF.
Para agravar ainda mais o cenário de proteção de dados no Brasil, em fevereiro a PSafe, mais uma vez, descobriu um novo vazamento. Desta vez foram vazados dados de contas de telefone, incluindo o número de aproximadamente 100 milhões de brasileiros.
A recém-criada Autoridade Nacional de Proteção de Dados (ANPD) emitiu um comunicado[9] informando que está apurando o primeiro vazamento e que a Serasa, suposta controladora dos dados, já prestou as informações solicitadas.
A ANPD também informou que oficiou outros órgãos – Polícia Federal, a empresa PSafe[10], que descobriu o vazamento, o Comitê Gestor da Internet no Brasil e o Gabinete de Segurança Institucional da Presidência da República – para auxiliar na investigação e para adoção de medidas de contenção e mitigação de riscos.
Contudo, diversos especialistas ressaltaram a gravidade desses vazamentos. A presidente da Comissão de Proteção de Dados e Privacidade da seccional do Rio de Janeiro da OAB, Estela Aranha, afirma que o vazamento expõe os titulares dos dados a todos os tipos de fraude e roubo de identidade e que o impacto pode durar anos, pois os dados vazados são referentes à identificação e à documentação, que são mais perenes[11].
Além disso, como afirmou o advogado especialista em direito digital Ronaldo Lemos, vai ser difícil reverter essa situação, pois “dados, uma vez vazados, não podem mais ser ‘desvazados’”[12]. Assim, fica difícil imaginar que tipo de medida de “contenção” pode ser adotada pela ANPD.
Fato é que os titulares de dados têm sido constantemente violados em seus direitos à proteção de dados pessoais e, como as sanções previstas na LGPD, de natureza unicamente administrativa, só começam a valer a partir de agosto de 2021, não é possível para a ANPD, neste momento, multar os controladores responsáveis pelos megavazamentos, como já vem sendo feito pelos países europeus.
Isso não significa que os titulares estejam completamente desamparados. Há diversas autoridades públicas de proteção do consumidor, proteção e regulação de setores específicos, como o Banco Central e Agências Reguladoras, além de Ministério Público, Defensoria e associações privadas, que poderão ajuizar ações contra os controladores, com base na LGPD, reclamando o correto tratamento de dados pessoais[13].
Mas, para que isso aconteça, é preciso provar o nexo de causalidade do vazamento com eventual lesão ou dano, conforme afirma Estela Aranha. E, até o momento, não temos sequer a confirmação de onde os dados foram vazados, mesmo com a obrigatoriedade de comunicação à ANPD e aos titulares de incidentes de segurança envolvendo dados pessoais que “possa[m] acarretar risco ou dano relevante aos titulares” (artigo 48), o que, indubitavelmente, é o caso dos dois megavazamentos citados neste texto.
Diante da comunicação de um incidente de segurança com dados pessoais, a ANPD poderá propor a celebração de um compromisso, estabelecendo obrigações a serem cumpridas e sanções para a hipótese de seu inadimplemento.
Além disso, a ANPD poderá instaurar ou dar prosseguimento a processo administrativo sancionador contra o controlador, assegurando-lhe o contraditório, a ampla defesa e o direito de recurso, com o objetivo de apurar se houve violação da LGPD e, se for o caso, aplicar ao controlador uma sanção administrativa[14].
Ainda temos um longo caminho a percorrer para podermos ter consequências administrativas e multas tão relevantes quanto às aplicadas nos países europeus. Mas a experiência europeia quanto às principais infrações e falhas pode servir como um atalho para a ANPD.
O que os titulares dos dados podem fazer para se protegerem
Renato Opice Blum, advogado e presidente da Associação Brasileira de Proteção de Dados, recomenda que o titular faça um boletim de ocorrência informando que seus dados foram vazados.
Assim, segundo Opice Blum, o titular estará agindo de boa fé e se isentando da responsabilidade de mau uso dos seus dados por terceiros[15]. Em alguns estados, o boletim pode ser feito pela própria internet.
Existem também serviços de proteção que avisam se o CPF foi utilizado e, com isso, o titular pode ser alertado de alguma fraude. Esse tipo de serviço, contudo, tem um custo.
O Banco Central possui a plataforma Registrato[16] que permite que o titular consulte contas bancárias, financiamentos e empréstimos registrados em seu CPF ou CNPJ. Para utilizar, basta fazer um cadastro inicial no aplicativo de uma das instituições financeiras credenciadas.
A LGPD, de forma similar à GDPR, contempla a obrigatoriedade de comunicação de incidentes de segurança às autoridades de proteção de dados pessoais e aos titulares. Contudo, essa obrigação não pode ser vista como tendo com finalidade a aplicação de sanção ao controlador.
Embora essa seja uma consequência possível, o objetivo primordial é tentar mitigar ou minimizar possíveis impactos negativos para os titulares dos dados pessoais afetados nos incidentes de segurança (FREITAS, 2021).
