Conversamos sobre a exposição de informações de pessoas jurídicas na internet com Victor Hugo Pereira Gonçalves, presidente do Instituto SIGILO e doutor em Direito Comercial pela Faculdade de Direito da USP.
Cabe ressaltar que muitas das informações de pessoas jurídicas disponibilizadas na internet não são acessadas pelas razões sociais das empresas, mas pelos nomes das pessoas físicas que fazem parte das sociedades.
Qual a origem das informações de pessoas jurídicas que são disponibilizadas na internet?
Todas essas informações são fornecidas pelo governo brasileiro. Por exemplo, o Serpro (Serviço Federal de Processamento de Dados) possui uma loja no seu site através da qual ele vende esses dados para terceiros que queiram atualizar suas bases. Como esses dados são amplamente acessados, eles, praticamente, se tornaram públicos, não havendo qualquer limitação de acesso.
Mesmo sendo informações de pessoas jurídicas, a LGPD (Lei Geral de Proteção de Dados) cobre essas informações?
A LGPD cobre, mas você precisa considerar a contextualização dos dados. Não é porque existe acesso a uma informação pública, que todo dado deve ser disponibilizado. Quando esse acesso pode atingir pessoas ou situações que sejam sensíveis, invadindo a sua vida privada e a sua proteção de dados, ele deve ser restringido de alguma forma.
Por exemplo, eu tive uma cliente que não era investigada pela Lava Jato, mas como ela era secretária e seu nome constou em um relato, ela foi relacionada na petição inicial da operação. Isso atrapalhou a sua vida imensamente, pois quando as pessoas pesquisavam seu nome no Google, ele estava linkado à Lava Jato, o que dava a entender que ela estava sendo investigada, o que fez com que ela perdesse inúmeras oportunidades de emprego.
Para resolvermos isso, nós entramos em contato com a Lava Jato e pedimos para que o nome da minha cliente fosse retirado da petição inicial, que estava disponível na internet, ou para que a própria petição fosse retirada. Eles optaram por retirar a petição, pois não conseguiam retirar a referência ao nome da minha cliente.
Como se chega nas informações de pessoas jurídicas através dos nomes dos seus sócios, muitos deles pessoas físicas, não deveria haver alguma regulamentação para a divulgação dessas informações na internet? Faço essa pergunta, pois muitos desses sites que pregam “transparência”, não possuem nem mesmo CNPJ e não removem as informações uma vez que isso é solicitado
Essa regulamentação deveria vir da ANPD (Agência Nacional de Proteção de Dados) ou de um trabalho em conjunto da agência com a Controladoria Geral da União, de forma a que fossem feitas as estruturações jurídicas e tecnológicas não apenas para que o acesso fosse restringido, mas para que a propagação dos dados fosse dificultada. É preciso que a sociedade discuta com mais intensidade a colocação dessas barreiras, pois os hackers conseguem obter 80% das informações das pessoas apenas com o CPF, o nome e o e-mail.
É preciso também dificultar que informações privadas sejam compartilhadas, ilegalmente, por redes sociais, grandes empresas de segurança e empresas de marketing digital, já que existe um mercado promíscuo de data brokers. O que impede que as informações de uma promoção de Natal sejam utilizadas na Páscoa? Isso porque se uma pessoa participa de uma promoção de Natal, essas informações não podem ser utilizadas na Páscoa. Esses dados deveriam ser jogados fora, mas as empresas de marketing digital não fazem isso, pois eles têm um valor gigantesco para elas. Isso deveria ser trabalho da ANPD.
A resposta para a sua pergunta se relaciona com diversos campos, não envolvendo apenas o governo. Por mais que o governo seja uma parte do problema, existe todo um mercado privado que vive desse capitalismo de vazamento de dados, justamente para que as informações sejam atualizadas constantemente e tenham um valor imenso no mercado.
