A proteção de dados é um dos maiores desafios que o Direito contemporâneo enfrenta, em virtude da acelerada transformação digital que a nossa sociedade atravessa. As novas tecnologias, tão presentes no nosso dia a dia, se alimentam de muitos dados. Acredite que até mesmo quando estamos dormindo compartilhamos dados, como por exemplo a nossa geolocalização.
Lá se vão algumas décadas desde que o avanço da tecnologia, ao possibilitar o processamento automatizado de dados, trouxe essas preocupações. O velho mundo percebeu que já não bastava apenas a proteção da intimidade e da privacidade, mas era necessário garantir também a proteção dos dados pessoais. Isso porque os nossos dados dizem muito a nosso respeito, eles são uma extensão da nossa própria personalidade e, portanto, precisam ser protegidos. A ideia nunca foi proibir o uso dos dados, muito pelo contrário, o que se buscou foi incentivar a inovação tecnológica, o desenvolvimento econômico e o livre fluxo globalizado dos dados, garantindo, ao mesmo tempo, a necessária segurança aos titulares de dados, através do estabelecimento de regras para o uso adequado e leal desses dados.
É inegável que a nossa economia é movida a dados, os quais são ativos de imensurável valor. “Nossas vidas, traduzidas em dados, são a matéria-prima da economia de vigilância” [1], o que significa que todos nós somos monitorados constantemente, e tais informações são utilizadas para diversas finalidades, sem que, muitas das vezes, nós sequer saibamos. “Se por um lado, a tecnologia traz inegáveis benefícios à sociedade como um todo, cria, por outro lado, problemas à proteção da privacidade” [2].
Em decorrência da pandemia do coronavírus, como as pessoas, em regra, só podiam sair de suas casas quando estritamente necessário, em respeito às medidas sanitárias estabelecidas pelo poder público, o uso da tecnologia se intensificou e podemos tranquilamente afirmar que avançamos anos em apenas alguns meses: governo e empresas tiveram de digitalizar seus serviços e rapidamente se fizeram presentes no mundo online. De repente, para desempenharmos as mais diversas atividades do cotidiano, das mais simples às mais complexas, passamos a depender da tecnologia. A nossa vida, social e profissional, se virtualizou e, sem uma sólida educação digital, a preocupação com a privacidade e a proteção de dados passou despercebida para muitos, o que estabeleceu um cenário propício para o aumento dos crimes cibernéticos, tais como fraudes e golpes através da engenharia social, afetando pessoas e organizações.
Com relação ao phishing, pode-se dizer que consiste em uma fraude por meio da internet em que usuários recebem em seus e-mails mensagens de grandes organizações com aparência de veracidade. Os fraudadores enviam links e solicitam alguns dados pessoais para fins de “atualização dos bancos de dados”; outro exemplo é quando os usuários recebem falsos boletos com aparência de terem sido expedidos pela organização em que o consumidor/titular de dados pessoais possui um vínculo. O autor da fraude tenta “pescar” a sua vítima, que é seduzida a clicar no link enviado e, com isso, “aciona o download de um programa malicioso que vai penetrar no seu computador e capturar informações ali armazenadas” [4].
No que tange à engenharia social, esta consiste em uma ameaça humana intencional, em que a pessoa consegue enganar uma outra, mediante a exploração dos seus pontos fracos para conseguir o que deseja [5]. Um exemplo de engenharia social é o caso do “golpe do motoboy”, em que, em suma, um grupo bem articulado, munido de todos os dados pessoais da sua vítima — preferencialmente idosa e sem aptidões tecnológicas —, realiza ligações telefônicas se passando por colaboradores da instituição financeira da vítima, e a informa sobre transações suspeitas em seu cartão de crédito. Em seguida, informa um número da “central de relacionamento” e, quando a vítima realiza a ligação, acaba confirmando todos os seus dados pessoais, bem como é orientada a entregar o cartão de crédito ao suposto “colaborador” da instituição financeira que comparece imediatamente em sua residência.
