Doando petróleo na internet: por que proteger meu CPF?

Por Gislaine Ignaczuk, Letícia de Souza, Mellina França e Teodoro Schneider *

Ainda hoje o petróleo é um dos maiores causadores de guerras políticas. O brasileiro tem sentido na pele os impactos dos preços exorbitantes dos combustíveis e derivados de petróleo, o que nos leva a notar ainda mais sua presença e importância em nosso cotidiano.  A frase “Data is the new oil” (dados são o novo petróleo) tem percorrido o mundo e gerado impacto em quem a lê. Mas afinal, ela quer dizer que nossos dados pessoais também são valiosos como o petróleo? SIM! Valiosos e essenciais para o “mundo dos negócios”, praticamente um novo combustível! 

Mas… o que faz os meus dados serem tão importantes? Dados se transformam em estatísticas, que se transformam em informações e podem  gerar conhecimento para empresas privadas e governos. E o que será feito com esse conhecimento? Aplicado a você novamente! Existe  um grande dilema quanto a utilização destes dados, pois essas informações podem ser utilizadas para finalidades virtuosas, aprimoramento de serviços, produtos e políticas públicas, tornando-os mais eficientes em prol da sociedade, ou viciosas, servindo apenas para benefício específico de um grupo de interesse, pois com esses dados é possível redirecionar os almejos da população, visando vantagem competitiva e estratégica de cunho comercial, econômico ou político.

Um exemplo prático que podemos recapitular é a manipulação viciosa da Cambridge Analytica, uma assessoria política que auxiliou no processo de eleição de Donald Trump em 2016, utilizando como instrumento de coleta de dados através de um quiz criado dentro do Facebook, coletando informações privadas de milhões de usuários, sem o seu conhecimento e, logo, sem o seu consentimento. Não só foram coletados os dados desses usuários, violando a sua privacidade, como também foram feitas publicações direcionadas a eles, como instrumento de divulgação para a eleição do presidente. 

Porém, não se engane ao achar que isso ocorre somente no exterior. Há alguns anos, tivemos o caso envolvendo o celular da ex-presidente Dilma Rousseff. O escândalo envolvendo a vigilância pela Agência de Segurança Nacional (NSA) Americana sobre autoridades e chefes de Estado de vários países também grampeou o número de telefone da ex-presidente e outros números, como o de sua secretária e seu assessor pessoal. O diretor do Gabinete de Segurança Institucional Brasileiro também foi grampeado e até membros do Banco Central foram alvos do ataque, com interesses políticos nesse caso de espionagem. 

Além de escândalos internacionais envolvendo política, os ambientes privado e corporativo não saem ilesos dos vícios. Há dois anos, houve um escândalo envolvendo a empresa Netshoes, que precisou pagar R$500 mil de indenização por danos morais, por ter vazado dados de mais de dois milhões de clientes. O vazamento ocorrido envolvia dados pessoais como nome, data de nascimento, Cadastro de Pessoa Física (CPF) e pedidos de contas de milhares de clientes. Outras grandes empresas também foram multadas devido a más condutas com os tratamentos de dados pessoais, como por exemplo Drogaria Araújo, Construtora Cyrela e Banco Inter. 

Nos últimos meses, os incidentes tiveram ainda mais impacto na população brasileira. Em janeiro deste ano, foi noticiado o maior vazamento de dados da história no Brasil, composto por dois grandes vazamentos complementares em sequência, que expuseram informações de aproximadamente 223 milhões de brasileiros em fórum online, cuja finalidade era a ilegal comercialização dos dados por um hacker. Entre os dados estavam CPF, Cadastro Nacional de Pessoas Jurídicas (CNPJ), data de nascimento, sexo, nome, dados de veículos, escolaridade, benefícios do INSS e programas sociais, renda, fotos de rosto, endereço, score de crédito, informações do LinkedIn, dados de servidores públicos e imposto de renda pessoa física. 

Mais recente ainda, no início de março, foram colocadas à venda informações de 112 milhões de brasileiros. Da mesma forma que no caso anterior, o leilão foi promovido por um hacker através do mesmo fórum online, mas dessa vez foram expostas informações de 250 mil pessoas, sem qualquer censura. Dentre os dados estavam novamente o CPF, número de Registro Geral (RG), número do Whatsapp, endereço residencial, data de nascimento, nome da mãe, profissão, salário, cadastro no Bolsa Família e informações complementares, se vivo, morto, aposentado e etc.

Diante do exposto, você já contou quantas vezes disponibilizou seu CPF para algum registro ou cadastro essa semana? E esse mês? Qual foi a última vez que você leu o contrato de termos e serviços de um aplicativo baixado? Pensamos que golpes e esquemas online nunca acontecerão conosco, porém, numa realidade que para navegar nas redes sociais ou assistir um filme em seu streaming preferido, o CPF é um dado obrigatório, precisamos compreender a dimensão dos riscos apresentados a nós diariamente e os meios de proteger esses valiosos dados nesta nova dinâmica de contratos digitais. 

Apesar disso, podemos respirar com um pouco mais de otimismo, pois não estamos sozinhos nesse anseio de proteger nossos dados. Pensando em prevenir todos esses incidentes e ainda garantir transparência ao usuário sobre o que será feito com seus dados pessoais, entrou em vigor no dia 18 de setembro de 2020, a Lei Geral de Proteção de Dados Pessoais – LGPD. 

Mas afinal, o que pode ser considerado um dado pessoal? 

