LGPD

O que podemos aprender com o vazamento de dados pessoais da Ashley Madison e a LGPD?

O acesso não autorizado a site de relacionamentos que expôs dados de milhões de casados infiéis

Por Adib Feguri, Advogado

[email protected]

13/06/2024 15h30

Com um Slogan “A vida é curta, tenha um affair (caso)”, a empresa atraiu pessoas casadas de todo o mundo que tinham o objetivo de encontrar uma aventura fora das suas relações amorosas formais.

A Minissérie Documental da Netflix, Ashley Madison: Sexo, Mentiras e Escândalo, dirigida por Toby Paton e que foi baseada no vazamento, trouxe de volta à evidência o famoso caso da empresa de relacionamentos extraconjugais ocorrido em 2015.

Mas afinal, o que a empresa fazia?

Com a internet se tornando intrínseca ao dia-a-dia das pessoas, o canadense Darren J. Morgenstern percebeu que homens e mulheres interessados em aventuras extraconjugais poderiam formar um nicho de mercado promissor. Em 2002, fundou a Ashley Madison, um portal onde esses usuários podiam inserir seus dados pessoais, como fotos e preferências sexuais para alimentar o sistema com seus perfis e permitir a conexão com possíveis amantes nas proximidades. O portal permitia que as mulheres iniciassem conversas com outros membros gratuitamente, enquanto os homens precisavam comprar créditos para fazer o mesmo. Após resultados muito tímidos nos primeiros anos, a empresa impulsionou o número de usuários por meio de uma estratégia de marketing habilidosa, agressiva e controversa, implementada por Noel Biderman, que entrou como novo CEO da empresa em 2007.

Como a maioria das redes online recusaram-se a transmitir os anúncios da Ashley Madison, Biderman recorreu a redes televisivas dos Estados Unidos com frases polêmicas como afirmar que a infidelidade trazia benefícios aos relacionamentos, além de publicações apelativas em sites e outdoors.

“74% dos Homens dizem que teriam um caso extraconjugal se não fossem pegos!
O que você está esperando?”

O sucesso nas mídias fez a empresa ver seu número de usuários subir exponencialmente, atraindo público de todo mundo e chegando a um auge de mais de 37 milhões de usuários, o que tornou o site alvo de diversas críticas daqueles que consideravam o site imoral e atentatório aos valores tradicionais.

E como o vazamento ocorreu?

O Site, que prometia discrição absoluta e alto padrão de segurança das informações pessoais de usuários tratadas, ainda cobrava valores de usuários por uma “exclusão completa”, mas não foi verdadeiro em relação as garantias oferecidas, conforme admitido por ex-funcionários no documentário, de forma que os dados dos usuários não foram excluídos.

Em 2015, o grupo denominado The Impact Team (A Equipe de Impacto), realizou o acesso não autorizado nos sistemas da empresa e extraiu quase todas as informações dos servidores.

Para a surpresa da empresa, o grupo não exigiu resgate para exclusão dos dados, mas sim que as atividades da Aslhey Madison fossem encerradas em até 30 dias, ou os dados seriam difundidos na dark web.

Mesmo após a contratação de Hackers para encontrar os responsáveis e diversas tentativas fracassadas, a Ashley Madison não se submeteu a chantagem e nem conseguiu impedir o vazamento.

Os dados de aproximadamente 32 milhões de pessoas foram divulgados na dark web pelo grupo. As informações vazadas incluíam Nomes, Fotografias, Endereços, E-mails e Preferências Sexuais, inclusive do próprio Biderman, revelando que o mesmo procurava repetidamente por acompanhantes jovens .

Além disso, outro compartilhamento de dados envolveu imagens íntimas, fantasias sexuais números de cartão de crédito e mais informações privadas dos usuários.

O que era restrito a dark web migrou em pouco tempo para a internet comum. A partir desse ponto era possível rastrear se uma pessoa havia utilizado o site apenas informando o e-mail de um usuário.

O ocorrido tomou proporções históricas, onde milhares de pessoas passaram a apontar e caçar suspeitos de infidelidade no site, que iam desde cônjuges a vizinhos e celebridades. Os diversos casos resultaram em incontáveis separações e danos a imagens de pessoas ao redor do mundo, além de outros casos famosos como o do casal Sam e Nia Rader e até o suicídio do Pastor Gibson.

E o que podemos aprender com a proteção dos dados pessoais nesse caso?

Após o famoso caso de vazamento de dados, Biderman  renunciou ao cargo de CEO e anos depois da polêmica em questão, a plataforma foi reestruturada. Em 2017, a empresa negociou e fechou uma ação coletiva estimada em US$ 576 milhões movida por ex-clientes por US$ 11,2 milhões, ainda que seus dados permaneçam online.

