Foto: Marcello Casal Jr/Agência Brasil
Megavazamento expôs os dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos no País 25 de abril de 2021 | 09:46

Falhas na segurança tornam o Brasil alvo fácil para hackers

brasil

Desde janeiro, o brasileiro não tem um dia de paz em relação a sua segurança digital. O megavazamento, que expôs os dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos no País colocou luz sobre uma temporada agitada no mercadão ilegal de informações pessoais.

A sequência de vazamentos nos meses seguintes assustou e fez surgir questionamentos quanto à capacidade do País em coibir eventos do tipo. Embora seja difícil determinar se o Brasil é mais vulnerável do que outras nações, especialistas de empresas, de universidades e do terceiro setor mostram que há por aqui um terreno fértil para a ação de cibercriminosos e incidentes de cibersegurança. Segundo eles, estamos em desvantagem internacional em termos de práticas governamentais de cibersegurança, de investimentos feitos pelas empresas e de promoção de uma cultura de privacidade entre a sociedade civil.

Segundo o Índice Global de Cibersegurança, publicado em 2019 pela União Internacional das Telecomunicações, entidade da Organização das Nações Unidas (ONU), o País ocupa a 70.ª posição, atrás de outros países latinoamericanos, como Uruguai, México e Paraguai. Em primeiro lugar está o Reino Unido, referência mundial no tema, seguido dos Estados Unidos e da França.

Para Louise Marie Hurel, coordenadora do Programa de Segurança Digital do Instituto Igarapé, esse mau posicionamento internacional só confirma nossas vulnerabilidades. “Temos visto isso desde o ano passado com os ataques cibernéticos ao Supremo Tribunal de Justiça (STJ) e ao Tribunal Superior Eleitoral (TSE) e com o megavazamento de dados”, aponta — para ela, deixar essas áreas mais vulneráveis é afetar o andamento da Justiça e da democracia brasileira. “Por isso vemos a necessidade de preparar melhor o Brasil para a proteção de dados”, completa.

BRASIL TEM LEIS, MAS FALTA EXECUTÁ-LAS

Não é que o Brasil não tenha leis sobre o tema. Elogiada por dar base legal ao tema de privacidade e segurança, a Lei Geral de Proteção de Dados (LGPD) foi aprovada em 2018 com o intuito de apontar princípios básicos da proteção de dados, similar ao que foi o Código de Defesa do Consumidor nos anos 1990: proteger o cidadão e estabelecer seus direitos. A LGPD institui que os dados das pessoas são, é claro, das pessoas, e não das empresas e dos governos responsáveis pelo armazenamento e processamento dessas informações.

Além disso, em setembro de 2020, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), uma entidade independente para ter poder executor no assunto, aos moldes de outras legislações internacionais (como a GDPR, da União Europeia). A criação da agência é uma exigência da LGPD, afinal, será ela quem irá fiscalizar casos de vazamentos de dados e aplicar as devidas multas às empresas e ao governo — mas isso só terá vigência a partir de agosto deste ano.

Em fevereiro de 2020, o governo federal decretou a Estratégia Nacional de Segurança Cibernética (E-Ciber), que determina diretrizes sobre a proteção no ambiente digital a nível federal.

Para os especialistas, tudo isso é pouco – é preciso que as regras sejam executadas. “Não adianta termos o decreto de cibersegurança nacional se não existe articulação com a ANPD”, aponta a advogada Flávia Lefèvre, integrante do coletivo Intervozes. Ela defende que o governo alinhe todos os atores do setor para definir uma política nacional de cibersegurança.

Desde que entrou em funcionamento, a autoridade mantém perfil discreto – a primeira manifestação pública sobre o megavazamento de janeiro ocorreu somente oito dias após o caso se tornar público. A ação da Polícia Federal que resultou em março na prisão de dois suspeitos teve participação da ANPD, mas, para especialistas, ainda falta transparência nas iniciativas da agência.

“A ANPD precisa estabelecer as resoluções de como será feita a fiscalização. Falta saber os regulamentos de uma série de garantias que estão expressas na lei e depois colocar isso para consulta pública. Precisamos ter um piso regulatório. Sem ele, a ANPD não consegue atuar”, explica Flávia.

