Vazamento de dados por órgãos públicos e as implicações jurídicas

Vazamento de dados por órgãos públicos e as implicações jurídicas

Andreia Mendes Silva e Gustavo Ramos*

19 de fevereiro de 2021 | 12h20

Andreia Mendes Silva e Gustavo Ramos. FOTOS: DIVULGAÇÃO

Em meados de janeiro de 2021 a empresa especializada em segurança digital da startup Psafe noticiou que dados de 223 milhões de CPFs estão sendo vendidos na internet[1]. Além dos CPFs, podem ser adquiridos através de transações por criptomoedas na deepweb: nomes, telefones, endereços, dados econômicos, financeiros, fiscais e previdenciários, escore de crédito, fotos, informações sobre veículos e CNH, entre outras.

A grande quantidade de informações vendidas leva especialistas a crer que não se trata de um único banco de dados vazado, mas da reunião de vários bancos de dados que, combinados, são capazes de gerar um perfil detalhado e minucioso sobre praticamente qualquer cidadão brasileiro[2].

Por reunir informações de escore de crédito, especula-se que parte dos dados podem ter origem em vazamento dos sistemas do Serasa Experian. Questionada, a empresa emitiu nota informando ter feito “uma investigação aprofundada que indica que não há correspondência entre os campos das pastas disponíveis na web com os campos de nossos sistemas onde o Serasa Score é carregado, nem o Mosaic”. Esclarece, ainda, que não viu evidências de que seus sistemas tenham sido comprometidos[3].

A existência de informações fiscais e previdenciárias, por sua vez, levanta a suspeita de vazamento de dados por órgãos públicos como Receita Federal e Instituto Nacional de Seguridade Social – INSS. Há ainda informações detalhadas de mais de 100 milhões de veículos, o que leva a crer que dados dos Departamentos Estaduais de Trânsito podem ter sido indevidamente compartilhados ou vazados. Os órgãos mencionados negam qualquer violação em seus sistemas e o vazamento de dados.

Entretanto, em 28/2/2019 o Ministério da Justiça e Segurança Pública emitiu nota informando que, atendendo à solicitação da própria Receita Federal, determinou à Polícia Federal que adote as providências necessárias à investigação de “vazamento de dados de análises fiscais que envolvem autoridades e seus familiares, além de outras 130 pessoas”[4]. A determinação se deu após notícia publicada pela revista Veja que revelou a existência de “investigação preliminar” instaurada pela Receita Federal contra o Ministro do Supremo Tribunal Federal Gilmar Mendes e sua esposa[5].

As acusações de irregularidades levaram o Ministério Público a apresentar Representação junto ao Tribunal de Contas da União – TCU que entendeu pela “fragilidade e deficiência nos processos de trabalho do órgão que podem comprometer a impessoalidade e a transparência no processo de seleção de contribuintes que serão submetidos à fiscalização”. Entendeu ainda que “o fluxo das informações não se encontra devidamente guarnecido de proteção, possuindo fragilidades que permitiriam, no caso que motivou a representação, que informações protegidas por sigilo fiscal fossem acessadas indevidamente por terceiros e divulgadas na imprensa”[6].

O vazamento de dados pessoais de aposentadas pelo INSS também não é novidade. Após denúncia do Instituto de Defesa do Consumidor – Idec, o INSS assumiu a “inegável fuga de informações” e “o aproveitamento indevido” das mesmas[7]. Sentença proferida pelo Juízo da 2ª Vara Federal de São Paulo em Ação Civil Pública proposta pelo Ministério Público Federal reconheceu que “de acordo com o conjunto probatório anexado aos autos, entendo que resta suficientemente demonstrado que há repasse de dados pessoais de beneficiários do INSS a empresas que prestam serviço de intermediação de empréstimos consignados entre as instituições bancárias e eventuais interessados. Entendo, portanto, deva ser acatado o pedido de condenação do INSS de obrigações de fazer, haja vista a necessidade de tomada de providência a fim de coibir a continuidade de divulgação de dados pessoais dos beneficiários dessa autarquia”[8].

