A pandemia trouxe impactos à vida cotidiana de todos, e, indiscutivelmente, o aumento da conectividade. Aulas on-line, trabalho em home-office, compras por e-commerce e, até mesmo, o lazer nas redes sociais e plataformas não apenas aceleraram a transformação digital, mas também geraram riscos substanciais de uso indevido de dados, ante a intensa exposição cibernética de empresas e usuários.
Munidos de informações valiosas oriundas de vazamentos de dados, que passam a circular em fóruns na internet e na dark web após vazamentos, cyber criminosos criaram táticas ainda mais convincentes para enganar usuários e fazer novas vítimas, como, por exemplo, criar contas bancárias, fazer compras online, realizar solicitação de empréstimos e saques de benefícios, como FGTS e auxílio emergencial.
Episódios recentes de incidentes de segurança que revelaram dados pessoais vazados de brasileiros (como o mega vazamento ocorrido em janeiro, de 223 milhões de CPFs e 40 milhões de CNPJs, e o mais recente, envolvendo 395 mil chaves do sistema Pix), acendem um alerta e geram questionamentos quanto à efetividade da legislação brasileira para coibir o uso desautorizado e ilícito de dados pessoais.
Em vigor desde agosto de 2020, a Lei Geral de Proteção de Dados (Lei n. 13.709/2019 ou "LGPD") é uma legislação que busca trazer maior proteção aos titulares de dados pessoais e usuários da internet, estabelecendo às empresas uma série de responsabilidades e obrigações quanto ao tratamento de dados, bem como a possibilidade de imposição de sanções, que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados ("ANPD"), incluindo multas de até R$ 50 milhões.
Além da LGPD, o legislativo brasileiro brindou-nos com mais uma iniciativa, dessa vez com a finalidade de inibir a prática de condutas criminosas por meio digital: a Nova Lei de Crimes Cibernéticos (Lei 14.155/ 2021), que entrou em vigor em maio de 2021, alterou o Código Penal, para tornar mais duras as penas do crime de invasão de dispositivo informático, como celulares, smartphones, computadores e tablets, além de fraudes praticadas por meio eletrônico.
O crime do art. 154-A do Código Penal é aquele em que o criminoso invade dispositivo informático com o fim de obter, adulterar ou destruir dados ou informações sem autorização do usuário, ou, ainda, de instalar vulnerabilidades para obter vantagem ilícita. Tal conduta é punida com reclusão de 1 a 4 anos, e multa, podendo, ainda, haver um incremento de um a dois terços, se a invasão resultar em prejuízo econômico (antes a pena era de detenção de 3 meses a 1 ano, e multa). A nova lei também aumentou a pena máxima de 2 para 5 anos de reclusão, além de multa, se a invasão provocar obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas ou o controle remoto não autorizado do dispositivo invadido.
A Lei criou, ainda, qualificadoras para os crimes de furto e estelionato, quando praticados mediante fraude eletrônica, com previsão de pena de reclusão de 4 a 8 anos. O alto patamar estabelecido para a pena mínima aplicável aos mencionados crimes - que tem o condão de alterar o regime inicial de cumprimento de pena -, somado às causas de aumento quando os crimes forem praticados contra idosos ou vulneráveis evidenciam a intenção do legislador de dar uma resposta ao significativo aumento de ocorrências, punindo seus autores com maior rigor.
Sabe-se, todavia, que o mero incremento de penas não é medida suficiente para a inibição da prática de crimes. A efetiva repressão aos crimes cibernéticos exige um qualificado trabalho investigativo pelo aparato estatal, acompanhado do necessário aprimoramento técnico dos agentes policiais, que devem estar munidos de equipamentos modernos e adequados para a apuração dos fatos e identificação dos autores, que se escodem no meio digital.
Além disso, a fiscalização de órgãos como a ANPD, autarquia criada para fiscalizar e regulamentar a LGPD, é de suma importância, não apenas para garantir que as empresas e os agentes de tratamento empenhem as melhores práticas de segurança da informação na coleta e armazenamento dos dados pessoais fornecidos pelos titulares, mas também para evitar que o insumo necessário para os golpes chegue às mãos dos hackers.
Por fim, sublinha-se que a transformação na postura do mercado, com a valorização das empresas em compliance com a LGPD, constitui também uma chave importante para a redução do uso indevido de dados e para a inibição da prática de atos ilícitos que prejudicam cada dia mais pessoais de todas as idades, escolaridades e níveis sociais.
*Emília Malacarne e Marcela Joelsons, sócias das áreas de Penal Empresarial e Proteção de Dados da Souto Correa Advogados
