Falamos constantemente sobre a importância e relevância dos dados na economia moderna, e do valor que os dados têm para as empresas. Como tudo, o valor dos dados também tem um lado negativo: quanto mais valiosas as informações ficam, mais se tornam alvo de criminosos. A onda crescente de vazamentos e roubos de dados está diretamente relacionada com o valor cada vez maior que esses dados têm, para o bem e para o mal.
Parte do valor de dados que são roubados é a sua capacidade de alimentar outras cadeias criminosas. Números de cartão de crédito podem ser utilizados para realizar a compra de produtos de maneira ilegal em lojas online. Dados pessoais podem ser utilizados para a abertura de contas ou cadastros em serviços financeiros, originando empréstimos, saques e outras perdas financeiras. Código-fonte pode ser utilizado para a criação de outros tipos de ataques cibernéticos, que, por sua vez, vão fazer parte de outras cadeias de crimes.
Nem todas as “saídas” para os dados roubados, no entanto, são para mercados ilegais. Infelizmente, temos no mercado hoje uma série de empresas legítimas e supostamente idôneas que compram dados indevidos, seja de forma proposital ou não. Algumas dessas empresas compram informações indevidas sem conhecer a origem da informação que estão adquirindo. São enganadas por seus fornecedores, seja porque não têm os processos adequados para identificar dados indevidos, ou porque preferem não perguntar de onde as informações estão vindo para não tomar conhecimento de nenhum problema.
Um exemplo frequente desse tipo de situação é a utilização de informações que vêm de plataformas de mídias sociais. A utilização de dados coletados das mídias sociais é perfeitamente legítima, desde que a coleta dos dados tenha sido realizada com o consentimento pleno do usuário, e que a empresa que está utilizando os dados é quem fez a coleta dos mesmos. A venda de dados coletados para terceiros é proibida nos termos de uso das plataformas, e engana-se quem acha que isso não é um problema.
Outras empresas, no entanto, dão vazão para dados impróprios de forma mais direta. Mesmo sabendo que as informações não são legítimas, elas efetuam a compra, porque seus concorrentes seguem a mesma prática, e porque acreditam que suas infrações não vão ser detectadas pelos órgãos regulatórios, uma vez que o uso desses dados é praticamente invisível para os clientes finais, titulares dos dados. Esses dois grupos formam uma significativa “faixa cinza” na economia de dados, de empresas que compram informações obtidas de forma indevida e que, por consequência, estimulam o mercado negro dos dados, de informações que são desviadas de fontes corretas, e obtidas de maneira imprópria.
O conceito de responsabilidade compartilhada da LGPD surge em parte para endereçar essa falta de responsabilidade. Segundo a lei, toda a cadeia de empresas que está associada a uma informação é corresponsável, ou seja, se for identificado um problema em um fornecedor de dados, todas as empresas que compram e usam os dados desse fornecedor podem ser arrastadas e penalizadas. A falta de conhecimento de onde um dado está vindo, ou a simples declaração de idoneidade de um fornecedor, não é mais suficiente para proteger quem está utilizando dados de forma indevida.
E a responsabilidade compartilhada também vale na outra direção. Se um problema é identificado na ponta da cadeia, todos os fornecedores que fizeram parte do processo de coleta, tratamento e utilização da informação tem que responder pelo mau-uso dos dados. Com isso, a LGPD cria um risco jurídico claro para quem está usando dados indevidos.
A questão, no entanto, vai muito além da legislação. Evitar utilizar informações indevidas é uma questão de responsabilidade social para as empresas. Da mesma forma que a falta de controle em marketplaces online possibilita a venda de mercadorias roubadas nessas plataformas, dando liquidez para criminosos, a compra ou utilização de dados “cinzas” cria um incentivo perverso para que cada vez mais ataques e roubos de dados aconteçam, porque gera liquidez financeira para esses dados. Para realmente resolvermos a questão da segurança digital e da proteção dos dados, as medidas tecnológicas e legais não são suficientes. Precisamos mudar os incentivos econômicos que motivam muitos dos ataques, e isso é uma responsabilidade de todos os profissionais e empresas que acreditam na importância das informações para o futuro dos negócios.
Thoran Rodrigues, Fundador e CEO da BigDataCorp