Segundo a LGPD, dado pessoal é toda e qualquer informação relacionada a uma  pessoa natural identificada ou identificável, ou seja, todo e qualquer dado que permita rastrear ou distinguir uma pessoa de outra. Atualmente, o CPF é o exemplo mais claro de dado pessoal, visto que a partir dele já é possível identificar um indivíduo, agora desde o seu nascimento. Contudo, um dado não precisa levar diretamente até você para ser considerado um dado pessoal. Por exemplo, se para identificar um indivíduo sabemos que ele é um ex-presidente do Brasil, pernambucano e sem um dos dedos da mão, é realmente necessário um CPF? Alguns outros exemplos de dados pessoais são o seu nome/apelido, endereço de residência, endereço eletrônico (e-mail, site, blog ou página na internet), número de matrícula, dados de localização (GPS), endereço de IP do seu computador, histórico de pesquisa do seu navegador de internet, entre outros. No entanto, mesmo entre os dados pessoais há um grupo de informações que exigem ainda mais cautela no seu manejo: os Dados Pessoais Sensíveis. 

Um dado pessoal sensível, diferente dos outros dados pessoais, possui uma natureza que merece mais atenção, pois pode levar não só à identificação do indivíduo, mas também à discriminação do mesmo. Pode ser considerado sensível todo e qualquer dado de propriedade de pessoa natural que revele a origem racial/ étnica, ou que expresse convicções/opiniões (religiosas, filosóficas, partidárias, ideológicas ou sindicais), ou dados referente à saúde ou à vida sexual, genética ou biométrica.

E como saber o que será feito com meus dados? 

As informações cedidas pelo titular (proprietário do dado), devem atender unicamente à finalidade para a qual  a coleta do dado foi realizada, conforme obriga a lei. O solicitante deve se comprometer com a proteção dos dados confiados a ele, e, acima de tudo, transparecer a razão pela qual aquele dado é solicitado e utilizado, pois entre os princípios da legislação, está a accountability, ao prever prestação de contas e responsabilização ao proprietário do dado:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

(…)

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

(BRASIL, 2018)

Outras obrigações legais para poder tratar dados pessoais são as seguintes:

• A segurança dos dados, a partir da exposição clara da necessidade e finalidade daquele dado;
• Permitir o livre acesso, gratuito e acessível, de consulta às informações produzidas a partir dos dados coletados;
• Constante aprimoramento dos meios de segurança e proteção aos dados evitando assim a ocorrência de danos aos proprietários/ titulares;
• Garantir precisão do processo de tratamento do dado coletado ao proprietário / titular;
• Promover a transparência ao titular do dado deixando-o ciente de todo o processo;
• Impossibilitar a realização do tratamento dos dados para finalidade duvidosa, discriminatória, ilícita ou abusiva;
• Cumprir eficazmente todos os itens acima descritos por meio da Responsabilização e Prestação de Contas em 3 níveis:
  • I. Instituição e proprietário/ titular do dado (relação direta);
  • II. Instituição, agentes de tratamento do dado e encarregado (relação interna); 
  • III. Encarregado e Autoridade Nacional de Proteção de Dados (relação externa).

Dado o exposto, você ainda continuará distribuindo seu “petróleo” para todas as organizações que o solicitarem? 

Nossos dados, principalmente o CPF, que identifica integralmente uma pessoa em qualquer base de dados, devem ser disponibilizados com cautela. Os vícios motivados pela ganância, como as invasões em países atrás do petróleo, se modificaram e hoje levam a invadir bancos de dados, a fim de simplesmente transformar você em números manuseáveis, em prol de interesses de quem possui mais armas políticas e econômicas.  

Podemos não ser figuras públicas de grande influência que sejam atacadas por hackers ou empresas de espionagem, porém, somos nós quem os colocamos nesse patamar e também somos a principal fonte movimentadora do mercado financeiro. Pessoas que dizem “não tenho nada a esconder, podem usar minhas informações” são as que deveriam se preocupar com as organizações que escondem a finalidade da utilização de dados pessoais. 

Assim como você não está saindo distribuindo combustível, você não deveria sair concordando com todos os termos de uso e políticas de cookies por aí. No meio de muitos “para melhorar a experiência do usuário”, há coleta de informações exageradas e desnecessárias, que podem ser expostas ou compartilhadas com qualquer instituição que você concordou sem prestar atenção. O controle de nossas informações, de acordo com as novas normas, é unicamente do titular, cabe a você praticar seu direito e ser fiscalizador da utilização dos seus dados. Para isso, você e todos nós precisamos conhecer mais sobre o tema e contar com um sistema de apoio.

Existem ainda muitos desafios a serem vencidos para alcançarmos a excelência em segurança informacional. Desse modo, é essencial compreender que estamos no início de uma longa jornada de conscientização, adequação, e cultura da transparência e proteção de dados. Estamos entre os primeiros países a possuir uma lei geral, que ampara e garante o pleno controle dos seus direitos individuais de liberdade e privacidade. A LGPD representa um marco nacional de legitimidade, confiabilidade, governança, accountability, conformidade e ética. A implementação dessa lei está no início e muito teremos a aprender e aprimorar nesse processo. A conquista é  compartilhada, mas o  seu dado não o deverá ser sem o seu conhecimento!

REFERÊNCIAS:

BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 20 fev. 2021

BRASIL. Portaria nº 11, de 27 de Janeiro de 2021. Torna pública a agenda regulatória para o biênio 2021-2022. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 20 fev. 2021

Para saber mais sobre o tema: https://www.lgpdbrasil.com.br/

Confira também:
Lições de um ano de Covid / Autor Yuval Noah Harari
Dicas de como proteger seus dados online
Processo de regulamentação da Agência Nacional de Proteção de Dados

Indicações cinematográficas: