Proteção de dados pessoais é garantida pela Constituição
Apesar da relevância, seis em cada dez pessoas só ouviram falar ou desconhecem totalmente a LGPD
A todo momento as pessoas compartilham os próprios dados com o mundo. Isso acontece, por exemplo, quando se faz uma compra online, quando se cria uma conta em um banco ou até mesmo registrando o CPF na nota fiscal de uma compra. Na última década, a proteção destes dados vem ganhando cada vez mais importância no cenário internacional e, mais recentemente, no cenário nacional. Este ano, a proteção de dados pessoais entrou para a lista de direitos fundamentais da Constituição Federal.
A proposta que resultou nesta Emenda Constitucional foi assinada por quase 30 senadores brasileiros de partidos como MDB, DEM, PL, Cidadania, PSB e PT. Jornalista e pesquisador do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq), Rogério Christofoletti diz que não é de se espantar que esta quantidade de parlamentares esteja envolvida no processo. “Parece ser estranho a gente olhar, em 2022, e ver aquele monte de partidos, inclusive da direita, falando de proteção de dados. Ora, por quê? Porque nós já tínhamos aprovado o Marco Civil da Internet em 2014 e a LGPD em 2018”, explica.
Os direitos fundamentais fazem parte do artigo quinto da constituição, que funciona como a principal regra de um jogo, por isso, nenhuma outra lei, decreto ou regulamento pode, nem deve, violar o que está entendido nela. Daí a importância da proteção de dados estar escrita ali. “Ela reforça essa questão dos dados pessoais vinculados realmente à identidade da própria pessoa”, expõe a advogada especialista em proteção de dados Anaruez Mathies. Isso quer dizer que a constituição passa a enxergar os dados pessoais do cidadão como parte do que compõe o próprio ser; como algo que lhe garante dignidade e integridade.
Além de ser mencionado no artigo quinto, a proteção de dados também está presente em outros dois artigos da constituição. Essa presença está relacionada com a necessidade de mencionar que pertence à União, ou seja, ao próprio Governo Federal, a função de legislar e fiscalizar sobre os dados pessoais. Assim, nenhuma das outras esferas de poder, municipal ou estadual, podem discorrer sobre este tema, explica a advogada.
Apesar de existir um vínculo lógico entre a proteção de dados e a Lei Geral de Proteção de Dados (LGPD), a emenda constitucional não se relaciona diretamente com a lei. Isso é o que avalia Anaruez. “Quis conferir uma proteção maior para a questão dos dados pessoais [com a inclusão do tema na constituição], mas ela não se aplica exclusivamente à questão da LGPD.”
Quem também comenta sobre este tema é o advogado Thiago Marcílio, especialista em Direito Digital e pesquisador de Inteligência Artificial no Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP). “Quando a gente fala que a emenda constitucional tem uma eficácia 100% desde o começo, é uma falácia, porque a gente precisa cascatear isso”, explica. Por exemplo, a constituição estabelece que o Estado deve promover a defesa do consumidor. Porém, essa garantia por si só não seria eficaz se este direito também não fosse reforçado em outras normas. Como é o caso do Código de Defesa do Consumidor que estabelece as normas específicas para que isso aconteça. Dessa mesma forma funciona a garantia da proteção de dados pessoais.
A LGPD é uma dessas leis que traz pontos mais específicos sobre a proteção de dados pessoais. Ela surgiu como uma lei complementar ao Marco Civil da Internet, que define os princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Se por um lado, com o Marco Civil, o cidadão tem o direito ao acesso a informações sobre coleta, uso, armazenamento, tratamento e proteção dos próprios dados pessoais, por outro, com a LGPD, se tem a explicação de como esse processo deve acontecer.
A trajetória da lei começa décadas atrás, como relata o advogado Thiago Marcílio. O surgimento da LGPD precisa ser analisado a partir de um cenário macro, já que a lei vem na esteira da General Data Protection Regulation (GDPR), uma lei europeia aprovada em 2016 que fala sobre a privacidade e proteção de dados pessoais dos cidadãos de países membros na União Europeia.
Em território europeu, como resgata Marcílio, a discussão começa ainda na década de 70, depois da Segunda Guerra Mundial, quando a legislação do continente já possuía dispositivos que falavam sobre a proteção de dados. “A gente ainda estava durante a Guerra Fria, então era muito comum que os governos pegassem dados massificados ou fizessem fichamento da própria população”, explica. Com a criação da União Europeia nos anos 90, começou a se discutir uma legislação prévia.
