O Twitter irá pagar uma multa de US$ 150 milhões por não manter e proteger a segurança e a privacidade dos usuários. Em comunicado emitido na semana passada, o Departamento de Justiça (DoJ) dos Estados Unidos informou ainda que a rede social deverá implantar “medidas robustas de conformidade para proteger a privacidade dos dados dos usuários”.
O acordo põe fim a processo que apurava a denúncia de que, de maio de 2013 a setembro de 2019, o Twitter disse a seus usuários que estava coletando seus números de telefone e endereços de e-mail para fins de segurança da conta, mas não divulgou que também usaria essas informações para ajudar as empresas a enviar mensagens direcionadas com publicidade e marketing.
Esta punição atualiza a importância do debate sobre proteção de dados e privacidade. Diversas legislações que estão sendo construídas para a regulação da internet abordam o tema, especialmente o uso de dados sensíveis na publicidade direcionada que circula nas plataformas.
No Brasil, a Lei Geral de Proteção de Proteção a Dados Pessoais, Lei n° 13.709/2018 também conhecida como LGPD, é recente e foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo (BRASIL, 2022). A lei lida, basicamente, com tratamento de dados pessoais, tanto em meios físicos quanto digitais. Isso quer dizer que agora há regulações que ditam sobre como seus dados pessoais são solicitados, tratados e utilizados pelas instituições de coleta. Lembra dos cadastros? “Preencha essa ficha aqui com os seus dados, por favor?”. A lei se aplica a isso.
Todas as informações pessoais coletadas em cadastros, questionários, pesquisas, formulários e outras ferramentas de coleta de informações (físicas ou digitais) devem atender ao que preconiza a lei, de modo que o seu dado pessoal seja usado para os fins apresentados na hora da coleta, por meio do seu consentimento. Ou seja, a lei chega para que você não tenha seus dados desviados e usados para fins que você não autorizou. Quem nunca recebeu uma ligação de uma operadora telefônica ofertando aquele pacote que você nunca imaginaria e, talvez, nem desejaria comprar. Isso se chama desvio de finalidade e uso inapropriado dos teus dados pessoais pelas instituições.
A LGPD fundamentou-se no Regulamento Geral sobre Proteção de Dados (GPDR) da União Europeia e têm finalidades parecidas. Acrescenta ainda que os processos de coleta de dados pessoais, por iniciativas privadas, devem ser desenhados por medidas que respeitem os princípios da proteção de dados desde a sua concepção, levando a práticas de pseudonimização e anonimização dos dados. Os dados pessoais não podem ser usados sem o consentimento expresso (e explícito) dos seus usuários. E a GPDR foi fundamental para estabelecer os fundamentos, as diretrizes e o conjunto de termos e regras sobre os processos de coleta e os agentes envolvidos em operações de tratamento de dados. A LGPD conseguiu incorporar uma boa parte dos conceitos definidos pela GPDR.
A crise sanitária e o descontrole na proteção aos dados pessoais coletados no Brasil
Agora, na prática. A LGPD entrou em vigor em agosto de 2020, mesmo ano em que todo o planeta passou (e ainda passa) por uma crise social, econômica e sanitária que levou a medidas extremas de isolamento social. A saída para o isolamento foi a Internet: uma migração emergencial, cujas relações se deram, principalmente, por meio de ferramentas digitais de comunicação.
Enquanto o país lutava para lidar com a contenção do vírus e com as seu sistema público de saúde, cada setor social precisou pensar em medidas de mitigação para lidar com a crise social instalada em diferentes áreas.
Os auxílios emergenciais foram medidas públicas construídas como alternativas à crise e o seu acesso se deu por meio de plataformas digitais, cuja segurança era frágil. Resultado do despreparo: 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, além de informações de 39.645 brasileiros e 22.983 empresas nacionais foram vazados e já circulam livremente e gratuitamente na internet desde 2021 (CNN, 2021). Não se sabe ainda a origem das bases de dados onde as informações foram vazadas, mas boa parte desses dados foram colocados à venda e estima-se que o criminoso tenha sob seu domínio até um 1TB de informações pessoais, dos quais 16GB são de imagens de 1.1 milhão de pessoas. Esse fato é considerado por especialistas como um dos maiores roubos de informações da história do país e pode ter sido o “trabalho de um insider, alguém que trabalha ou que prestou serviço para a detentora das bases”, é o que declarou Felipe Daragon, fundador da Syhunt, em reportagem ao Estadão .
A aplicação da lei chegou com muitas críticas, mas seu objetivo é justamente o oposto. A LGPD não veio para atrapalhar as empresas ou dificultar o trabalho das instituições públicas, mas para reforçar fundamentos que tratam sobre transparência e, sobretudo, de responsabilidades. E cabe às instituições reguladoras, como a Autoridade Nacional de Dados Pessoais – ANPD orientar os cidadãos (ou titulares dos dados) quanto aos seus direitos e também aos agentes de tratamento de dados quanto aos seus deveres, apontando caminhos e boas práticas de segurança para evitar incidentes como estes.