O sucessor de Biderman, Rob Segal, prometeu novas medidas de proteções e segurança. Conforme informado na série documental, o site afirma ter atualmente mais de 70 milhões de usuários, mas agora utilizam um marketing discreto. Evan Back, amigo de infância de Biderman e ex-vice-presidente de vendas da empresa, diz na série: “Não me surpreende que ainda exista hoje”.

A repercussão do caso é muito importante para analisarmos quais são as reais consequências em não mantermos um ambiente seguro de tratamento de informações pessoais e medidas de governança dos dados tratados, e também abre espaço para questionamentos acerca de como deveria ocorrer a resposta e mitigação de um incidente dessa proporção.

Sabemos ser crescente a preocupação com a proteção dados pessoais e suas regulações em países ao redor do mundo. Normas como a Lei Geral de Proteção de Dados (LGPD) e General Data Protection Regulation (GDPR) tem gradativamente apontado aos agentes de tratamento o caminho para manutenção da segurança e respaldo aos direitos dos titulares de dados.

A conformidade com os padrões de segurança previstos nessas normas tem se tornado os requisitos mínimos para manutenção da reputação e credibilidade de qualquer empresa que atue com o tratamento de dados pessoais de usuários, como fazia a Ashley Madison.

Mas como podemos garantir a segurança das informações?

Com regulamentações e ambientes cada vez mais tecnológicos, vivemos um efeito manada onde empresas de prestígio investem cada vez mais em projetos e mecanismos de segurança das informações pessoais contidas em seus processos de tratamento, e consequente ferramenta para tomada de decisões pela alta gestão.

Essas empresas, à medida que se adequam, passam a exigir a adoção do mesmo nível de segurança para seus fornecedores e parceiros, isso porque além das possíveis consequências reputacionais potencialmente sofridas em caso de associação da empresa a escândalos de vazamento em parceiros ou fornecedores, ainda temos na LGPD a previsão da responsabilidade solidária do controlador em relação aos agentes de tratamento (Controlador e Operador).

Esse comportamento de manada reflete a crescente preocupação dos agentes com a proteção de dados pessoais dentro das chamadas supply chains (redes de fornecimento), que envolvem não apenas uma empresa, mas toda a rede de negócios necessária para criação e entrega de um produto ou serviço que envolva o tratamento.

É nesse contexto que aparece a importante figura do Encarregado de Dados Pessoais (DPO), definida tanto na LGPD quanto na GDPR. O DPO ou encarregado é o profissional responsável pela implementação das medidas de conformidade com as leis de proteção de dados pessoais, assim como por garantir o compliance das atividades de tratamento com colaboradores, clientes, fornecedores, parceiros e demais steakholders envolvidos nas atividades do controlador. O profissional ainda é responsável por responder e tomar providências sobre requisições de titulares de dados, e por servir como canal de comunicação com a Autoridade Nacional de Proteção de Dados (ANPD), autarquia que regula o tema no país.

E para possibilitar a atuação desse profissional, é imprescindível que o Controlador passe por um projeto de Adequação a LGPD, isso porque diversas são as ferramentas e mecanismos necessários para correta implementação de medidas que garantam efetividade, conformidade e segurança do agente, como a avaliações de maturidade, mapeamento, avaliação de riscos, elaboração e implementação de documentações, além de outras implementações de fluxos aptos a manter o controle das operações. Acesse nossos guias sobre o tema através do link:  https://claudiozalaf.com.br/

Notícias em destaque

Últimas Notícias

Leia mais

Tecnologia

A Regulação da Inteligência Artificial no Poder Judiciário: Análise Jurídica da Resolução CNJ nº 615/2025 e seus Efeitos sobre a Advocacia e a Jurisdição
Gestão

Gestão de Cultura Organizacional e Integração: Estratégias e Desafios para Escritórios Jurídicos
Societária e Contratual

Séries de Streaming: A Importância da Assessoria Contratual para Proteger Direitos de Atores e Autores
Informativo Cível

A importância da cláusula penal nos contratos
Informativo Tributário

A Importância do Acompanhamento Jurídico na Recuperação de Crédito Tributário no Cenário Empresarial
Informativo Tributário

Nova subárea tributária – Compliance Fiscal
Informativo Trabalhista

A possível reintrodução da contribuição sindical: impactos e reflexões para as empresas
Informativo Tributário

Parceria com a Consulcamp para a Regularização Tributária e Benefícios Fiscais.
Informativo Tributário

Primeira etapa da Reforma Tributária
Informativo Tributário

Abertura de Subárea Tributária – Reforma Tributária

Veja todas as notícias