Em meados de janeiro de 2021 tivemos a notícia sobre o maior vazamento de dados pessoais de brasileiros de todos os tempos. 220 milhões de pessoas (brasileiros vivos e mortos) tiveram dados como nome, CPF, nome dos pais, endereço, fotos de rosto, pontuação de crédito, imposto de renda, número de celular, dentre outros, vazados e disponíveis para aquisição no mercado clandestino de forma ilícita. Ato contínuo, no começo de fevereiro, sem mal digerir o primeiro vazamento, a empresa de segurança PSafe anunciou um suposto novo vazamento de dados pessoais, dessa vez envolvendo 100 milhões de contas de celulares.
Os olhos então se voltaram para a Autoridade Nacional de Proteção de Dados, a ANPD, oficialmente constituída desde novembro de 2020. A reação inicial da ANPD foi lenta e errática. Primeiro demora e silêncio. Depois ofícios distribuídos para diferentes órgãos da administração pública, sem clareza sobre a estratégia de investigação. Ficava patente o que todos nós já sabíamos: o Estado brasileiro não possui estrutura para apurar casos de vazamento dessa complexidade. O cenário é, portanto, altamente propício para se denunciar a debilidade da ANPD.
É claro, a ANPD está aí para isso e sua direção deve ser cobrada pelos resultados. Mas parece injusto descontextualizar essa cobrança do cenário mais amplo em que esses problemas se inserem.
Em primeiro lugar, precisamos lembrar que escolhas e a trajetória importam. O Brasil é figura frequente em relatórios sobre fragilidade em segurança da informação ou sobre o grau elevado de crimes digitais há muitos anos. O último relatório com o índice global de cibersegurança da União Internacional de Telecomunicações, vinculada à ONU, aponta o Brasil na 70ª posição em uma pesquisa com 175 países. Ainda está na memória os problemas do ano passado com o STJ, TSE e vazamento de dados do Ministério da Saúde. Isso para citar apenas alguns casos muito recentes. A verdade é que nem o poder público nem o setor privado se preparam ao longo dos últimos 20 anos para os desafios da sociedade da informação e da economia digital. As estratégias de transformação digital nos negócios raramente incluem uma contrapartida em investimentos em segurança da informação e compliance com as melhores práticas.
Em segundo lugar, é preciso equacionar a decisão política de constituir a ANPD tão tardiamente, inclusive depois que a Lei Geral de Proteção de Dados, a LGPD, já estava em vigor. A ANPD entrou em jogo atrasada, pressionada e sem recursos. Há diversos itens de complexa regulamentação na LGPD e um panorama extremamente desafiador para a proteção de dados, como vimos acima. Além disso, a ANPD tem um papel fundamental na construção de uma cultura de proteção de dados em âmbito nacional. Como se não bastasse, a ANPD também tem atribuições de investigação e fiscalização.
Não é razoável imaginar que ANPD estivesse pronta para investigar casos complexos de vazamento com cerca de três meses de vida. Para efeitos comparativos, já contados mais de dois anos da implementação do Regulamento Geral de Proteção de Dados Europeu (GDPR), uma legislação que pretende a harmonização das normas sobre a proteção de dados em âmbito europeu já estabelecidas há bastante tempo, as autoridades de proteção de dados continuam sendo alvo frequente de críticas e de preocupação. Sofrem com orçamentos insuficientes, falta de corpo técnico qualificado e incapacidade de levar a cabo iniciativas de cumprimento da lei em face do poder de fogo de grandes empresas, especialmente as big techs. De fato, há quem diga que a GDPR tem falhado pela incapacidade das autoridades de proteção de dados adotarem medidas de cumprimento da lei efetivas. Ou seja, nem no contexto europeu, com autoridades de proteção de dados estabelecidas e em fase madura, nós temos um cenário animador. O que podemos esperar de fato da ANPD?
Esse cenário demonstra a necessidade de algum nível de resignação no curto prazo. O Brasil não irá reverter em tempo curto um passado de negligência sobre temas como segurança cibernética e proteção de dados. E é importante que se diga, uma negligência compartilhada entre poder público e setor privado. A cobrança sobre a ANPD nos últimos casos sobre vazamento de dados deve ser realizada dentro de um contexto mais amplo.
Para além disso, vale ainda adicionar alguns pontos para reflexão.
As empresas precisam levar os direitos dos titulares a sério. O nível de compliance no Brasil é baixo. Enquanto é natural que uma lei complexa como a LGPD leve tempo para ser implementada pelas organizações, não há mais espaço de desculpas para aquelas empresas que nem sequer adotaram medidas básicas: como treinar pessoas e fortalecer uma cultura de proteção de dados. Também é incompreensível uma atitude negligente com segurança da informação ao mesmo tempo em que empresas e marcas querem transmitir a imagem de inovação tecnológica. Proteção de dados e segurança da informação é a infraestrutura básica de qualquer estratégia de transformação digital com chances de sucesso. Precisamos encarar o real significado de accountability, um dos princípios estruturantes da LGPD. Esse princípio é fundamental pois funciona como um modulador da responsabilidade das empresas: aquelas que levam a lei a sério terão sua responsabilidade mitigada mesmo quando algo sair errado, ao contrário, quem escolhe o caminho da negligência terá o ônus agravado por assumir riscos sem controles. As empresas, com razão, cobram diálogo, paciência e apoio do poder público. Mas precisa haver reciprocidade.
De outro lado, precisamos sim pensar em como avançar no tema das garantias à proteção de dados no país. Ao contrário do que parece, os modelos estabelecidos de regulação não estão provados. Após quase três anos de GDPR precisamos começar a nos perguntar se a moldura legal que inspirou a LGPD é adequada aos desafios que estão pela frente. Será que uma legislação transversalmente complexa para todos os setores da economia, cara e ainda baseada numa ideia de gestão individual dos dados pessoais faz sentido? Como essa complexidade reflete também sobre a atuação das autoridades de proteção de dados? O que podemos fazer do ponto de vista de políticas públicas para desfavorecer a formação de gatekeeper gigantescos que concentrem o tratamento de dados pessoais e aumentem o risco sistêmico? E que regulação precisamos ter para que o escrutínio sobre esses gatekeepers que tratam dados em altíssima escala?
Há alternativas tecnológicas baseadas em blockchain, criptografia, computação de borda que combinadas podem ajudar a favorecer a minimização do tratamento de dados nos modelos de negócio e efetivar uma gestão mais eficiente dos dados pessoais pelos titulares. Precisamos criar incentivos para soluções que olhem para a arquitetura dos fluxos de informação e não tanto para as condutas individualmente tomadas dos atores. Proteção de dados pessoais é cada vez menos sobre o direito individual de privacidade (de primeira geração) e cada vez mais sobre riscos sistêmicos à autodeterminação, ao Estado de Direito e à democracia. Precisamos pensar mais a partir dessa perspectiva.
Enquanto cobramos da ANPD celeridade e eficiência na investigação de casos importantes de vazamento de dados, é importante ter consciência de que não há solução de curto prazo e que a cooperação da sociedade civil e do mercado no avanço da agenda de proteção de dados é essencial para sairmos da situação de atraso e risco sistêmico em que nos encontramos hoje.
*Diego Gualda é sócio da área de tecnologia do Machado Meyer Advogados