Rubens de Almeida, Engenheiro e Jornalista. Dedicado a temas urbanos e organização de dados sobre mapas digitais e fundador do grupo de estudos GisBI de Big Data e Geotecnologias
Eduardo de Rezende Francisco, Professor de Data Science e GeoAnalytics da FGV EAESP e fundador do grupo de estudos GisBI de Big Data e Geotecnologias
O vazamento de dados de pessoas físicas ocorre muito mais vezes do que supõe a imprensa e a população.
Nas últimas semanas, a notícia de que houve um grande vazamento de dados pessoais dos brasileiros foi manchete em inúmeros veículos e ganhou destaque nos telejornais. O alerta sobre esse tipo de ocorrência ganhou status de furo jornalístico recentemente, mas o que a imprensa e a população não sabem (ou esquecem de anotar) é que esse tipo de vazamento de informações ocorre há muito mais tempo - e com muito mais frequência - do que supõem. Constitui um fenômeno social razoavelmente comum, mas que agora, desde que entrou em vigor a LGPD - Lei Geral de Proteção de Dados (pessoais), adquiriu um caráter de denúncia "inédita".
Se a gente lembrar bem, os dados de contato (endereço e telefone) "vazam" desde os tempos das listas telefônicas, aquelas brochuras enormes pesadas, no formato de uma revista, com uma lombada de 10 ou 15 cm, letra pequenininha e distribuição gratuita "aos assinantes". Nelas, nossos pais e avós procuravam por nome ou endereço qual era o telefone de tal pessoa ou empresa. Poucos devem se lembrar que era praticamente obrigatória a publicação de seu telefone nas listas e nossos pais e avós faziam questão que o deles estivesse lá. Todas as cidades ou regiões metropolitanas tinham o seu guia de assinantes ou endereços e, inclusive, sua publicação era uma atribuição da empresa concessionária da telefonia local.
Então o vazamento de dados das pessoas não é importante? Claro que é. Mais do que isso: é um problema gravíssimo, hoje com punição exemplar pela LGPD.
Ocorre que apesar da boa legislação recente, há uma grande confusão sobre o controle de dados privados no Brasil na cabeça dos brasileiros e, principalmente, das autoridades - e até do Ministério Público, órgão responsável pelas investigações em caso de vazamentos.
Primeiro é preciso diferenciar e entender que há níveis de privacidade a serem respeitados e que para empresas (pessoas jurídicas) não se aplica a mesma legislação das pessoas físicas. Para pessoas jurídicas, não há privacidade. Não faz sentido esconder telefones, endereços físicos ou mesmo e-mails de contato de empresas que atuam em seus mercados e, supostamente, o fazem exatamente para serem encontradas e assim venderem seus produtos e serviços.
Mais do que isso: a atividade empresarial, pasmem, é uma concessão do Estado e os dados do negócio precisam ser e são públicos. Ao abrir uma empresa, simbolicamente um novo empresário "avisa" a sociedade que exercerá determinada atividade naquele lugar específico. Entendeu agora a razão de toda burocracia e papelada? Em algum lugar dos arquivos das repartições públicas há documentos que registram a intenção de um sujeito prestar um serviço, fabricar alguma coisa ou explorar, preparar e transformar coisas da natureza em produtos de consumo. Mais ainda, esse "aviso" ocorre através de publicação em algum diário oficial em nosso país - municipal, estadual ou mesmo federal - em que constam nome, razão social, CNPJ, atividades econômicas da empresa e endereço da matriz e eventuais filiais. Tudo de caráter público.
Além disso, o Estado tem mecanismos de acompanhamento dessa atividade que precisam ser efetivados para que as ações de planejamento dos governos possam acontecer, prevendo aumentos na oferta de energia, infraestrutura das cidades, capacidade de atendimento na saúde, construção de estradas para o transporte e assim por diante.
Por exemplo, os empregos gerados por cada atividade empresarial são registrados e comunicados aos órgãos competentes anualmente (RAIS) e suas variações mensalmente (CAGED). A RAIS registra o nome, idade, valor do salário, o pagamento do abono de férias e muito mais. Esses dados não são públicos e não poderiam ser disponibilizados. Mas há pessoas do governo e entidades sociais que têm acesso a eles para fazer análises importantíssimas, exatamente para apoiar a visão de como a sociedade está se organizando, se há maior ou menor movimentação econômica aqui ou ali. Os do CAGED são públicos, mas apenas resumem os números agregados de admissões e demissões registradas no período, em cada uma das tipologias de negócios, por regiões.
