Por André Martins Gonçalves, Bruno Menegon Nossig, Caio Mattos e Henrique Votto
A moeda da economia digital são os dados, sendo a segurança destes de extrema importância para países, empresas e cidadãos. Mudanças na legislação são pautas recorrentes no Brasil e no mundo, porque a proteção das informações causa reflexos na economia e na política.
Dados pessoais são informações que podem levar à identificação de uma pessoa. Abrangem tanto dados cadastrais (CPF, RG, endereço) quanto informações que, contextualizadas, servem para que alguém seja identificado – como, por exemplo, registros eletrônicos, informações de geolocalização e hábitos de consumo.
O vazamento de informações confidenciais das empresas compromete as estratégias econômicas dessas corporações, o que torna a segurança de dados essencial. De acordo com o Diretor da Center for Computer Systems Security (CCSS) e professor da University of Southern California (USC), Clifford Neuman, a falta de proteção pode ser o fracasso de uma organização e a fonte de ganho para as indústrias criminosas.
“No que diz respeito aos grandes vazamentos de dados, a informação cria perdas para os consumidores e companhias, além do ganho para os empreendimentos criminosos que usam os recursos para outros propósitos, incluindo terrorismo”, adiciona.
Além da preocupação com o release interno, as empresas buscam aumentar a proteção dos dados pessoais de seus clientes, pois a maior garantia de segurança a eles gera para a corporação uma maior confiabilidade no mercado.
De acordo com Giuliano Giova, pós-graduando em Sistemas Eletrônicos pela Escola Politécnica de São Paulo (Poli-USP), todos os setores econômicos adotam uma intensa gama de tecnologias em informação e comunicação, o que evidencia a importância da proteção de dados. Perito judicial em alta tecnologia, ele também pontua que o aumento do uso das redes por parte da sociedade agrava ainda mais o problema.
“Os provedores de conexão e de aplicações passam a receber dados cada vez mais diversificados e em quantidades muito maiores”, comenta Giova. “Agravaram-se os riscos e as repercussões decorrentes de vazamento, do uso indevido ou mesmo de falhas, especialmente porque tais sistemas passam a controlar veículos, fábricas, equipamentos médicos e praticamente todos os dispositivos da vida contemporânea”.
O recente aumento de ataques cibernéticos reforça o benefício de uma alta qualidade de defesa. A forma mais conhecida de proteção é a criptografia, área que mistura conceitos matemáticos e engenharia para transformar ideias abstratas em aplicações mais práticas. Presente no aplicativo Whatsapp, o sistema protege os envios de mensagens, impedindo a leitura por parte do interceptador. Isso ocorre porque apenas os participantes da conversa têm permissão para interpretar o conteúdo.
De acordo com Marcos Simplício, professor da Poli-USP e pesquisador no Laboratório de Arquitetura e Redes de Computadores (LARC), a criptografia de defesa passa por mudanças atualmente. “Hoje em dia, a área não se resume à confidencialidade de dados, mas cobre também integridade (capacidade de detecção de alterações indevidas), autenticidade (capacidade de identificar as entidades que estão se comunicando, sejam elas máquinas ou humanos), irretratabilidade (impedir que alguém negue ser o criador de uma mensagem, princípio que tem a ver com as “assinaturas digitais”), entre outros”, explica o professor.
Outras formas de defesas foram desenvolvidas, entre dispositivos computacionais, como firewall e antivírus, até técnicas mais físicas, como peças de hardware com função de impedir vazamento de informações secretas. Apesar disso, Simplício afirma que não há nenhuma forma que garanta total segurança.
“Existem muitas técnicas para proteção de dados, e comumente elas são combinadas para tratar diversos requisitos de segurança distintos. Essa junção não garante sistemas 100% seguros, pois isso é impossível, mas eleva o custo do ataque em termos de tempo, recursos computacionais, conhecimento técnico, e, com isso, consegue dissuadir os atacantes”, explica o professor da Poli.
Casos ordinários, novas amplitudes
Casos de violações da segurança de dados vêm sendo cada vez mais noticiados, juntamente com seus impactos nas esferas da sociedade. Entretanto, não é um fenômeno recente, conforme afirma o também professor da Escola Politécnica, Edson Gomi. “Isto não é algo que começou a acontecer agora. O que mudou com a internet é a amplitude da disseminação desses dados e das consequências dos vazamentos”, avalia o especialista.
“É preciso analisar caso a caso os eventos envolvendo a segurança dos dados”, acrescenta, “tendo em mente que é virtualmente impossível impedir a divulgação de dados de forma não autorizada”. “Isso pode acontecer por acesso não autorizado, divulgação não autorizada ou coleta não autorizada de dados”, lista o docente do Departamento de Engenharia da Computação e Sistemas Digitais.
Um exemplo de acesso indevido se deu no dia 17 de março deste ano, quando foi revelado o maior escândalo de uso ilegal de dados envolvendo uma rede social. Os jornais The Guardian e The New York Times divulgaram o que ficou conhecido como “Cambridge Analytica-Facebook”. O caso de destaque consistia na utilização, sem permissão, de informações de cerca de 87 milhões de usuários da rede.