Em recente decisão o Tribunal de Justiça do Distrito Federal e Territórios acolheu pedido do Ministério Público do Distrito Federal – MPDFT para condenar a Serasa à suspensão da comercialização de dados pessoais dos titulares por meio dos produtos “Lista Online” e “Prospecção de clientes”, sob pena de multa[9]. Conforme demonstrado pelo MPDFT, a empresa oferecia serviços em que qualquer pessoa pode comprar, por R$ 0,98 (noventa e oito centavos), informações como sexo, idade, poder aquisitivo, classe social, localização, modelos de afinidade e triagem de risco de um universo de 150.000.000 (cento e cinquenta milhões) de CPFs. Ainda não houve decisão final no processo.

Notícias de outubro de 2019 informam que uma falha no sistema do Departamento Estadual de Trânsito do Rio Grande do Norte – DETRAN/RN foi responsável pelo vazamento dos dados de 70 milhões de brasileiros[10]. O órgão informou em nota que “a equipe técnica de Informática sanou a falha ocorrida em seu sistema”. Acrescentou que “os dados dos usuários não foram afetados, assim como não houve interferência nos sistemas de Registro Nacional de Carteira de Habilitação (Renach) nem no Registro Nacional de Veículos Automotores (Renavam)” e que “a Direção-Geral do Detran está abrindo um procedimento administrativo para apurar o fato ocorrido”. Não há notícias sobre a efetiva apuração de responsabilidades. Dias após a notícia de venda de mais de 220 milhões de CPFs na deepweb tornou-se pública a falha de segurança nos sistemas do Detran-RS com a exposição de informações pessoais de 5,1 milhões de motoristas[11].

Há que se apontar, ainda, os ataques aos sistemas do Superior Tribunal de Justiça e Ministério da Saúde em que houve o bloqueio de informações e disponibilização de dados sigilosos de milhões de brasileiros.

Assim, em que pese as negativas formais emitidas pelos órgãos públicos e pelo Serasa no que se refere à hipótese de violação de seus bancos de dados quando associado à notícia de venda dos CPFs na deepweb, fatos ocorridos anteriormente comprovam que durante os últimos anos as mais variadas informações de cidadãos brasileiros têm sido vazadas ou mesmo comercializadas para um incalculável número de pessoas, não causando surpresa a venda de tais dados no presente momento.

Isso porque a invasão de bancos de dados de empresas e órgãos públicos para captura de dados, seja para a venda, seja para a exigência de pagamento de “recompensa” já era esperada com a iminência da vigência da Lei Geral de Proteção de Dados, nos mesmo moldes em que aconteceu na Europa com a vigência da GDPR[12]. Como forma de “lucrar” em cima de empresas temerosas da cominação de multas por parte da Autoridade Nacional de Proteção de Dados e o descrédito por parte do mercado, cibercriminosos se preparavam para isso há alguns anos[13]. A estratégia foi muito bem sucedida em diversos países europeus, quando empresas pagaram altas “recompensas” após terem seus sistemas bloqueados e sob a ameaça de vazamento dos dados[14].

Caso bastante similar foi reportado na Bulgária, quando a Agência Tributária do país, órgão similar à Receita Federal, teve uma violação de dados pessoais de mais de 7 milhões de cidadãos búlgaros. Após apuração da Autoridade Nacional de Proteção de Dados da Bulgária, o órgão foi multado em 2,9 milhões de dólares[15].

A questão que se coloca é que, no Brasil, conforme determinação legal, mesmo após 1º de agosto de 2021, quando for possível a aplicação de sanções por parte da Autoridade Nacional de Proteção de Dados, os órgãos públicos não poderão ser cominados ao pagamento de multas, havendo a previsão de poucas, e possivelmente insuficientes, sanções legais.