Após a criação da GDRP, o tema começou a ser discutido no Brasil também por uma demanda de mercado. “Então, apareceu uma nova certificação ISO (Organização Internacional para Padronização). Ela é uma fundação voltada para a normatização e padronização de serviços internacionais. Nosso ministério vai lá e adapta para poder continuar a competir como player que respeita as regras do jogo. A mesma coisa é em relação com a LGPD”, exemplifica Thiago.
Porém, pensando sobre a aprovação da LGPD na época, não se podia calcular a proporção que a lei tomaria. Segundo o pesquisador Rogério Christofoletti existem setores que ainda não compreenderam a relevância do texto, como a própria sociedade civil.
“Você vai em qualquer farmácia do Brasil, o que a pessoa pede no caixa? O CPF. E quase todo mundo dá. A gente não sabe para onde vai. O CPF é um dado sensível, está na lei”, aponta Christofoletti.
Esta desinformação sobre o tema já possui dados. Uma pesquisa publicada em 2021 pelo Observatório Febraban apontou que 42% dos entrevistados afirmou saber “pouco” ou “nada” das leis e regulamentos em vigor sobre proteção e privacidade de dados.
Quando o tema é LGPD a situação é ainda mais preocupante: 60% dos entrevistados “conhece só de ouvir falar” ou “não tinha ouvido falar antes sobre a Lei Geral de Proteção de Dados”, sendo a maioria homens entre 18 e 24 anos, com escolaridade fundamental e renda de até dois salários mínimos.
A importância da proteção dos dados pessoais fica mais evidente quando se pensa em um exemplo. A Dona Joana vai até a farmácia Sua Droga Aqui e dá o CPF para a empresa no momento de comprar o remédio para controle de pressão alta. Vinculado ao CPF dela, está todo o histórico de compras dos últimos seis meses. Agora, supõe-se que a farmácia Sua Droga Aqui teve a base de dados atacada e todos esses dados foram sequestrados e vendidos para uma indústria farmacêutica. Essa indústria agora tem em mãos todos dados das pessoas que compram remédio para controle de pressão alta nesta rede de farmácias. Com isso, a indústria pode despejar esses remédios no mercado, ou não, como ressalta o pesquisador. “O que a empresa farmacêutica pode fazer? Ela pode reduzir o fluxo de remédios. Para fazer o que? O preço subir”, explica.
Brasil é o país com mais ataques cibernéticos da América Latina entre 2021 e 2022
Uma ameaça silenciosa traz prejuízos milionários e desafia as forças de controle de segurança. Os cibercriminosos adquirem senhas, endereços de e-mails e chaves pix para realizar subornos e expor na internet. De acordo com os dados de levantamento da empresa de inteligência de ameaças Group-IP o Brasil foi o país com mais invasões entre 2021 e 2022 na América Latina.
Plataformas como Uber, Netshoes, Adobe, Netflix e Facebook podem se tornar vítimas de crimes cibernéticos por hackers. Eles detêm milhões de informações dos usuários expostas e, portanto, empresas grandes ou pequenas estão sujeitas a vazamento de dados.
O coordenador de tecnologia da Ordem dos Advogados do Brasil (OAB), Gustavo Fuscaldo atua em âmbito de Santa Catarina e Rio de Janeiro, e explica o termo “vazamento”, para ele, é uma metáfora em referência à indústria petrolífera, pois se o petróleo vaza no mar não irá prejudicar somente a um indivíduo, mas dezenas, centenas e até milhares que percorrem por perto. “A rede é como um banco, nela você deposita os seus dados como se fosse dinheiro, assim passa acreditar que eles estarão seguros sem nenhum perigo, você passa a ser uma espécie de credor”, compara Fuscaldo.
A segurança cibernética é sensível às ameaças e ataques virtuais, pois hackers desfrutam da vulnerabilidade dos meios eletrônicos. Eles não invadem somente as redes sociais, percorrem em busca de outros alvos como órgãos governamentais, informações confidenciais de usuários e sistemas.
Mohandas Braga é analista de sistemas da Unimed e conta experiências, na qual clientes tiveram dados dos sistemas sequestrados, sendo assim não conseguiram ter acesso até certo momento. Porém, como forma de se precaver havia um backup para o sistema regressar a forma inicial sem a necessidade de se submeter a algum suborno feito pelos invasores.
Braga faz orientações para proteger as contas de modo geral, seja nas redes sociais, bancárias e nas demais plataformas.”Primeiro guarde suas senhas em um aplicativo específico que tenha a finalidade de gerar segurança”, orienta, também em um outro aparelho.
Outra dica é tornar as senhas mais complexas com letras maiúsculas, e deixando-as com oito dígitos para evitar um possível ataque de “força bruta”, conclui. O ataque de “força bruta” é um método utilizado pelos hackers, na qual é gerado um dispositivo com combinações de caracteres para desvendar as senhas. As senhas longas raramente são descobertas, mas as curtas são encontradas com mais facilidade pelos invasores.