Mas se o governo vende as informações das pessoas jurídicas, o epicentro do problema é o próprio governo
Não só o governo. Esse é o grande erro. Hoje, o governo é o grande produtor de dados, pois ele tem as informações de uma pessoa como de saúde, educação, INSS e fiscais, mas por mais que ele possa ser um grande epicentro de dados, ele não está sozinho, pois há um mercado privado muito forte para captura de informações, que é feita em diversos locais como redes sociais, Google, Serasa, bancos e empresas de telefonia.
Por que as empresas de telefonia abriram mão das assinaturas mensais sem brigar? Porque muitas delas passaram a vender dados. O Procon-SP tem uma ação contra a Claro, já transitada em julgado, por vazamento/comercialização de dados. É por isso que nós temos que pensar numa dobradinha do Estado com as grandes empresas desse capitalismo de dados.
Eu sei que o problema é mais amplo, mas no caso das informações de pessoas jurídicas que são vendidas pelo Serpro, o epicentro é o governo
Não. Nós temos que derrubar a lógica de que os dados estão com o governo. Nós temos tantos vazamentos e acessos, que já existem várias outras formas de se obter os dados sem ser através do governo. O que o governo está dando é outra característica dos dados: a atualização. Quem vai dar a atualização de que uma pessoa física continua sócia de uma empresa é o Estado, mas hoje essa atualização pode ser obtida em outros lugares. Essa é a grande sacada do capitalismo de dados: a atualização contínua.
O Estado pode ter informações mais desatualizadas do que muitas empresas. Os bancos têm seus dados atualizados todos os dias através dos seus aplicativos. O C6 criou a função “Locais Seguros” no aplicativo para a realização de Pix. Se você fizer o Pix de casa, a transação é autorizada, mas se ele for feito de um local diferente, ele será bloqueado. Ao mesmo tempo em que isso é inteligente, é devastador saber como se tem acesso a geolocalização e quanto isso é importante. Isso é um exemplo de informação atualizada, mas o que é feito com ela, ninguém sabe.
Leia também:
Instituto começa a identificar indenização por vazamento de dados do Auxílio Brasil
Você tem visto algum tipo de preocupação por parte das autoridades e das empresas com relação a esse assunto?
Não, nenhuma. Recentemente, o Governo Federal soltou um decreto sobre o comitê de cibersegurança, que será constituído por representantes do governo e da sociedade civil, só que quem tomou conta da representação da sociedade civil foram as empresas. Quando se forma um comitê desse tipo e se coloca representantes do setor empresarial, que não defendem os titulares dos dados, você vê que o governo não entende o tamanho do problema.
Outro ponto é a forma como funciona a ANPD, que é um lixo. Pode escrever dessa forma. Ela é incompetente e sua atuação é vergonhosa. Não é apenas o Victor Hugo que diz isso, mas o próprio mercado. A falta de atuação da ANPD nesta área nos coloca em risco diário. A ANPD não recebe qualquer entidade de defesa dos titulares de dados, mas recebe as empresas e as entidades que defendem os seus direitos.
Existem muitas pessoas físicas que ficam enxugando gelo na tentativa de controlar a exposição das informações de suas pessoas jurídicas, e, consequentemente, das suas informações, na internet, que surgem feito uma hemorragia na rede. Diante de um quadro como esse, o que essas pessoas podem fazer?
Sozinhas, elas não podem fazer nada, pois as respostas não podem ser construídas individualmente. Hoje, a questão não é mais ter acesso, pois todos têm acesso, mas sim recuperar o controle da situação. A solução tem que ser coletiva, inovadora e precisa trazer as empresas de volta para a questão, pois não adianta demonizá-las. Caso uma empresa não queira estar em compliance com a LGPD, que ela sofra as consequências.
A disponibilização dessas informações precisa respeitar a privacidade das pessoas e a proteção de dados, que é um direito fundamental garantido constitucionalmente. Para termos o controle dos nossos dados, nós precisamos, na prática, de estruturas sociais mais parrudas, firmes e significativas, pois hoje nós temos direitos, mas não temos as ferramentas para que possamos exercê-los.