Um outro exemplo de engenharia social verifica-se no filme “Prenda-se se for capaz”, que relata a história verídica de Frank Abagnale Jr., o qual aplicou inúmeros golpes contra instituições financeiras, em decorrência de suas habilidades sociais, mediante a adoção de identidades falsas.
O fato é que, para que as pessoas não sejam vítimas desses golpes que se tornaram tão usuais, é imprescindível que haja a introjeção da cultura de proteção de dados. Contudo, diferentemente da União Europeia, que há décadas possui legislações de proteção de dados, estando esse direito, inclusive, previsto na Carta dos Direitos Fundamentais de 2000. O Brasil não tinha um marco regulatório geral, mas apenas leis esparsas que tratavam do tema.
Foi somente com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 ou LGPD), em setembro de 2020, e do elevado índice de crimes cibernéticos e demais golpes que se tornaram muito frequentes com a pandemia, que a sociedade passou a debater o tema, que, inclusive, passou a fazer parte quase que diariamente dos noticiários.
Mesmo após um ano de vigência da lei, a grande maioria das empresas ainda não se encontra adequada aos parâmetros legais. Segundo pesquisa realizada pelo Sebrae, 73% das empresas entrevistadas não conhece a LGPD [6].
Por outro lado, verifica-se que algumas organizações não estão investindo na conscientização dos colaboradores sobre a relevância da proteção dos seus dados pessoais e ainda não iniciaram a adequação à LGPD [7], por possuírem a visão equivocada de que a lei é mais um elevado gasto, e não um investimento. Muitas empresas foram vítimas de golpes cibernéticos e tanto para os casos de phishing quanto de engenharia social, o investimento das organizações em treinamentos, mediante a demonstração de casos concretos ocorridos, faz toda a diferença para a conscientização contínua dos colaboradores. É fundamental que as organizações invistam na segurança da informação através da adoção de medidas de segurança técnicas, físicas e administrativas, a fim de proteger os dados pessoais dos titulares.
Estudos demonstram que estar compliance com a lei, o que significa a observância das regras para o tratamento de dados presentes na LGPD, incluindo a adoção de medidas de segurança aptas a proteger os dados pessoais, mas não apenas isso, tornou-se uma vantagem competitiva perante o concorrente, aumentando a confiança dos clientes, a reputação, a lucratividade e reduzindo o risco de violação de dados pessoais. A privacidade, portanto, se tornou um requisito inegociável para o mercado [8].
Por fim, vale salientar que muitas organizações demoram anos para a consolidação da sua marca, mas a ocorrência de um único incidente de segurança pode comprometer a sua imagem e destruir a sua credibilidade perante o mercado, afetando a sua relação com clientes, fornecedores e parceiros comerciais.
A proteção de dados é um dos maiores desafios que o Direito contemporâneo enfrenta, em virtude da acelerada transformação digital que a nossa sociedade atravessa. As novas tecnologias, tão presentes no nosso dia a dia, se alimentam de muitos dados. Acredite que até mesmo quando estamos dormindo compartilhamos dados, como por exemplo a nossa geolocalização.
Lá se vão algumas décadas desde que o avanço da tecnologia, ao possibilitar o processamento automatizado de dados, trouxe essas preocupações. O velho mundo percebeu que já não bastava apenas a proteção da intimidade e da privacidade, mas era necessário garantir também a proteção dos dados pessoais. Isso porque os nossos dados dizem muito a nosso respeito, eles são uma extensão da nossa própria personalidade e, portanto, precisam ser protegidos. A ideia nunca foi proibir o uso dos dados, muito pelo contrário, o que se buscou foi incentivar a inovação tecnológica, o desenvolvimento econômico e o livre fluxo globalizado dos dados, garantindo, ao mesmo tempo, a necessária segurança aos titulares de dados, através do estabelecimento de regras para o uso adequado e leal desses dados.
