Cinco Anos da Lei Geral de Proteção de Dados (LGPD): Um Olhar sobre Avanços e Desafios
Já se passaram 5 anos da criação da Lei 13.709 (LGPD). Nos últimos anos, vimos a privacidade e a proteção dos dados pessoais se tornaram preocupações centrais no cotidiano. Com o crescente fluxo de informações e a crescente interconectividade, a necessidade de regulamentação se tornou inegável. Mas o que realmente mudou com a Lei?
Para entender melhor sobre o tema, hoje vamos abordar sobre:
Os Maiores Casos de Vazamento de Dados Conhecidos
Voltando um pouco na linha temporal, vemos que incidentes vazamento de dados pessoais já afetam instituições mesmo antes da vigência da LGPD. Diversos casos de vazamento de dados chamaram a atenção para a importância de salvaguardar informações sensíveis. Entre os incidentes mais notórios, destacam-se:
Caso Carolina Dieckmann (2012)[1]
O caso refere-se a um incidente envolvendo a atriz brasileira Carolina Dieckmann, que teve suas fotos íntimas expostas na internet sem sua autorização.
Na época, fotos pessoais de Carolina Dieckmann foram hackeadas de seu computador pessoal, e os criminosos exigiram dinheiro para não divulgar o conteúdo. Quando a atriz se recusou a pagar, as imagens foram divulgadas publicamente na internet, causando constrangimento e impacto emocional significativo.
O caso ganhou ampla cobertura da mídia e gerou discussões sobre a falta de legislação adequada para lidar com crimes virtuais no Brasil. A ausência de leis claras e eficazes para combater invasões de privacidade e divulgação não autorizada de conteúdo pessoal levou à aprovação da Lei nº 12.737/2012, também conhecida como “Lei Carolina Dieckmann”. A Lei estabeleceu penalidades para ações ilegais envolvendo computadores e sistemas informatizados.
Yahoo (2013-2014)[2]
Em agosto de 2013, após sofrer uma invasão, o site Yahoo informou o vazamento de dados como nome, telefone, data de nascimento e senha de 3 bilhões de usuários.
Equifax (2017)[3]
Entre maio e junho de 2017, cibercriminosos tiveram acesso a cerca de 150 milhões de registros do serviço de monitoramento de crédito da Equifax, com sede em Atlanta, explorando uma vulnerabilidade do Apache Struts sem atualização de segurança.
A violação afetou aproximadamente 56% da população americana e milhões de consumidores no Reino Unido, resultando em perdas de mais de US$ 1,35 bilhão à Equifax.
As informações expostas incluíram nomes, números do Seguro Social, datas de nascimento, endereços e, em alguns casos, números de carteira de motorista.
Facebook e Cambridge Analytica (2018)[4]:
Em 2018, veio à tona um escândalo envolvendo o Facebook e a empresa de consultoria política Cambridge Analytica. A Cambridge Analytica era conhecida por usar dados de usuários para criar perfis psicográficos e direcionar mensagens políticas personalizadas durante campanhas eleitorais.
O incidente começou quando um pesquisador da Universidade de Cambridge, Aleksandr Kogan, havia coletado informações de perfis do Facebook por meio de um aplicativo de teste psicológico. Embora Kogan tenha coletado esses dados de forma legítima, ele violou os termos de serviço ao compartilhar essas informações com a Cambridge Analytica.
A empresa as usou para criar perfis detalhados de eleitores e supostamente, as usou para influenciar as eleições, incluindo eleições presidenciais como as dos Estados Unidos em 2016.
A revelação do incidente desencadeou uma série de consequências para o Facebook. Houve um grande aumento nas preocupações com a privacidade dos dados e na regulação das mídias sociais. Mark Zuckerberg, CEO do Facebook, teve que prestar depoimentos perante o Congresso dos EUA e outros órgãos regulatórios para explicar o ocorrido.