O art. 52, §3º, da LGPD estabelece serem aplicáveis às entidades e órgãos públicos as penas de advertência, publicização da infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, eliminação dos dados pessoais a que se refere a infração, suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo prazo máximo de 6 meses, suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo prazo máximo de 6 meses e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Ressalva, ainda, as penalidades previstas na Lei nº 8.112/90 (Estatuto do Servidor Público), Lei nº 8.429/92 (Lei de Improbidade Administrativa) e Lei nº 12.527/2011 (Lei de Acesso à Informação).

Dessa forma, a solução criada pela LGPD, na prática, retira a responsabilidade estatal, na medida em que impede qualquer punição séria às entidades e órgãos públicos, transferindo-a aos servidores públicos individualmente considerados que, nos termos das leis mencionadas pelo §3º do art. 52, podem sofrer a abertura de processo administrativo disciplinar ou ação judicial de improbidade administrativa quando comprovado o cometimento de falta funcional relacionada ao vazamento dos dados.

Veja-se que os exemplos de vazamento de dados citados acima, à exceção do Serasa, são todos relacionados a entidades integrantes da Administração Pública Federal com funções constitucionais e que, na prática, só podem ser punidos com as penas de advertência e publicização da infração. Como impor ao Instituto Nacional de Seguridade Social o bloqueio e, de forma ainda mais grave, a exclusão dos dados pessoais dos trabalhadores e trabalhadoras aposentados? Não existe possibilidade de impor aos Departamento Estaduais de Trânsito ou à Receita Federal a suspensão do exercício da atividade de tratamento de dados pessoais por determinado prazo, um dia que seja, pois os prejuízos à sociedade seriam imensuráveis.

A impossibilidade de interrupção dos serviços prestados pelos órgãos mencionados e o risco à sociedade com o vazamento dos dados foi consignada na Estratégia Nacional de Segurança Cibernética, aprovada pelo Decreto nº 10.222 de 5 de fevereiro de 2020, nos seguintes termos: “ressalta-se a importância de instrumentos normativos adequados à realidade brasileira que, de fato, contribuam para a proteção dos sistemas e de redes governamentais, uma vez que os serviços apoiados nesses recursos não podem sofrer interrupções, vazamento de dados ou serem alvos de outras ações danosas.”

Ademais, ressaltou-se:

Em ataques cibernéticos recentes, grupos de hackers têm considerado sistemas de governo como alvos compensadores, no intuito de provocar diferentes impactos, como: o potencial dano à imagem do Governo perante seu público interno e perante a comunidade internacional, o descrédito da população nos serviços públicos, a desconfiança de investidores internacionais na capacidade da administração pública em proteger seus próprios sistemas, a desconfiança nos processos eleitorais, e o descontentamento da população com relação à administração pública.

O documento estabelece diversas diretrizes que, segundo a Política Nacional de Segurança da Informação (Decreto nº 9.637/2018), tem por objetivo melhorar a segurança e a resiliência das infraestruturas críticas e dos serviços públicos nacionais, entre elas o fortalecimentos de ações de governança cibernética, o estabelecimento centralizado de governança no âmbito nacional, a elevação do nível de proteção do governo e das infraestruturas críticas nacional, o aprimoramento do arcabouço legal sobre segurança cibernética, dentre outros.

O que se vê, entretanto, são notícias quase semanais de violação dos sistemas de segurança de órgãos públicos e o vazamento e publicização dos dados pessoais de cidadãos brasileiros que ficam disponíveis na internet sem qualquer resposta efetiva pelo Estado Brasileiro[16].