É inegável que a nossa economia é movida a dados, os quais são ativos de imensurável valor. “Nossas vidas, traduzidas em dados, são a matéria-prima da economia de vigilância” [1], o que significa que todos nós somos monitorados constantemente, e tais informações são utilizadas para diversas finalidades, sem que, muitas das vezes, nós sequer saibamos. “Se por um lado, a tecnologia traz inegáveis benefícios à sociedade como um todo, cria, por outro lado, problemas à proteção da privacidade” [2].
Em decorrência da pandemia do coronavírus, como as pessoas, em regra, só podiam sair de suas casas quando estritamente necessário, em respeito às medidas sanitárias estabelecidas pelo poder público, o uso da tecnologia se intensificou e podemos tranquilamente afirmar que avançamos anos em apenas alguns meses: governo e empresas tiveram de digitalizar seus serviços e rapidamente se fizeram presentes no mundo online. De repente, para desempenharmos as mais diversas atividades do cotidiano, das mais simples às mais complexas, passamos a depender da tecnologia. A nossa vida, social e profissional, se virtualizou e, sem uma sólida educação digital, a preocupação com a privacidade e a proteção de dados passou despercebida para muitos, o que estabeleceu um cenário propício para o aumento dos crimes cibernéticos, tais como fraudes e golpes através da engenharia social, afetando pessoas e organizações.
Com relação ao phishing, pode-se dizer que consiste em uma fraude por meio da internet em que usuários recebem em seus e-mails mensagens de grandes organizações com aparência de veracidade. Os fraudadores enviam links e solicitam alguns dados pessoais para fins de “atualização dos bancos de dados”; outro exemplo é quando os usuários recebem falsos boletos com aparência de terem sido expedidos pela organização em que o consumidor/titular de dados pessoais possui um vínculo. O autor da fraude tenta “pescar” a sua vítima, que é seduzida a clicar no link enviado e, com isso, “aciona o download de um programa malicioso que vai penetrar no seu computador e capturar informações ali armazenadas” [4].
No que tange à engenharia social, esta consiste em uma ameaça humana intencional, em que a pessoa consegue enganar uma outra, mediante a exploração dos seus pontos fracos para conseguir o que deseja [5]. Um exemplo de engenharia social é o caso do “golpe do motoboy”, em que, em suma, um grupo bem articulado, munido de todos os dados pessoais da sua vítima — preferencialmente idosa e sem aptidões tecnológicas —, realiza ligações telefônicas se passando por colaboradores da instituição financeira da vítima, e a informa sobre transações suspeitas em seu cartão de crédito. Em seguida, informa um número da “central de relacionamento” e, quando a vítima realiza a ligação, acaba confirmando todos os seus dados pessoais, bem como é orientada a entregar o cartão de crédito ao suposto “colaborador” da instituição financeira que comparece imediatamente em sua residência.
Um outro exemplo de engenharia social verifica-se no filme “Prenda-se se for capaz”, que relata a história verídica de Frank Abagnale Jr., o qual aplicou inúmeros golpes contra instituições financeiras, em decorrência de suas habilidades sociais, mediante a adoção de identidades falsas.
O fato é que, para que as pessoas não sejam vítimas desses golpes que se tornaram tão usuais, é imprescindível que haja a introjeção da cultura de proteção de dados. Contudo, diferentemente da União Europeia, que há décadas possui legislações de proteção de dados, estando esse direito, inclusive, previsto na Carta dos Direitos Fundamentais de 2000. O Brasil não tinha um marco regulatório geral, mas apenas leis esparsas que tratavam do tema.
Foi somente com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 ou LGPD), em setembro de 2020, e do elevado índice de crimes cibernéticos e demais golpes que se tornaram muito frequentes com a pandemia, que a sociedade passou a debater o tema, que, inclusive, passou a fazer parte quase que diariamente dos noticiários.
