No Brasil, assim como na maioria de países de baixa renda com grandes populações, bases de dados pessoais enormes são criadas com quase nenhuma preocupação acerca de questões de cibersegurança e proteção de dados. No dia 20 de janeiro, o maior vazamento de dados pessoais na história brasileira foi descoberto. Embora não existam registros oficiais de vazamentos de dados no Brasil, é difícil imaginar que um conjunto de dados maior e mais detalhado sobre a população possa ser vazado, ou mesmo que possa existir.

Os gigantescos conjuntos de dados foram inicialmente descobertos pela PSafe, uma start-up de cibersegurança, em um fórum na Dark Web. Em seguida a informação foi noticiada pelo Tecnoblog, um portal tech brasileiro. As bases de dados disponíveis – de graça ou à venda – incluem nomes, Cadastros de Pessoa Física (CPF), fotos de rostos, endereços, números de telefone, scores de crédito, salários e mais. Foram expostos os dados de 223 milhões de brasileiros. Esse número pode soar estranho, considerando que a população brasileira é de aproximadamente 210 milhões de pessoas, mas isso ocorre porque os conjuntos de dados vazados incluem também os dados pessoais de milhões de indivíduos falecidos. 104 milhões de registros de veículos também estão disponíveis.

O fato de muitas das informações presentes no vazamento serem regularmente utilizadas por agências que fornecem scores de créditos, assim como a enorme extensão das bases de dados, tem levado muitos observadores a suspeitar que o vazamento possa ter se originado na Serasa Experian, o mais importante birô de crédito no Brasil. No entanto, até esse momento essa suposição não foi confirmada por nenhuma investigação oficial, e a Serasa nega que esse vazamento tenha se originado em seu sistema.

Uma versão compacta do conjunto de dados é oferecida de graça em um fórum na Darknet. Uma base de dados ainda mais detalhada,incluindo 14 Gigabytes de praticamente qualquer informação imaginável sobre cada indivíduo, empresa e veículo brasileiros está atualmente à venda.

A versão gratuita inclui “apenas” o nome completo, o CPF, a data de nascimento e o gênero de 223,74 milhões de indivíduos. O Tecnoblog informa que o link para download desse conjunto de dados já foi indexado à Busca do Google, fazendo com que o acesso a áreas escusas da Dark Web não seja necessário para encontrá-los.

Os interessados em adquirir o pacote completo devem gastar entre US$0,075 e US$1,00 por indivíduo. O valor depende da quantidade de dados que se deseja comprar. Quanto mais se compra, maior o desconto. Os dados são vendidos em pacotes a partir de US$500,00 e os pagamentos devem ser efetuados apenas em Bitcoin.

As 37 bases de dados à venda incluem literalmente todos os tipos de dados pessoais que se possa imaginar, e muitos mais que ninguém imaginaria. Esses incluem o número da identidade, estado civil, uma lista de todos os parentes de primeiro grau (pais, filhos, irmãos, cônjuge), endereço residencial completo (incluindo latitude e longitude), score de crédito, número do Título de Eleitor, profissão e até mesmo um link para o perfil no LinkedIn

As bases de dados vazadas também contam com dados normalmente processados em agências de crédito como escolaridade, salário, renda e poder de compra. Apesar de não haver nenhuma confirmação, as suspeitas sobre a Serasa Experian surgiram devido ao tipo de dados presentes e à maneira como esses conjuntos de dados estão organizados. Os dados estão organizados de forma a permitir a identificação de grupos específicos e de segmentos de consumidores em potencial, de maneira semelhante à estrutura dos anúncios direcionados e da categorização de consumidores da empresa. Por exemplo: um dos conjuntos de dados disponíveis chama-se “Mosaic” e inclui informações organizadas de acordo com o modelo Mosaic, um serviço de prospecção de clientes da Serasa Experian que classifica as empresas como “grandes, tradicionais e influentes”, “pequenos negociantes do interior” e “jovens empreendedores e ousados”.

