Previamente se faz necessário entender que um vazamento de dados ocorre quando os procedimentos adotados pelo controlador de seus dados não utilizam métodos suficientemente eficazes a ponto de garantir segurança para suas informações que estão sobre sua posse, seja dentro de uma base de dados, ou na nuvem de um servidor. Desse modo, tornando-os vulneráveis a ponto de pessoas externas e sem autorização acessá-los e até mesmo torná-los públicos contra seu consentimento.
Recentemente, vem aumentando de forma escalonada as comunicações de casos de vazamento em grandes bases de dados, tanto em órgãos públicos como privados, em meios físicos e também digitais. Nesse momento é natural sentir um ar de preocupação, e buscar um direcionamento e orientações de como proteger suas informações pessoais ou até mesmo se indagar se já foi ou não alvo desses ataques.
Em hipótese de vazamento de dados, quem atua é a Autoridade Nacional de Proteção de Dados (ANPD), um órgão regulador que executa a Lei Geral de Proteção de Dados (LGPD). Hoje, ela entra em ação e atua (apenas) de maneira cooperativa e técnica junto a outras instituições de proteção como, o Procon. Apesar da ANDP já estar estruturada, a parte da lei que dispõe sobre seu poder de coercibilidade e aplicabilidade de penalidades contra os entes infratores teve sua vigência adiada, onde somente poderá aplicar multas a partir de agosto de 2021.
Conforme a regulamentação da LGPD, após um incidente que envolva dados pessoais que venham causar danos ou acarretar em exposição dessas informações pessoais de forma que venham a trazer danos, os responsáveis pelo vazamento devem informar imediatamente os titulares das informações e a ANPAD. Além, claro, de adotar medidas preservativas para controlar e conter os danos do incidente, de modo a reduzir os impactos aos sujeitos afetados.
Mas, o que fazer quando os dados vazados forem supostamente seus?
É recomendável não responder a e-mails desconhecidos ou suspeitos que informem que seus dados foram expostos, nem mesmo se utilizar de sites ou aplicativos que não tenham validade de reconhecimento tido como seguro por algum órgão regulador ou que sejam de origem desconhecida para realizar tal verificação. Nesse processo é importante melhorar os cuidados que já estão sob nossa visão, como: ativar a autenticação de duas etapas em todas plataformas e aplicativos que possuem essa funcionalidade. Assim como funcionam os cartões de crédito, é como uma trava de segurança para liberar o acesso, sendo necessário um código de verificação. Funcionalidades dessas já previstas nos aplicativos como Gmail, WhatsApp, que utilizam essa metodologia em prol da privacidade do usuário. Além disso, há outros tipos de autorizações como: “tokens”, confirmação em dispositivo móvel ou chave física.
Isso também pode acontecer nas redes sociais, inclusive, é bem comum. O que facilita o vazamento das informações. Essa exposição acontece até mesmo de forma “natural”. No uso do dia a dia, você alimenta a plataforma e quando vê, ela já possui suas informações visíveis para todos que acessem o seu perfil, a exemplo: onde estudou, onde mora, data de aniversário, sexo, opção sexual, ocupação, fotos, vinculo familiar, número de telefone e etc.
Além disso, é comum compras de produtos pelas redes sociais, onde o usuário faz o cadastro, registra dados e número de cartão de crédito na página e pronto, as informações já estão cadastradas em uma base estranha onde muitas vezes a página é falsa. Denominado, “Brushing scam” (trata-se de vendas falsas feitas via internet). É difícil medir o alcance de onde esses dados podem chegar mesmo após terem sido supostamente excluídos, até mesmo porque não há como saber se eles já foram compartilhados com terceiros ou utilizados para outras finalidades antes de você solicitar a exclusão definitiva.
Apesar disso, é possível exigir algumas garantias legais ao ente que trata dos seus dados, como: exigir que o controlador dos dados comprove utilização de medidas de segurança, informe com quem compartilha os dados de suas bases e exclua essas informações quando o titular assim o desejar, denominado “direito ao esquecimento”, faz-se presente quando a base utilizada é o consentimento quando o usuário der o “opt out” ou quando não houver mais vínculo entre o usuário e prestador de serviço. Entretanto, vale salientar que há exceções a essas hipóteses, onde os dados não podem ser excluídos em função de outras leis ou regulações específicas, o que geralmente é o tratamento de dados para finalidade pública, como segurança do cidadão.
À vista disso, é importante dizer que as informações devem ser coletadas e tratadas tão somente para fins legítimos e essenciais, pois de acordo com a Lei Geral de Proteção de Dados (LGPD), aquele que coleta, guarda e trata dados pessoais é o responsável pelo sigilo e a segurança desses dados, já que uma vez que as informações vêm a público é difícil reaver essa propriedade. Ainda assim, em hipótese de vazamento ou dano, hoje é possível processar este tratador de dados judicialmente ou, a partir de agosto deste ano(2021), denunciá-lo à Autoridade Nacional de Proteção de Dados, a qual caberá aplicação de sanções e multas previstas pela lei em caso de descumprimento da LGPD.
Amanda Ketre, analista jurídica da Spot Metrics.
