É provável que todos os brasileiros que tenham cadastro em algum banco, estabelecimento comercial ou órgão público tenham sido vítimas dos últimos megavazamentos de dados pessoais. Dois, dentre os diversos casos descobertos recentemente, são os que mais preocupam.

Um deles envolve a venda de pacote de dados, por R$ 38 mil, contendo informações de 112 milhões de pessoas: CPF, nome completo, número de telefone e WhatsApp, data de nascimento, nome da mãe, endereço, profissão, faixa salarial, eventual óbito, informações de cadastramento no Bolsa Família e de aposentadoria.

Outro é maior ainda. Estão à venda na internet os dados pessoais de 223 milhões de pessoas (incluindo mortos). O pacote contém CPF, números de celular, gênero, e-mail e data de nascimento, entre outras informações. Inicialmente, a fim de atrair eventuais interessados, o vendedor ofertava gratuitamente 10 milhões de dados.

Se você passou a receber muito mais telefonemas indesejados, fraudulentos ou spam nos últimos meses, estes vazamentos podem ser a razão. Infelizmente, o cenário ainda não é muito promissor.

Ao menos é o que aponta um estudo da Consultoria Legislativa da Câmara dos Deputados, que concluiu que os brasileiros terão que conviver com a possibilidade de mais cedo ou mais tarde tornarem-se vítimas de algum golpe mediante o uso dessas informações pessoais. A vítima pode ter seu nome negativado, pagar contas indevidas, sofrer problemas junto à Receita Federal, ser chantageada, entre outros prejuízos e dissabores ainda piores, como furtos e roubos.

O que tem sido feito

Segundo o estudo, o trabalho do Poder Público tem sido focado na busca por transparência e fácil acesso do cidadão às informações sobre o uso de seus dados para os mais variados produtos e serviços, além da possibilidade de correção imediata da situação de uso indevido de dados do titular.

A proteção dos dados pessoais está prevista na Lei Geral de Proteção de Dados e no Código de Defesa do Consumidor (quando se tratar de cadastros em lojas ou bancos, por exemplo).

O órgão responsável pela coordenação das respostas do Poder Público é a recém-criada Autoridade Nacional de Proteção de Dados (ANPD). Caberia a ela estabelecer mecanismos – em coordenação e cooperação com os demais entes públicos e privados – visando à solução dos problemas que poderão ser experimentados em megavazamentos por praticamente todos os brasileiros em curto, médio e longo prazo.

Dificuldades

Conforme o estudo, falta um mecanismo prático que permita ao consumidor ter conhecimento sobre quais dos seus dados estão disponíveis e quem os detém. Outro desafio consiste na inexistência de meios eficazes, rápidos e centralizados para interceptar eventuais fraudes ou corrigir inexatidões, uma vez descobertas pelo consumidor.

Sistema financeiro: Registrato e Denúncia Bacen

A ferramenta Registrato, do Banco Central, é até agora a melhor resposta do Poder Público no sentido de centralizar as informações de uma determinada atividade, no caso o sistema financeiro. Por esse sistema, o cidadão fica sabendo se seu nome e CPF foram utilizados em algum empréstimo ou financiamento bancário. O relatório também inclui chaves Pix, contas em banco e contratos de câmbio. É preciso se cadastrar e consultar periodicamente.

O Banco Central também disponibiliza o Sistema de Registro de Demandas do Cidadão (RDR), chamado de Denúncia Bacen, por meio do qual o cliente que identificar operações não autorizadas no sistema financeiro pode registrar uma reclamação. Por meio desse registro, cabe ao Banco Central encaminhá-la à instituição financeira, que tem prazo para responder.

Comércio

Não há um sistema que centralize todas as demandas de modo a simplificar ações administrativas pelos consumidores eventualmente lesados. Cabe ao cidadão descobrir quais os canais de reclamação e verificar a existência de fraudes.

Ação judicial

A falta de um mecanismo adequado pode dificultar eventuais processos judiciais movidos por quem teve seus dados usados indevidamente. A reparação pela via judicial é um caminho possível, individual ou coletivamente, mas é necessária a indicação da fonte primária desses vazamentos. Ou seja, é preciso informar qual foi a empresa hackeada, em casos de vazamentos, assim como do responsável pela conduta negligente na guarda dessas informações.

Além de vazamentos, também é possível pedir reparações caso os dados sejam utilizados para finalidades diferentes da informada ao usuário.

Alternativas Propostas

Algumas propostas estão sendo debatidas para melhorar esse sistema. Algumas delas são:

- Determinar que todos os provedores de aplicações de internet sejam obrigados a disponibilizar a seus usuários a quantidade de contas existentes e utilizadas em seu nome, bem como a relação de quais atividades foram realizadas, além de corrigir os erros apontados.

- Determinar a criação de um canal integrado com informações de todos os provedores de aplicações que possuam mais de 50 mil usuários no Brasil, mostrando ao usuário, sob consulta específica, se, quando, por quem, em qual plataforma e em que extensão seus dados foram vazados ou utilizados de forma irregular.

- Determinar que empresas com delegação de serviço público, como serviços públicos de luz, água e esgoto, etc., mantenham cadastro com acesso fácil e seguro para consulta do consumidor acerca de todos os produtos e serviços que estão contratados em seu nome.

- Avaliar a possibilidade de aperfeiçoamento do Registrato e viabilidade de integração desse modelo com as demais ferramentas de comunicação entre os órgãos e entidades do sistema financeiro, para permitir, no mesmo canal, acesso imediato dos clientes a irregularidades, suspensão e correção de operações suspeitas.

- Determinar que todos os controladores de dados pessoais divulguem em veículos de comunicação social e em mídias sociais a ocorrência de eventuais vazamentos e tomem medidas imediatas para mitigar o incidente de segurança.

- Criar iniciativas, incluindo campanhas de divulgação massivas, para consulta gratuita da existência de crediários abertos, na medida e nas condições de segurança e de sigilo, com as principais empresas de comércio eletrônico.

- Alterar a regulamentação do CPF para prever a possibilidade de alteração do número de registro por solicitação fundamentada do próprio contribuinte, sem a necessidade de que este recorra à Justiça.