Na última sexta-feira (19), a Polícia Federal deflagrou a Operação Deepwater, que investiga os fatos criminosos relacionados à obtenção, divulgação e comercialização das informações obtidas através do megavazamento de estimados 223 milhões de CPFs e 40 milhões de CNPJs ocorrido em janeiro de 2021. Após diversas diligências, a Polícia Federal identificou o suspeito, bem como um segundo hacker que estaria vendendo os dados por meio de suas redes sociais. Além dos 5 mandados de busca e apreensão realizados nos municípios de Petrolina/PE e Uberlância/MG, a Polícia Federal prendeu preventivamente o hacker Marcos Roberto Correia da Silva, conhecido como VandaTheGod, que seria o principal suspeito pelo megavazamento de informações.
Esse problema está longe de ser esclarecido. Se olharmos objetivamente, estamos diante de um quadro com muitas dúvidas, poucas respostas e um grande silêncio. As empresas responsáveis que detinham as informações, e que falharam grosseiramente na sua guarda, sabem que foram hackeadas, mas permanecerão propositalmente em silêncio.
O ponto é: como empresas com as quais não nos relacionamos conseguem informações pessoais que não compartilhamos? Nos últimos anos, nós passamos a ter empresas que passaram a formar bases de dados pessoais gigantescas devido à existência de um comércio desses dados. Empresas que originalmente geram os dados através do seus cadastros, comercializam essas informações com outras empresas, que formam bases de dados cada vez maiores. E, para piorar a situação, você pode até não se dar conta, mas foi você que autorizou a comercialização dos seus dados.
Para entendermos melhor esse assunto, conversamos com Victor Hugo Pereira Gonçalves, presidente do Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (Sigilo), sobre como essas empresas obtêm esses dados; se existe regulação sobre esse comércio de dados; de quem é a responsabilidade pelo vazamento, se da empresa que comprou ou da empresa que vendeu, e sobre os contratos que nos são impostos de forma unilateral por algumas empresas e que possuem uma cláusula, que muitas vezes passa despercebida, que autoriza a comercialização dos meus, dos seus, dos nossos dados pessoais.
Como empresas com as quais não nos relacionamos obtêm informações que não compartilhamos? Existe um comércio de informações pessoais?
Temos que entender que existe um mercado de compra e venda de dados gigante, que não entendemos. Todos os grandes conglomerados que possuem um banco de dados imenso negociam os nossos dados. Por exemplo, as empresas de telecomunicações negociam diariamente nossos dados.
Desde os anos 2000, o modelo de negócio de telecomunicações foi revolvido de cabo a rabo. As teles, que antigamente ganhavam dinheiro com ligações telefônicas e assinaturas fixas mensais, tiveram de mudar a forma de se tornarem lucrativas. Por conta da posição dominante na infraestrutura de comunicação, ou seja, elas possuem as redes por onde trafegam os dados de internet, passou a ser utilizada para prover diretamente ao usuário o acesso à internet.
Por outro lado, com a digitalização das redes físicas de telecomunicações e a ampliação das redes de telefonia móvel, uma outra oportunidade surge com a convergência das mídias tradicionais com as novas mídias. Aí, um novo modelo de negócios se desenvolveu dentro das teles: o comércio de dados.
Quem tem acesso à geolocalização do seu celular? Quem sabe quais sites você acessa? Por onde você anda? Onde você mora? Com quem você se relaciona? Por todos esses e outros motivos que o comércio de dados é parte de um grande faturamento das teles e, até hoje, ninguém questionou. Quer dizer, o Sigilo está questionando esse modelo de negócio numa ação civil pública que entramos contra a Claro.
Existe regulação sobre esse comércio? Caso haja um vazamento de informações, as empresas que venderam ou compraram as informações vazadas respondem legalmente pelo problema?
A Lei Geral de Proteção de Dados (LGPD) veda a compra e venda de dados. Os dados pertencem ao titular de dados. Os controladores que coletam os dados do titular somente podem realizar o tratamento mediante o consentimento ou o legítimo interesse, baseado num fundamento legal e constitucional. O comércio, o compartilhamento ou a cessão de dados, sem a anuência e a comunicação ao titular, é ilegal. Acreditamos, no Sigilo, que o comércio de dados é tão ou mais prejudicial que o vazamento de dados. O comércio de dados esconde as redes e estruturas mercadológicas que se locupletam com os direitos personalíssimos do titular.
Caso ocorra um vazamento com os dados negociados, todos que estiveram em posse desses dados são responsáveis solidariamente pelo incidente. Logicamente que o controlador dos dados, aquela que capta e coleta primeiramente os dados, é a parte principal desse esquema criminoso. Por exemplo, o Sigilo está processando a Serasa por conta desse modelo de negócios que comercializa os nossos dados sem nos comunicar. Eles alegam que o vazamento ocorreu fora de seus servidores. Contudo, temos informações que a base de dados vazada são de origem da Serasa e seus serviços específicos, tal como o Mosaic. Se a Serasa não é responsável direto do vazamento dos 200 milhões de pessoas, ela, por seu modelo de negócio, deu causa, indiretamente, a ele.
Nos últimos anos, passamos a ter relações comerciais que são formalizadas através de contratos que não podem ser discutidos. Se a pessoa não assina o contrato do jeito que ele está, a pessoa não pode comprar ou contratar. Em sua maioria, são esses contratos que possuem cláusulas que autorizam a comercialização das informações do contratante. Como uma pessoa deve agir quando precisa formalizar um contrato, mas não concorda com essa cláusula? O que fazer quando uma pessoa quer contratar um serviço, mas todas as empresas de um determinado mercado impõe essa cláusula sem qualquer possibilidade de discussão?
Infelizmente, as estruturas tecnológicas e jurídicas atualmente existentes servem para esconder do titular de dados os usos e direcionamentos que as empresas dão a nossos dados. É de propósito que eles nos retiram a conexão de nossos dados. É uma política de total despertencimento de nós mesmos. Por isso que enfrentar essas cláusulas é de difícil efetividade para o titular. Não podemos individualmente enfrentar essas práticas. O caminho é outro. Temos de enfrentar esses contratos, judicial e extrajudicialmente, por meio de mecanismos legais e tecnológicos de uma outra ordem. É um novo direito que está totalmente dissociado do direito estatal que conhecemos. É um direito novo dos controladores de dados. Precisamos ter uma abordagem mais ampla e menos individual.
Leia mais:
