Desde janeiro, o brasileiro não tem um dia de paz em relação a sua segurança digital. O megavazamento, que expôs os dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos no País colocou luz sobre uma temporada agitada no mercadão ilegal de informações pessoais.
A sequência de vazamentos nos meses seguintes assustou e fez surgir questionamentos quanto à capacidade do País em coibir eventos do tipo. Embora seja difícil determinar se o Brasil é mais vulnerável do que outras nações, especialistas de empresas, de universidades e do terceiro setor mostram que há por aqui um terreno fértil para a ação de cibercriminosos e incidentes de cibersegurança.
Segundo eles, estamos em desvantagem internacional em termos de práticas governamentais de cibersegurança, de investimentos feitos pelas empresas e de promoção de uma cultura de privacidade entre a sociedade civil.
Segundo o Índice Global de Cibersegurança, publicado em 2019 pela União Internacional das Telecomunicações, entidade da Organização das Nações Unidas (ONU), o País ocupa a 70.ª posição, atrás de outros países latino-americanos, como Uruguai, México e Paraguai. Em primeiro lugar está o Reino Unido, referência mundial no tema, seguido dos Estados Unidos e da França.
Para Louise Marie Hurel, coordenadora do Programa de Segurança Digital do Instituto Igarapé, esse mau posicionamento internacional só confirma nossas vulnerabilidades. “Temos visto isso desde o ano passado com os ataques cibernéticos ao Supremo Tribunal de Justiça (STJ) e ao Tribunal Superior Eleitoral (TSE) e com o megavazamento de dados”, aponta – para ela, deixar essas áreas mais vulneráveis é afetar o andamento da Justiça e da democracia brasileira. “Por isso vemos a necessidade de preparar melhor o Brasil para a proteção de dados”, completa.
Falta executar leis
Não é que o Brasil não tenha leis sobre o tema. Elogiada por dar base legal ao tema de privacidade e segurança, a Lei Geral de Proteção de Dados (LGPD) foi aprovada em 2018 com o intuito de apontar princípios básicos da proteção de dados, similar ao que foi o Código de Defesa do Consumidor nos anos 1990: proteger o cidadão e estabelecer seus direitos.
A LGPD institui que os dados das pessoas são, é claro, das pessoas, e não das empresas e dos governos responsáveis pelo armazenamento e processamento dessas informações.
Além disso, em setembro de 2020, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), uma entidade independente para ter poder executor no assunto, aos moldes de outras legislações internacionais (como a GDPR, da União Europeia).
A criação da agência é uma exigência da LGPD, afinal, será ela quem irá fiscalizar casos de vazamentos de dados e aplicar as devidas multas às empresas e ao governo — mas isso só terá vigência a partir de agosto deste ano.
Em fevereiro de 2020, o governo federal decretou a Estratégia Nacional de Segurança Cibernética (E-Ciber), que determina diretrizes sobre a proteção no ambiente digital a nível federal.
Para os especialistas, tudo isso é pouco – é preciso que as regras sejam executadas. “Não adianta termos o decreto de cibersegurança nacional se não existe articulação com a ANPD”, aponta a advogada Flávia Lefèvre, integrante do coletivo Intervozes. Ela defende que o governo alinhe todos os atores do setor para definir uma política nacional de cibersegurança.
Desde que entrou em funcionamento, a autoridade mantém perfil discreto – a primeira manifestação pública sobre o megavazamento de janeiro ocorreu somente oito dias após o caso se tornar público. A ação da Polícia Federal que resultou em março na prisão de dois suspeitos teve participação da ANPD, mas, para especialistas, ainda falta transparência nas iniciativas da agência.
“A ANPD precisa estabelecer as resoluções de como será feita a fiscalização. Falta saber os regulamentos de uma série de garantias que estão expressas na lei e depois colocar isso para consulta pública. Precisamos ter um piso regulatório. Sem ele, a ANPD não consegue atuar”, explica Flávia.
Para Davis Alves, professor e presidente da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), o País está em um cenário sem direcionamentos. Como resultado, cada companhia cria as suas boas práticas de cibersegurança e de proteção de dados com base em experiências de outros países. “Nesse cenário, corremos o risco de uma empresa investir em uma norma que pode não ser aceita no Brasil. Se a ANPD não criar um padrão próprio, ela precisa ao menos indicar qual modelo vai ser aceito”, diz. (Com informações do site Política Livre)