Como resultado, o Facebook implementou mudanças em suas políticas de privacidade e restringiu o acesso de aplicativos a dados de usuários. Além disso, houve um aumento geral na conscientização sobre o uso ético e responsável dos dados pessoais nas plataformas online.
Marriott International (2018)[5]
A cadeia de hotéis teve um de seus bancos de dados comprometidos por causa da ação de hackers em seu banco de dados de reservas Starwood, expondo os dados pessoais de aproximadamente 500 milhões de clientes.
SolarWinds (2020)[6]
Este ataque cibernético comprometeu várias agências governamentais e empresas privadas. Neste caso, diretores da empresa ainda acusam pelo vazamento da senha “solarwinds123”, que pode ter sido o ponto inicial do ataque à cadeia de suprimentos que a empresa sofreu no final de 2020.
Nossas observações
Com esses exemplos, conseguimos entender que a LGPD não apenas estabelece diretrizes rígidas para o tratamento de dados pessoais, mas também visa garantir direitos fundamentais de privacidade, liberdade e autodeterminação informativa do titular de dados.
Para efetivação desses direitos, a LGPD traz consigo diversas regulações que permitem não apenas a garantia de direitos, como maior controle e segurança das atividades de tratamento exercidas pelo agente de tratamento.
Para realizar toda gestão de atividades e conformidade que uma empresa deve ter em relação a proteção de dados pessoais, a LGPD estabelece a figura do Encarregado de Dados Pessoais (DPO), profissional designado para supervisionar a conformidade com a LGPD e outras regulamentações de proteção de dados. Suas funções incluem:
Monitoramento e Aconselhamento: O DPO orienta a organização sobre questões relacionadas à privacidade e proteção de dados, garantindo que políticas e práticas estejam em conformidade com a lei.
Fiscalização Interna: O DPO monitora as atividades de tratamento de dados dentro da organização, identificando potenciais riscos e garantindo que medidas adequadas sejam tomadas para mitigá-los.
Ligação com Autoridades Reguladoras: O DPO é o ponto de contato entre a organização e as autoridades de proteção de dados, facilitando a comunicação e a cooperação em questões de conformidade.
Conscientização e Treinamento: O DPO promove a conscientização sobre a importância da proteção de dados entre os funcionários, auxiliando na implementação de treinamentos e melhores práticas.
Resposta a Incidentes: Em caso de violações de dados, o DPO desempenha um papel crucial na avaliação e notificação das autoridades e indivíduos afetados.
As empresas que não se adequarem a legislação podem ficar sujeitas a sofrer sanções administrativas da Autoridade Nacional de Proteção de Dados (ANPD). O órgão disponibilizou no início deste ano, a sua agenda regulatória de 2023/2024, mecanismo utilizado para estabelecer suas ações prioritárias. Até agora, o órgão já cumpriu com alguns temas como dosimetria das penas e procedimentos de sanção.
[1] https://www.defensoria.ce.def.br/noticia/lei-carolina-dieckmann-10-anos-da-lei-que-protege-a-privacidade-dos-brasileiros-no-ambiente-virtual/
[2] https://exame.com/negocios/ciberataque-ao-yahoo-afetou-as-3-bilhoes-de-contas-da-empresa/
[3] https://www.cisoadvisor.com.br/equifax-faz-acordo-por-vazamento-de-dados-mas-prejuizo-e-bilionario/#:~:text=A%20viola%C3%A7%C3%A3o%20afetou%20aproximadamente%2056,n%C3%BAmeros%20de%20carteira%20de%20motorista.
[4] https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml
[5] https://g1.globo.com/economia/tecnologia/noticia/2018/11/30/vazamento-de-dados-dos-hoteis-marriott-pode-ter-afetado-500-milhoes-de-clientes-diz-a-rede.ghtml
[6] https://edition.cnn.com/2021/02/26/politics/solarwinds123-password-intern/index.html?ref=thehack.com.br