Mesmo com lei, dados ainda são tratados com descaso no Brasil
Paula Lepinski

Em 18 setembro de 2020, o Brasil deu um passo importante em direção à conformidade com as melhores práticas de governança e compliance digital. Naquele dia entrou em vigor a Lei 13.709/18, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), que regula as atividades de tratamento de dados pessoais e altera os artigos 7º e 16º do Marco Civil da Internet. Criada com o objetivo de elevar o Brasil ao patamar de países líderes em proteção de dados sensíveis, a LGPD foi colocada em xeque no decorrer dos últimos meses, marcados por megavazamentos de dados. O mais grave foi identificado em janeiro deste ano — foram disponibilizados em fóruns da internet pacotes de dados com informações pessoais de 223 milhões de brasileiros, além de 40 milhões de CNPJs. A fonte dos dados ainda é desconhecida.
“Com 20 anos de mercado, nunca vi nada igual no mundo”, atesta Marco DeMello, CEO da PSafe, empresa que desenvolve soluções de segurança e privacidade e que identificou o megavazamento. A gravidade do incidente é ímpar, mas DeMello alerta que não é algo pontual. “Não estamos reportando para a imprensa nem 20% dos vazamentos que encontramos diariamente na deep web”, informa.
Em 19 de março, no âmbito da Operação Deepwater, a Polícia Federal (PF) prendeu o principal suspeito do megavazamento. Marcos Roberto Correia da Silva, conhecido como Vandathegod, já foi alvo de operações da PF em 2019 e 2020 sob suspeita de invasão dos sites da Polícia Civil de Minas Gerais, do Ministério Público de Minas Gerais (MP-MG), do Tribunal de Justiça de Goiás, do Exército Brasileiro e do Tribunal Superior Eleitoral (TSE).
Para especialistas, os últimos episódios mostram que, mesmo com a nova legislação, as empresas brasileiras ainda deixam a desejar na gestão e na proteção de dados. “Parece que o Brasil vai vazar dados até não ter mais o que vazar, assim o problema some”, critica Marcelo Cárgano, advogado do escritório Abe Giovanini e especialista em segurança e proteção de dados.
O País também peca quando se trata de monitorar e identificar ciberataques — os vazamentos demoram, em média, 46 dias para serem identificados, segundo dados da PSafe. O único país abaixo do Brasil no ranking é a Turquia. “É importante ressaltar que não existe uma adequação jurídica, de segurança e de governança perfeita, capaz de eliminar a possibilidade de qualquer invasão à base de dados. Mas, no Brasil, é flagrante uma ausência de cuidados que reduzam a probabilidade de algo assim acontecer — e também a proporção do impacto de um possível vazamento”, pontua Cárgano.
Prioridades na gestão de dados sensíveis

PUBLICIDADE
DeMello, da PSafe, concorda com Freitas e complementa que existe uma falta de equilíbrio nas diferentes frentes da gestão de dados no Brasil. “As empresas brasileiras olham para os investimentos em captura e armazenamento de dados sensíveis como vitais para sua existência, mas não veem a proteção de dados da mesma forma”, destaca. “Existe uma lacuna enorme entre aquilo que é investido em capturar, armazenar, processar e monetizar dados e em protegê-los.”
O problema não é restrito ao Brasil. Em dezembro de 2020, foi divulgada a notícia de que a Solarwinds, provedora de serviços de TI, teve um de seus softwares comprometido por ataques cibernéticos. O episódio recebeu atenção mundial por causa da lista de clientes da SolarWinds — a Casa Branca, o Pentágono, as dez maiores empresas de telecomunicações dos Estados Unidos e cerca de 425 companhias de grande porte. O dano desse tipo de vazamento às organizações foi mensurado pelas consultorias Interbrand e TI Infosys: elas concluíram que as 100 maiores marcas do mundo poderiam perder até 223 bilhões de dólares em valor de mercado em casos de violação de dados.
Desconhecimento
A situação se tornou tão delicada que cresce número de casos de ransomware, em que o criminoso criptografa aplicativos utilizados pela empresa e pede um resgate em troca da chave de acesso. “Nos Estados Unidos, já vi consultorias recomendarem a criação de carteiras de bitcoins para pagamento desses resgates”, relata DeMello, da PSafe. “Hoje, a questão não é mais ‘se’ isso vai acontecer com a sua empresa, mas ‘quando’. A prevenção é a única saída possível”, recomenda.No Brasil, falta um órgão regulador que oriente as empresas nessa frente. Segundo Cárgano, enquanto as companhias ainda desconhecem certos termos técnicos e não compreendem como utilizam a própria base de dados, a Autoridade Nacional de Proteção de Dados (ANPD) ainda está dando os primeiros passos. “A LGPD é uma lei complexa, que implica adequações nas frentes jurídica, de governança, de compliance, de padrões de segurança. Precisamos de um ‘professor’ que incentive e guie as companhias”, defende o advogado.
Fato é que a busca por melhor governança na gestão de dados é uma corrida contra o relógio. Enquanto as empresas brasileiras colocam pouco empenho para se adequar à LGPD, hackers estão desenvolvendo ferramentas com tecnologias avançadas para invadir sistemas e bases de dados — dessa vez, com o uso de inteligência artificial (IA) e bots. Pelo jeito, estão em vantagem.