Mesmo após um ano de vigência da lei, a grande maioria das empresas ainda não se encontra adequada aos parâmetros legais. Segundo pesquisa realizada pelo Sebrae, 73% das empresas entrevistadas não conhece a LGPD [6].
Por outro lado, verifica-se que algumas organizações não estão investindo na conscientização dos colaboradores sobre a relevância da proteção dos seus dados pessoais e ainda não iniciaram a adequação à LGPD [7], por possuírem a visão equivocada de que a lei é mais um elevado gasto, e não um investimento. Muitas empresas foram vítimas de golpes cibernéticos e tanto para os casos de phishing quanto de engenharia social, o investimento das organizações em treinamentos, mediante a demonstração de casos concretos ocorridos, faz toda a diferença para a conscientização contínua dos colaboradores. É fundamental que as organizações invistam na segurança da informação através da adoção de medidas de segurança técnicas, físicas e administrativas, a fim de proteger os dados pessoais dos titulares.
Estudos demonstram que estar compliance com a lei, o que significa a observância das regras para o tratamento de dados presentes na LGPD, incluindo a adoção de medidas de segurança aptas a proteger os dados pessoais, mas não apenas isso, tornou-se uma vantagem competitiva perante o concorrente, aumentando a confiança dos clientes, a reputação, a lucratividade e reduzindo o risco de violação de dados pessoais. A privacidade, portanto, se tornou um requisito inegociável para o mercado [8].
Por fim, vale salientar que muitas organizações demoram anos para a consolidação da sua marca, mas a ocorrência de um único incidente de segurança pode comprometer a sua imagem e destruir a sua credibilidade perante o mercado, afetando a sua relação com clientes, fornecedores e parceiros comerciais.
[1] VÉLIZ, Carissa. Privacidade é poder: por que e como você deveria retomar o controle de seus dados. Tradução de Samuel Oliveira. 1. ed. São Paulo: Editora Contracorrente, 2021. p. 23.
[2] MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da hiperconectividade. 2. ed. Porto Alegre: Arquipélago Editorial, 2019. p. 89.
[3] CASTELLS, Manuel. A galáxia da internet: reflexões sobre a internet, os negócios e a sociedade. Tradução de Maria Luiza X. de A. Borges. Rio de Janeiro: Zahar, 2003. p. 144.
[4] MARTINS, Guilherme Magalhães. Responsabilidade Civil por Acidente de Consumo na Internet. 3. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2020. p. 258.
[5] HINTZBERGEN, Jule; HINTZBERGEN, Kees; SMULDERS, André e BAARS, Hans. Fundamentos de Segurança da Informação: com base na ISO 27.001 e na ISO 27.002. Tradução: Alan de Sá. Rio de Janeiro: Brasport, 2018. p. 43-44.
[6] Pesquisa revela panorama LGPD em empresas de Santa Catarina – Sebrae. Disponível em: https://www.Sebrae.com.br/sites/PortalSebrae/ufs/sc/noticias/pesquisa-revela-panorama-lgpd-em-empresas-de-santa-catarina,6943effb9f419710VgnVCM100000d701210aRCRD. Acesso em: 28 set. 2021.
[7] Acerca da proteção de dados, entende Stefano Rodotà que: “a proteção de dados constitui não apenas um direito fundamental entre outros: é o mais expressivo da condição humana contemporânea. Relembrar isto a cada momento não é verbosidade, pois toda mudança que afeta a proteção de dados tem impacto sobre o grau de democracia que nós podemos experimentar.” (RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Organização, seleção e apresentação: Maria Celina Bodin de Moraes. Tradução: Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008. p. 21.)
[8] Cisco Privacy Benchmark Study 2021. Disponível em: https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-privacy-benchmark-study-2021.pdf. Acesso em: 28 set. 2021.
Fonte: Consultor Jurídico