O intuito era influenciar a eleição presidencial estadunidense de 2016 e o plebiscito do Brexit. A Cambridge Analytica (CA) conseguiu o acesso a esse volume de informações pessoais através de um aplicativo lançado na rede social em 2014.
Cerca de 300 mil usuários do Facebook aceitaram os termos e condições para participar de um teste de personalidade. Assim, os usuários concordaram em ceder suas informações para uso acadêmico. Entretanto, não sabiam que acabariam consentindo em passar, não apenas os seus dados, como também os dos seus amigos da rede.
O aplicativo em questão, desenvolvido por Aleksandr Kogan, apesar de não deixar claro, teve a coleta das informações ‘de forma legítima’, segundo o Facebook. Kogan era pesquisador da Universidade de Cambridge e tinha um estudo justamente sobre como deduzir a personalidade e inclinações político-ideológica de pessoas a partir, justamente, de seus perfis no Facebook.
Contudo, ele não seguiu as regras da rede social e, ao repassar as informações para a empresa de análise política de dados britânica (que não tem nenhuma vinculação com a Universidade), violou ‘as políticas’ do Facebook, caracterizando uma divulgação não autorizada. “Neste caso, a CA conseguiu acesso aos dados pessoais de 87 milhões de usuários do Facebook sem que eles tivessem dado autorização para isso”, comenta Edson.
Preocupação com segurança
“Cresce o papel da segurança de dados, abrangendo não apenas a prevenção de riscos quanto o vazamento de enorme quantidade de dados, no qual falhas ou sabotagens podem trazer consequências muito graves para a economia e política dos países”, avalia Giova.
Após a compra, a CA aplicou os dados na elaboração de um sistema que permitiu influenciar nas decisões para eleger o atual presidente dos Estados Unidos. A empresa atuou junto com a equipe de Donald Trump, na época candidato à presidência.
Os dados coletados incluíam informações pessoais (nome, idade, profissão, local de moradia), preferências e rede de contatos. Com as informações obtidas, foi possível catalogar os afetados e, desta forma, direcionar conteúdo favorável ao Trump.
Assim, principalmente para quem estava em dúvida, o fornecimento de material específico (incluindo até mesmo fake-news) era voltado para influenciar na escolha. “Fornecer a informação certa à pessoa certa, no momento certo, é mais importante do que nunca”, este era o lema de um anúncio da CA, que representa fidedignamente o papel que a empresa exerceu.
“O caso demonstrou como os dados podem ser utilizados para manipulação da opinião dos eleitores e que certamente tem um impacto social”, declara Clifford Neuman.
Outro fator relevante para a corrida presidencial estadunidense foi protagonizado pelo Wikileaks. A plataforma de vazamento de dados divulgou, ao longo de 2016, milhares de emails a respeito de Hillary Clinton que abalaram a imagem da candidata democrata.
Conforme consta em seu site, o Wikileaks é uma organização de mídia multinacional especializada na publicação de grandes conjuntos de dados confidenciais relacionados à guerras, espionagem e corrupção. Lançado em 2006, ganhou proeminência em 2010, ano em que Clinton era Secretária do Estado, quando o site divulgou documentos restritos do Departamento de Defesa dos Estados Unidos.
A revelação do material partiu de Bradley Manning, então analista de inteligência do órgão. “Neste caso, o Wikileaks teve acesso aos dados porque recebeu de um indivíduo agindo de dentro da organização”, caracteriza Gomi.
Apesar de diferentes, ambas situações revelam particularidades da questão da proteção de dados e de suas implicações. “Pessoalmente prefiro ver esses exemplos pelo lado positivo, em pelo menos dois aspectos”, argumenta Simplício.
“Ao perceber que gigantes da área de computação sofrem com falhas e ataques, gera-se maior preocupação com a necessidade de se aplicar mecanismos de segurança nos mais diversos cenários”, aponta. “E quando o tópico de segurança ganha atenção da mídia, é comum que apareçam mais alunos (de graduação e pós-graduação) interessados em desenvolver trabalhos na área”, complementa o pesquisador do LARC.
“Infelizmente, todo profissional da área de segurança sabe que a proteção de dados é muitas vezes considerada uma necessidade secundária”, lamenta Simplicio. Ele finaliza suscitando uma frase conhecida no ramo: “As pessoas se preocupam com segurança só quando têm problemas de segurança”.
O que diz a lei?
O presidente-executivo do Facebook, Mark Zuckerberg, prestou depoimento ao Senado dos Estados Unidos, pela primeira vez, no dia 10 de abril deste ano. O empresário foi interrogado por 44 senadores, prestando esclarecimentos quanto ao caso envolvendo a Cambridge Analytica e o Facebook, em certos momentos, explicando o funcionamento da navegação na rede social.
Perguntas como, “O Facebook se considera uma plataforma politicamente neutra?” e “Gostaria de compartilhar conosco o nome do hotel em que se hospedou na noite passada?”, foram respondidas por um inquieto Zuckerberg, durante longas cinco horas. Sintomaticamente, esse escândalo virtual chamou a atenção da opinião pública, deixando claro a impossibilidade de se tratar da violação de dados pessoais e privacidade como casos isolados.