Para Davis Alves, professor e presidente da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), o País está em um cenário sem direcionamentos. Como resultado, cada companhia cria as suas boas práticas de cibersegurança e de proteção de dados com base em experiências de outros países. “Nesse cenário, corremos o risco de uma empresa investir em uma norma que pode não ser aceita no Brasil. Se a ANPD não criar um padrão próprio, ela precisa ao menos indicar qual modelo vai ser aceito”, diz.

ESTRUTURA DA ANPD É ENXUTA E VINCULAÇÃO À PRESIDÊNCIA PREOCUPA

Algumas das limitações da ANPD podem estar ligadas ao tamanho de sua estrutura. Com 29 funcionários, ela é bem menor que órgãos similares em outros países. “Existem 700 pessoas na autoridade supervisora (de proteção de dados e privacidade) do Reino Unido, a ICO. Na França, são 400 pessoas. Na Islândia, 300. No México, há cerca de 100 pessoas trabalhando,” diz Alves.

Outros especialistas apontam problemas na estrutura hierárquica. Em 2018, na criação da ANPD, o presidente Michel Temer a deixou vinculada à Presidência da República. No ano seguinte, a medida foi mantida por Jair Bolsonaro, que colocou a ANPD dentro da alçada do Ministério da Casa Civil, ligado à Presidência da República.

Desde aquela época, a decisão é criticada por especialistas principalmente porque abre brechas para interferências de caráter político sobre o que deveria ser um órgão do Estado, e não de governo. Uma dúvida trazida à tona regularmente é como deverá atuar a ANPD em casos em que o responsável pelo vazamento de dados é o próprio governo.

“Eu vejo um conflito de interesses claro na autoridade dentro da Presidência da República. Desse modo, a ANPD está sequestrada”, critica Flávia.

Danilo Doneda, membro do conselho diretor da Associação Internacional de Profissionais da Privacidade (IAPP), acrescenta que a sociedade é a grande perdedora dessa subordinação. “Isso prejudica o cidadão em situações em que ANPD tem de julgar e avaliar casos que sejam prejudiciais para o próprio governo”, aponta.

Ambos os especialistas apontam que, com uma ANPD fraca, a LGPD pode perder efeito. “É possível que a sociedade civil tenha de apelar para o Judiciário caso a autoridade não tenha autonomia institucional”, explica Doneda.

Flávia diz que é preciso mudar a estrutura da autoridade. “A chance de ter efetividade dos direitos que conquistamos com a LGPD fica muito pequena com uma ANPD dentro da Presidência da República. Assim, vamos depender de as pessoas e organizações da sociedade civil irem ao Judiciário reclamar seus direitos”, explica. “Nesse ritmo, corremos o risco de ter uma LGPD somente no papel”.

É uma visão também compartilhada no mundo corporativo. “No que diz respeito a ações de governo, estamos piores do que outros países do mundo. Não temos lei ativa”, diz Fabio Assolini, analista sênior da empresa de cibersegurança Kaspersky. “Até lá, quem fica com o prejuízo dos incidentes de vazamentos somos nós”.

O QUE DIZ A ANPD

Procurada pela reportagem, a ANPD, por meio de e-mail, diz que “todos os passos de regulamentação foram amplamente divulgados para sociedade”. Entre os temas prioritários para a agenda de 2021 estarão: regulamentação da aplicação da LGPD para micro e pequenas empresas, regulamentação do processo sancionador e sanções, regulamentação das notificações dos incidentes de segurança e regulamentação do relatório de impacto.

Sobre o número de funcionários, diz que se trata de estrutura introdutória de órgão recém-criado. Ela afirma que está trabalhando com outros quadros da administração pública para aumentar o quadro de funcionários. A autoridade, porém, não estabeleceu data para que isso ocorra.

Sobre a vinculação à Presidência, diz: “A ANPD foi criada com autonomia técnica e decisória – e desta forma vem atuando – para fiscalizar e elaborar diretrizes”. E completa: “A autoridade tem a sua natureza jurídica transitória e poderá ser transformada em uma entidade da administração pública federal indireta, submetida a regime autárquico especial. Isso é o que estamos buscando, em acordo com os órgãos responsáveis”. Novamente, ela não especificou datas, mas disse que tenta fazer isso “no menor espaço de tempo possível”.

Estadão Conteúdo
Comentários