O art. 29 da LGPD prevê que a ANPD poderá solicitar, a qualquer momento, aos órgãos e entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento da lei. Até o momento, entretanto, não há notícia de que, efetivamente, algum órgão público envolvido no vazamento de dados pessoais tenha sido efetivamente demandado por parte da ANPD a prestar esclarecimentos. Diante de tal inércia, inclusive, parlamentares apresentaram junto à Presidência da Câmara dos Deputados um requerimento de comparecimento do Diretor-Presidente da ANPD para “prestar esclarecimentos sobre os recentes vazamentos de dados, que deixaram expostos 223 milhões de CPFs de cidadãs e cidadãos brasileiros”.[17]

Por ora, inexistindo previsão legal de punição dos órgãos públicos pelo vazamento de dados pessoais, e tendo em vista a fragilidade dos sistemas, que são invadidos diuturnamente, resta ao cidadão brasileiro ficar atento às possíveis operações envolvendo seu nome, como abertura de cadastros e crédito, de maneira a evitar maiores problemas, e aos servidores públicos fica a ameaça constante de virem a responder processo administrativo disciplinar ou ação de improbidade, mesmo sem ter qualquer culpa, diante da  não adoção de medidas técnicas e administrativas eficazes por parte dos poderes públicos.

Para além disso, ainda que inexista previsão legal de cominação de multas pela ANPD ao poder público, o ordenamento jurídico brasileiro garante o direito de indenização sempre que comprovado o dano, seja ele material ou moral, plenamente aplicável em casos de vazamento de dados.

*Andreia Mendes Silva é advogada da Unidade Brasília do escritório Mauro Menezes & Advogados

 *Gustavo Ramos é advogado com atuação perante o STF, professor em pós-graduação de Direito do Trabalho, mestre em Direito das Relações Sociais e Trabalhistas e sócio de Mauro Menezes & Advogados

[1] https://canaltech.com.br/seguranca/vazamento-de-dados-pode-ter-exposto-cpf-de-quase-toda-a-populacao-brasileira-177669/

[2] https://www.uol.com.br/tilt/noticias/redacao/2021/01/28/vazamento-expoe-dados-de-220-mi-de-brasileiros-origem-pode-ser-cruzada.htm

[3] https://www.uol.com.br/tilt/noticias/redacao/2021/01/28/vazamento-expoe-dados-de-220-mi-de-brasileiros-origem-pode-ser-cruzada.htm

[4] https://www.justica.gov.br/news/collective-nitf-content-1551383415.21

[5] https://veja.abril.com.br/blog/radar/receita-abre-investigacao-sobre-patrimonio-de-gilmar-mendes/

[6] Acórdão 2118/2020, REPR 005576/2019-9, Relator Ministro Bruno Dantas, Julgado em 12/08/2020

[7] https://idec.org.br/noticia/apos-denuncia-do-idec-inss-admite-vazamento-de-dados-de-aposentados

[8] Ação Civil Pública nº 0017291-65.2016.4.03.6100, 2ª Vara Federal da Seção Judiciária de São Paulo Capital, Publicação em 28/05/2019.

[9] Agravo de Instrumento nº 074976529.2020.8.07.0000, Relator Desembargador Cesar Loyola, Decisão publicada em 24/11/2020.

[10] https://www.tecmundo.com.br/seguranca/146780-falha-detran-vaza-dados-70-milhoes-brasileiros-cnh.htm

[11] https://www.uol.com.br/tilt/noticias/redacao/2021/01/29/falha-de-seguranca-no-detran-rs-expos-dados-de-mais-de-51-mi-de-motoristas.htm

https://tecnoblog.net/406931/5-1-milhoes-de-motoristas-tem-documentos-expostos-em-falha-do-detran-rs/

[12] https://minutodaseguranca.blog.br/resgates-de-ransomwares-movimentam-o-crime/

[13] https://www.cisoadvisor.com.br/cibercrime-esta-guardando-vazamentos-para-chantagear-apos-lgpd/

[14] https://tiinside.com.br/01/02/2017/hotel-europeu-paga-resgate-hackers-que-bloquearam-acesso-quartos/

https://g1.globo.com/tecnologia/noticia/ataque-de-hackers-sem-precedentes-provoca-alerta-no-mundo.ghtml

[15] https://www.reuters.com/article/us-bulgaria-cybersecurity-fine-idUSKCN1VJ0YY

[16] https://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=56033&sid=18

[17] REQ 112/2021

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.