Idosos são maioria em golpes decorrentes de vazamentos de dados
A bancária Letícia Paulina Alves relata casos de vazamento ocorridos no banco Itaú. Segundo Letícia, na maioria das vezes os clientes prejudicados são idosos aposentados. Os invasores conseguem acessar os dados e fazem ligações para oferecer falsos empréstimos. Em outra ocasião, eles fingem ter algum parentesco com as vítimas e exigem por dinheiro.
“Quando acontece de um cliente receber uma ligação anônima e transferir um valor, o banco entra com uma inspetoria para averiguar onde foi parar o dinheiro. E, até onde tem a alçada do banco, ele devolve o dinheiro, caso contrário deve recorrer via judicial”, conta Letícia.
Em março deste ano, o Procon-SP notificou o banco Itaú após um problema no sistema do aplicativo. O “bug” demonstrava erros como falta de acesso nas contas, desaparecimento de valores, transações e acréscimos inexistentes. Diante do ocorrido o banco soltou uma nota explicando sobre o problema ser relacionado com o retardo no processamento interno de dados.Para a bancária, as pessoas estão suscetíveis, pois, se os dados estão na nuvem, plataforma utilizada na internet para salvar documentos, eles estão disponíveis para alguém, e não há como saber as reais intenções do sujeito. Isso é válido para questões de instituições financeiras, redes sociais e serviços de aplicativos, quanto mais informação for armazenada online mais riscos irá correr.
Lei garante sigilo de pessoas diagnosticadas com doenças crônicas
Em janeiro deste ano, foi aprovada uma nova lei que preserva o sigilo de pessoas com HIV, hepatites crônicas, hanseníase e tuberculose. O texto surge como um reforço para o que já é previsto no Código de Ética Médica e traz princípios e conceitos da própria Lei Geral de Proteção de Dados. Isso é o que explica a advogada membro da Comissão de Saúde da OAB do Ceará e do Comitê Público na ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados), Aida Ferreira Crisóstomo.
Todas as doenças citadas na lei, como explica a advogada, são doenças de notificação compulsória. Isso significa que, assim que uma pessoa recebe o diagnóstico positivo para alguma dessas enfermidades, o órgão que detém esse diagnóstico precisa comunicar às autoridades de saúde, devido ao alto potencial de infecção. “A finalidade da notificação compulsória é que o controle de comunicantes impeça que várias pessoas sejam infectadas. Mas, para isso, ainda que seja de notificação compulsória, a privacidade das pessoas não pode ser violada, que é isso que a lei 14.289 corrobora, junto com a LGPD”, explica.
De forma prática, a lei garante que, caso você esteja em um consultório em que uma pessoa foi diagnosticada com tuberculose – uma doença de transmissão aérea -, por exemplo, você seja comunicado dessa situação, mas o dado da pessoa infectada será preservado e somente compartilhado com o Ministério da Saúde.
Isso vale também para outros ambientes que não os de saúde. As escolas, cursos e faculdades gerenciam dados dos alunos e responsáveis, assim a LGPD aparece para julgar até onde as instituições devem exigir dados. O advogado Carlos Machado faz uma suposição sobre um estudante com alguma doença contagiosa e se o colégio deveria ter conhecimento para orientar os demais alunos a tomar cuidado. “Primeiramente, eu como advogado teria que buscar orientação médica para saber se realmente seria necessário ser do conhecimento da escola. Se fosse, ela trataria para uma finalidade específica sem conter um tratamento discriminatório.”
Machado afirma ser obrigatório que as informações sejam armazenadas com segurança em hospitais, clínicas, farmácias e operadoras de planos de saúde para não ocorrer problemas, como aumento no preço dos clientes. Por exemplo, se uma pessoa for portadora de HIV, uma operadora de saúde não pode recusar a contratação do plano por conta da doença.
O advogado relembra o caso de vazamento de dados de pacientes no laboratório Fleury, que atua na área da medicina diagnóstica, em 2021. Na ocasião, a companhia foi alvo de extorsão por um grupo de hackers que ameaçavam divulgar dados e documentos sigilosos, como informações médicas e transações bancárias, caso não houvesse um pagamento dos titulares.
Com as instituições sofrendo constantes ataques na internet, há necessidade de cuidar dos dados, sendo eles genéricos, biométricos e biológicos. No âmbito público isso torna a segurança das pessoas íntegra, assim as instituições transmitem confiança às pessoas ao preservar as informações pessoais de elementos frágeis.