Nos Estados Unidos, por exemplo, não há uma lei específica sobre o assunto. É o que explica Beatriz Kira, doutoranda da Faculdade de Direito da USP e coordenadora de Conjuntura do InternetLab: “Por lá, a Constituição não tutela a privacidade diretamente, e a proteção de dados se dá por uma série de leis setoriais, que regulam a coleta e o tratamento de dados pessoais em setores específicos (como dados de saúde e dados financeiros), ou por leis federais com escopo de aplicação limitado aos órgãos da administração pública federal.”
Os estadunidenses, inclusive, caminham em direção contrária à defesa da privacidade nas redes. Em março deste ano, foi aprovado o chamado Cloud Act, que permite à Justiça norte-americana abrir diretamente o sigilo de servidores de empresas americanas hospedados fora do país, o que reduz a burocracia. Isso, segundo os críticos, abriria precedentes para a violação da privacidade de estrangeiros, além de ferir a soberania de outras nações.
São mais de 100 países pelo mundo, no entanto, que possuem uma legislação única de proteção de dados pessoais. A última a aderir à tendência foi a União Europeia, que, a partir do dia 25 de maio, colocou em vigor o Regulamento Geral de Proteção de Dados (GDPR). Para Neuman, o documento muda a forma de “penalizar as empresas que fazem uso indevido ou não protegem adequadamente os dados”.
O regulamento estabelece uma série de regras para empresas quanto ao acesso e uso dos dados pessoais e sensíveis de seus usuários. “Um aspecto interessante dessa lei é a sua extraterritorialidade, isto é, o fato dela ser aplicada para a coleta e tratamento de dados de pessoas com cidadania europeia, independente do local em que tais atividades ocorram”, afirma Kira.
Comissária Europeia de Justiça, Consumidores e Igualdade de Gênero, Vera Jourova afirmou, em nota oficial, que “para os cidadãos, o GDPR é um passo essencial rumo ao fortalecimento de seus direitos fundamentais na era digital e à construção de sua confiança na economia digital”. É justamente no regulamento europeu que o Senado brasileiro se baseia para abrir as portas à proteção de dados.
“Na ausência de uma lei específica, o direito à privacidade no Brasil é garantido de forma principiológica, sem oferecer regras claras sobre as situações nas quais as atividades de coleta e tratamento de dados pessoais podem acontecer”, pondera Kira.
O Marco Civil da Internet (Lei 12.965/14) é o único dispositivo legislativo a estabelecer, no Brasil, deveres a provedores de serviços na internet e direitos aos seus usuários. Ele prevê, por exemplo, a inviolabilidade da privacidade nas redes e a obrigatoriedade de consentimento do usuário frente às ações das empresas. Conforme o artigo 7º:
- VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
- IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
Kira comenta, no entanto, que “apesar de haver obrigatoriedade da obtenção do consentimento no Marco Civil, o modo como ele deve ser obtido não é exatamente regulado em lei, o que abre margem para modelos diversos, sendo uns mais protetivos que outros”.
Desse modo, faz-se necessária a aprovação de uma lei mais rígida e completa quanto à privacidade nas redes, uma vez que “brasileiros e brasileiras estão expostos a práticas invasivas e inseguras, seja no caso de empresas que lidam com dados pessoais, seja no caso do Poder Público, que também lida com enormes quantidades de dados sobre os cidadãos”, conclui.
Atualmente, um Marco Regulatório de Proteção de Dados Pessoais é debatido no Senado. O PLC 53/2018, aprovado pela Câmara dos Deputados no fim de maio, uniu outros dois projetos mais antigos que circulavam na Casa. Ele se baseia na legislação europeia em muitos aspectos, inclusive no princípio da extraterritorialidade. O documento impõe mecanismos mais duros para o cruzamento de dados pessoais, sejam os responsáveis pelas violações empresas privadas ou órgãos públicos, e visa criar a Autoridade Nacional de Proteção de Dados, por exemplo.
No momento, há uma enorme pressão sobre o senador Ricardo Ferraço, relator da PLC 53/2018, a respeito da continuidade do projeto. A preocupação repousa não só na urgência de aprovação da lei, como também no formato final do texto: se ele seguirá integralmente com o texto que veio da Câmara ou se será agregado com o PL 330/13, projeto paralelo criticado por juristas e civis da área. A verdade é que o Brasil passa por seu primeiro processo eleitoral com cadastramento biométrico sem uma legislação própria de proteção de dados.
Seja qual for a versão final do Marco Regulatório, Luis Fernando Prado Chaves, professor do Insper e advogado na Opice Blum, Abrusio e Vainzof, afirma que “assim como a regulamentação europeia, a futura lei nacional deve trazer punições sensíveis para quem violar dados pessoais. Além disso, deve mudar radicalmente a forma como empresas e governo processam nossos dados internamente”.
Segundo o especialista em direito digital, o caminho “é trazer para o Direito a relevância que os dados pessoais já possuem para a economia digital, na qual são considerados ‘o novo petróleo’”.
Faça um comentário