A LGPD e as eleições de 2022
O ano de 2022 é crucial para o Brasil: em outubro haverão eleições gerais para presidência, governadorias estaduais, Assembleias Legislativas Estatais e Câmara Legislativa do Distrito Federal. Um ano intenso e com muitos interesses envolvidos.
Com o fim de coordenar o processo eleitoral, a ANPD e o Tribunal Superior Eleitoral (TSE) lançaram em janeiro o Guia Orientativo “Aplicação da Lei Geral de Proteção de Dados Pessoais por agentes de tratamento no contexto eleitoral”, documento cujo propósito é orientar os agentes de tratamento de dados (candidatos, partidos políticos e coligações) sobre boas práticas e sobre o uso correto dos dados pessoais sensíveis – opiniões políticas, filiações partidárias, convicções religiosas entre outras – que forem coletados dos cidadãos durante o período de campanha eleitoral.
O Guia Orientativo reforça quais os direitos dos titulares dos dados pessoais (eleitoras e eleitores) e alerta aos agentes de tratamento de dados que o uso indevido das informações pessoais coletadas em campanha pode comprometer a integridade do processo eleitoral. O propósito do documento é apontar, por meio de uma sistemática de normas de proteção de dados pessoais e de normas eleitorais, quais os deveres dos agentes de tratamentos e sobre os direitos dos titulares, a fim de preservar a privacidade dos eleitores e garantir a lisura do processo eleitoral, sem obstruir a comunicação entre candidata e cidadã, necessário ao processo democrático (ANPD; TSE, 2022).
E esse tema é importante porque os dados pessoais sensíveis (constante no art 5º da Lei 13.709/2018) são partes de uma categoria especial da Lei sobre privacidade e proteção aos dados pessoais e estão vinculados a direitos fundamentais e de maior risco quanto ao seu uso. O uso indevido desses dados podem ocasionar restrições significativas ao exercício de direitos fundamentais, entendidos como atos de discriminação racial, étnica, religiosa entre outros que podem colocar os titulares dos dados em posição vulnerável.
A LGPD chega mais uma vez para garantir uma relação saudável e de confiança entre candidatas(os) e eleitoras(es) no processo eleitoral, garantindo as condições necessárias para uma escolha autônoma e bem-informada (ANPD; TSE, 2022). Logo, se você – cidadã ou cidadão, perceber que os seus dados não estão sendo coletados de forma apropriada ou se verificar qualquer incongruência quanto à coleta de dados pessoais no processo de campanha eleitoral do seu candidato ou de outro, busque mais informações com a Ouvidoria do TSE.
Dadocracia: discutir e difundir conhecimentos sobre privacidade e proteção de dados no Brasil
Não adianta chorar o dado vazado, mas dá para buscar os seus direitos! E no contexto de construção de uma cultura de privacidade no Brasil, há um longo caminho a percorrer. Aprender com os erros, por meio de um viés educativo, se faz tão necessário quanto o monitoramento da lei com as devidas sanções, quando os direitos forem lesados. Quando os dados pessoais são indispensáveis para a inclusão social, é preciso ir além das judicializações. Portanto, entender sobre e defender os direitos fundamentais é indispensável para construção de uma cidadania forte.
E foi com esta proposta que surgiu a iniciativa a Data Privacy Brasil, uma organização voltada ao ensino e à pesquisa que difunde e inova no conhecimento sobre privacidade e proteção de dados no país. Além dos cursos ofertados pela iniciativa, relacionados à adequação de empresas e setores públicos à LGPD, ela difunde conteúdos sob forma de artigos, pesquisas, eventos e também podcasts!
O Observatório da Data Privacy é uma plataforma de monitoramento, resgate e análise sobre os debates em torno do tema da privacidade e proteção de dados pessoais no Brasil (DATA PRIVACY, 2022). E tem como proposta ser um lugar de memória da LGPD, com difusão de conhecimento e entrevistas sobre Proteção de Dados nas Autoridades, na Pesquisa, no Legislativo e no Judiciário. Um dos projetos do Observatório é o podcast Dadocracia, disponível em diferentes plataformas, dentre elas o Spotify . O podcast, com uma centena de episódios, traz debates como o papel das defensorias públicas estaduais e a aplicação da LGPD, a proteção de dados pessoais no Brasil, ou a convenção internacional sobre o combate aos crimes cibernéticos (episódio 88).
#conteúdo produzido pelo colaborador do Instituto Procomum, o pesquisador Ricardo Ruiz