A cada minuto, mais de 455 brasileiros têm seus dados pessoais vazados na internet, segundo estudo da Surfshark, empresa holandesa de segurança cibernética.
Apenas no segundo trimestre deste ano, cerca de 3,2 milhões de pessoas sofreram algum tipo de exposição no país. São informações como RG, CPF, CNH, registros bancários, números de celular e outros documentos que, uma vez em mãos erradas, acabam não apenas em dor de cabeça, mas em prejuízos para seus titulares.
A aposentada Regina Silva, de 66 anos, moradora da zona sul de São Paulo, é um exemplo. Sem saber como uma instituição financeira conseguiu suas informações pessoais, tornou-se vítima do uso não autorizado de seus dados, quando uma linha de crédito apareceu em sua conta sem que ela soubesse a origem. "Eu pensei "mas que dinheiro é esse?" e fui checar", diz.
Ao identificar uma TED, Regina acionou seu banco. "Pedi para devolver, mas disseram que era eu quem tinha de cuidar disso." Ela então ligou para a instituição financeira que fez o depósito, disse que não reconhecia aquele crédito, mas foi informada que haviam recebido um contrato assinado por ela.
Nas semanas seguintes, não obteve qualquer explicação. "Se existia um contrato, eu tinha que estar conivente com ele. E eu nunca havia falado nem assinado nada com essa instituição." Regina então acionou a ouvidoria e esperou alguma resposta.
Cerca de um ano depois, a empresa ainda insiste que tinha um contrato assinado por ela. Já a ouvidoria disse apenas que o erro foi cometido por um funcionário, desligado da empresa. Por fim, Regina devolveu o valor que havia sido indevidamente creditado em sua conta, mas segue sem saber como conseguiram seus dados pessoais.
Situação como a vivida por Regina reforça uma preocupação crescente quanto à privacidade.
Entre 2018 e 2019, o aumento no número de vazamentos de dados no Brasil foi de 493%, segundo pesquisa do MIT (Massachusetts Institute of Technology). Foram três grandes incidentes em 2018 e, em 2019, esse número chegou a 16.
Em janeiro de 2021, 223 milhões de dados pessoais de brasileiros foram vazados e, no mês seguinte, 102 milhões de contas de celular caíram na rede. O país é o 12º no ranking de mais atingidos por vazamentos.
O que fazer se os dados vazarem?
Mas o que o cidadão pode e deve fazer quando tem seus dados expostos?
Além de trocar imediatamente todas as suas senhas, é preciso tentar entender como ocorreu o vazamento, identificar de onde veio, entrar em contato diretamente com a instituição e questioná-la.
Caso isso não seja possível, como não é na maioria dos casos, a Autoridade Nacional de Proteção de Dados (ANPD), órgão do governo federal responsável pela área de segurança das informações dos cidadãos, deve ser acionada.
Ela orienta o titular a reunir evidências relacionadas à origem do vazamento e tipo de dados pessoais expostos, tanto no caso de empresas privadas como no de órgãos públicos.
"Pela Lei Geral de Proteção de Dados (LGPD) é possível enviar demandas às empresas e denúncias à ANPD", explica o sócio de inovação e tecnologia e solução de disputas do escritório L.O. Baptista Advogados, Fabrício Polido.
"Para o envio de comunicações que se enquadrem nessa situação, o cidadão deve recorrer ao Peticionamento Eletrônico do Sistema SEI, utilizado pelos órgãos da administração federal, como a ANPD".
Se a origem do incidente for um órgão público, ao reunir evidências, o cidadão pode enviar a denúncia ao próprio órgão.
A vítima também deve abrir um boletim de ocorrência em uma delegacia que lide com crimes cibernéticos. Em algumas é possível realizar esse processo online, como no caso da Polícia Civil de São Paulo.
De acordo com o coordenador-geral de fiscalização da ANPD, Fabrício Lopes, uma vez que a questão de segurança chega até o órgão, a maior preocupação é saber se a instituição (pública ou privada) que detém as informações tomou medidas efetivas para proteger aqueles dados.
"Quanto maior o risco associado ao tratamento conferido pela empresa aos dados do cidadão, mais rigorosa deve ser a proteção", afirma. É o caso dos números de RG e CPF, que, uma vez expostos, elevam o risco de fraudes.
Cabe à ANPD avaliar se essas instituições foram transparentes. "Se alguém que possui seus dados pessoais sofre um incidente com esses dados e não te conta, você não tem sequer como se proteger, reagir ou se preparar para isso", diz Lopes. "Um dos pontos-chave é justamente verificar se a empresa ou órgão público comunicou a ocorrência do incidente."
Para o diretor de relações governamentais da Latam e líder global de políticas ESG da IBM, Fábio Rua, o mau uso dos dados pessoais impacta diretamente na credibilidade da empresa.
"Quando um ataque é consumado, tem que haver uma estrutura dentro da empresa pronta para reagir e comunicar a todos os envolvidos o que aconteceu." O problema é que nem todas as empresas fazem isso. Do outro lado, os usuários também parecem não ter a real dimensão dessa questão.
É essencial que haja uma higiene cibernética, conforme explica o professor e diretor-executivo do Instituto de Tecnologia e Sociedade do Rio (ITS), Fabro Steibel.
"Não use senhas que sejam muito lógicas, de preferência use frases", destaca. "Precisamos primeiro de educação, porque enquanto não houver profissionais suficientes de TI, não vamos conseguir fazer a infraestrutura ser segura, falta gente para realizar isso".
Além disso, o professor afirma que também é preciso fortalecer sempre a LGPD. "E precisamos que as pessoas se importem tanto com dados pessoais como se importam com consumo."
Com informações da Folha de S. Paulo