Este é apenas o mais recente e grave exemplo de uma longa série de vazamentos de dados, que provavelmente só pode ser comparado com o caso Equifax, quando os dados pessoais de 145 milhões de pessoas vazaram do birô de crédito estadunidense. Leitores ao redor do mundo podem se perguntar: Como um vazamento nessa escala poderia ocorrer no Brasil depois da adoção da nova Lei Geral de Proteção de Dados (LGPD)? A lei não está em vigor desde setembro de 2020? Sim, ela está. No entanto, os brasileiros estão descobrindo da pior maneira que ter uma lei é apenas um pequeno passo em direção a uma efetiva proteção de dados.

As lições que o Brasil deve aprender agora se aplicam a qualquer lugar onde dados pessoais são coletados. O mais importante é como a proteção de dados pessoais está culturalmente integrada ao cotidiano das pessoas, empresas e administrações, e como a lei é aplicada. É inútil criar leis de proteção de dados “refinadas”, copiando e colando direitos e obrigações de quadros jurídicos estrangeiros, se ninguém em seu país sabe que essas regulações existem ou se não sabem como implementá-las e cumpri-las corretamente. O país poderá aparecer em um belo mapa que exibe nações com leis de proteção de dados (que maravilha!) mas a situação real muito provavelmente permanecerá muito distante daquilo que consta na lei.

Apesar da proteção de dados já ser um tema debatido há décadas nos círculos especializados, é ainda um conceito muito novo para a maior parte das pessoas, e poucas empresas e organizações o consideram uma prioridade. Ao mesmo tempo, dados pessoais vêm sendo coletados em larga escala e tanto as práticas de mercado quanto, cada vez mais, práticas sociais vêm considerando-os como algo que pode ser compartilhado sem grandes cuidados. No Brasil, em qualquer farmácia ou supermercado, antes mesmo do funcionário no caixa solicitar o pagamento ele perguntará por seu número de CPF. E caso você não informe esse identificador único, o funcionário te olhará com espanto, te considerando uma pessoa esquisita que recusa um “desconto”.

Uma questão preocupante é que mesmo quando as organizações estão cientes da existência da nova lei de proteção de dados e das novas obrigações acerca da segurança de dados elas não sabem como incorporar as questões de privacidade em suas estruturas técnicas e organizacionais. O fato de a proteção de dados ser recente significa que existe uma escassez de profissionais capazes de estruturar corretamente o compliance com a lei e de observar de maneira diligente as melhores práticas de segurança de dados. A maior parte das pessoas que se autoproclamam “especialistas em proteção de dados” nas redes sociais, que provavelmente se equiparam em número apenas com os “evangelistas de Blockchain”, começaram a se aproximar do tema há não mais do que um ou dois anos.

O governo brasileiro estabeleceu a nova Autoridade Nacional de Proteção de Dados (ANPD) por decreto no final de agosto de 2020, mesmo que as normas que autorizam sua criação fossem a única parte da LGPD em vigor desde dezembro de 2018. A ANPD terá um papel chave, mas, até o momento, ela não divulgou nenhuma regulação, já que se encontra no processo de ser – literalmente – construída do zero. Apenas no dia 28 de janeiro a ANPD publicou sua primeira agenda regulatória. As orientações sobre como realizar auditorias em bases de dados pessoais, particularmente com atenção à proteção de dados, simplesmente não existem. Dentro desse contexto, o governo anunciou a criação de um novo sistema de identidade digital.

Tanto o nível inadequado de proteção de dados quanto o apetite pela digitalização de tudo o mais rápido possível são características comuns de muitos países, especialmente aqueles de renda baixa, ávidos por uma difusão tecnológica por questões de desenvolvimento. Essa tendência foi acelerada ainda mais devido à atual pandemia. No entanto, o recente vazamento brasileiro destaca o fato de que preocupações sérias quanto à proteção de dados não podem mais ser adiadas. A digitalização sustentável não pode ocorrer sem uma forte proteção de dados.

Para lidar com essa questão de maneira séria, uma estratégia nacional de proteção de dados se faz necessária, partindo-se de iniciativas bem estruturadas de construção de capacidades que tenham como alvo toda a população. Essa é a única maneira de criar uma cultura de proteção de dados, onde tanto pessoas quanto organizações possam entender a importância de proteger os dados. É necessário ter não apenas consumidores e cidadãos bem informados, mas também perceber que oferecer uma forte proteção de dados é um fator chave para se vencer a competição.

Apenas quando a importância da proteção de dados for plenamente entendida será possível abraçar a ideia de uma digitalização sustentável.