É interesse de todos que a comunicação rápida e efetiva ajude a implantar medidas céleres para cessar o dano e, se possível, restabelecer a integridade, confidencialidade e disponibilidade dos dados pessoais. No mesmo viés, a comunicação ao titular permite que ele tome ações individuais que possam evitar maiores consequências negativas, como trocar senhas e verificar possíveis tentativas de fraude com seus dados pessoais.
Neste sentido, a transparência se torna um princípio fundamental a ser perseguido pelos controladores. E, mais que isso, evitar novos casos de vazamento de dados é fundamental para garantir o direito à proteção de dados almejado pela novel legislação específica brasileira, mesmo antes que as sanções possam ser usadas como instrumento coercitivo pela ANPD.
Por fim, pelos números de notificações e multas aplicadas, podemos concluir que a proteção de dados pessoais se tornou muito importante para os países europeus e a atuação firme das autoridades de proteção de dados é certamente um dos catalisadores dessa cultura. Assim, a autoridade brasileira pode se basear nas práticas europeias para fazer um trabalho semelhante no Brasil, para que a resposta à pergunta do título deste artigo seja “nunca”.
Referências bibliográficas
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015- 2018/2018/Lei/L13709.htm>. Acesso em: 25 de dezembro de 2020.
DLA PIPER’S CYBERSECURITY AND DATA PROTECTION TEAM. DLA Piper GDPR fines and data breach survey: january 2021. DLA Piper, 2021. Disponível em: <https://www.dlapiper.com/en/uk/insights/publications/2021/01/dla-piper-gdpr-fines-and-data-breach-survey-2021/>. Acesso em: 11 de fevereiro de 2021.
FREITAS, Ciro Torres. Comunicação de Incidentes de Segurança envolvendo dados pessoais na Lei Geral de Proteção de Dados. IN: Vários Autores. Comentários à Lei Geral de Proteção de dados Comentada. Ribeirão Preto: Migalhas, 2021.
Notas:
[1] DLA PIPER’S CYBERSECURITY AND DATA PROTECTION TEAM. DLA Piper GDPR fines and data breach survey: january 2021. DLA Piper, 2021. Disponível em: <https://www.dlapiper.com/en/uk/insights/publications/2021/01/dla-piper-gdpr-fines-and-data-breach-survey-2021/>. Acesso em: 11 de fevereiro de 2021.
[2] Princípio da lealdade, imparcialidade e transparência: o processamento de dados pessoais deve ter uma justificativa legal para acontecer, além da transparência do motivo apresentado.
[3] Princípio da minimização de dados: a coleta de dados pessoais deve estar limitada apenas ao necessário para aquilo que se destina seu uso.
[4] Princípio da limitação de armazenamento: o formato dos dados pessoais deve permitir a identificação apenas do necessário a ser utilizado.
[5] Disponível em: <https://www.bbc.com/news/technology-46944696>.
[6] Disponível em: <https://www.bbc.com/news/technology-54418936>.
[7] Disponível em: <https://dataprivacymanager.net/e278-million-gdpr-fine-for-italian-telecom-tim/>.
[8] Disponível em: <https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2021/01/25/vazamentos-de-dados-expoem-informacoes-de-223-milhoes-de-numeros-de-cpf.ghtml>.
[9] Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-esta-apurando-no-caso-do-vazamento-de-dados-de-mais-de-220-milhoes-de-pessoas>.
[10] Disponível em: <https://www.psafe.com/pt-br/>.
[11] Disponível em: <https://www.conjur.com.br/2021-fev-01/vazamento-dados-grave-impacto-sentido-anos>.
[12] Disponível em: <https://www.conjur.com.br/2021-fev-01/vazamento-dados-grave-impacto-sentido-anos>.
[13] Disponível em: <https://www.tauilchequer.com.br/pt/perspectives-events/publications/2020/06/lgpd-sanctions-will-take-effect-on-august-2021#:~:text=Em%2010%20de%20junho%20de,1%C2%BA%20de%20agosto%20de%202021.>.
[14] As sanções administrativas estão previstas no artigo 52 da LGPD: (i) advertência, com indicação de prazo para adoção de medidas corretivas, (ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, (iii) multa diária, observado o limite total a que se refere o item anterior, (iv) publicização da infração, (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização, (vi) eliminação dos dados pessoais a que se refere a infração, (vii) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, (viii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, e (ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (artigo 52).
[15] Disponível em: <https://6minutos.uol.com.br/tecnologia/seus-dados-foram-expostos-site-mostra-se-voce-foi-vazado/?fbclid=IwAR1iYQFlhEQUxxa4PHUQ6QfStI3o7sFzup_zaTbPuU00PbK4eaJeJfOHByc>.
[16] Disponível em: <https://www.bcb.gov.br/cidadaniafinanceira/registrato>.