Esses dados, portanto, circulam por aí e a depender da confiabilidade do agente social que os manipula, podem ficar à disposição de personagens não previstos pela legislação que os regula. E não dá para ser de outro jeito, pois eles precisam existir e os mecanismos de controle frágeis, caso haja más intenções não previstas pela legislação.
O que mais escandaliza alguns jornalistas e seus leitores/espectadores, porém, é quando o "vazamento" refere-se a dados de pessoas (milhões de CPFs), em tese, protegidos pela LGPD. Para quem trabalha com dados, como desenvolvedores de software mais experientes, as denúncias parecem ingênuas. E debocham: "há CDs sendo vendidos na rua Santa Ifigênia com todos os Impostos de Renda PF do Brasil"!
Geralmente, essas informações sobre pessoas disponibilizadas nas ruas de São Paulo (Santa Ifigênia é o grande exemplo paulistano) e certamente de outras capitais são de "coletas" de anos anteriores estão também na deep web. E as origens podem ser muitas, até mesmo de órgãos públicos ou sistemas de aprovação de crédito que têm a função de acompanhar a vida econômica da população.
E o problema provoca reações estranhas nos órgãos de imprensa, principalmente na mídia televisiva. Há telejornais que nunca colocam o nome das empresas entrevistadas, mas nesses casos específicos, fazem questão de colocar o nome da companhia à qual pertencem "os especialistas" que alertam a população. Ou seja, o "enorme vazamento dos dados" pode ter se tornado uma boa oportunidade de apresentar soluções sensacionais de segurança da informação para os governos e população escandalizados.
Os mais experientes do mercado, porém, lembram-se muito bem de uma espécie de manifesto hacker dos anos 90, um vídeo tosco com cenas dos videogames da época onde os personagens avisavam: "all your bases are belong to us" (em tradução livre, "todos os seus dados estão conosco"), seguidos de uma sequência de imagens significativas com essa frase expostas em faixas e fachadas do mundo todo.
O fato é que todos os nossos dados são hoje coletados e armazenados em sistemas das mais diversas origens e funções e são conservados em grandes bancos de dados hoje potencializados pelas tecnologias e facilidades do conceito tecnológico de big data. Seja em uma compra online, na encomenda de um restaurante, na chamada de um aplicativo de transporte, ao declarar nossos impostos, ao responder ao telemarketing, ao se movimentar com um celular e em muitas outras atividades que realizamos com o nosso aparelhinho de bolso.
Sem falar das redes sociais que marcam seus usuários com as preferências, comentários, sites mais visitados, buscas efetuadas e fazem o cruzamento de informações que às vezes nos assustam quando recebemos uma oferta na tela do computador ou do smartphone, exatamente do que estávamos comentando há pouco com um amigo, ou que pesquisamos em outro dispositivo ou mídia.
Ou seja, "all your bases already belong to us". Realmente! E sem pudor algum.
A LGPD orienta que o uso desses dados para ações de contato direto por quem os detém devem ser autorizadas, no mínimo por um processo que os técnicos chamam de opt-in - aquela bolinha que clicamos quase sem pensar quando o sistema pergunta se autorizamos o envio de mais informações. A LGPD, inspirada na GDPR (General Data Protection Regulation) europeia, estabelece que esse opt-in do dono ou gerador da informação é prerrogativa para o compartilhamento dos dados. Mas há, ainda, muita confusão, até de grandes empresas imobiliárias, de serviços e em especial de telefonia que continuam abusando de seus cadastros e nos contatando várias vezes por dia impunemente, algumas vezes até mesmo quando já somos clientes deles.
A LGPD foi um passo importante. Um pouco exagerado e nem sempre efetivo - criou uma espécie de ojeriza pelos perigos das novas tecnologias, sem dar mecanismos de controle imediato - mas talvez esteja na medida certa para despertar a população para o problema. Nos próximos anos, teremos que discutir e legislar muito mais sobre o tema. Mas não deveríamos mais nos concentrarmos em tentar controlar a captura de dados. Essa batalha já foi perdida. O tema terá que ser a definição de melhores critérios de uso e mecanismos de denúncia, controle, restrições e reações imediatas aos abusos. Inclusive de governos e aparelhos de estado.
Seus dados vazaram? Relaxe e aproveite as facilidades da tecnologia. E previna-se de eventuais clonagens usando a segurança de dois fatores de seus softwares.
