"Nunca houve tanta violação de dados pessoais”, diz promotor que investiga casos
Dados pessoais estão no centro do debate sobre privacidade, compliance e gestão empresarial. Há quem diga que eles são o novo petróleo – e isso não é necessariamente bom. Afinal, se eles se tornaram tão valiosos, são também cobiçados por criminosos e alvo de hackers e chantagistas.
Essa corrida pelo “ouro digital” já é notada. Casos recentes de ataques, vazamentos e negociação ilegal de dados de pessoas administrados pelas empresas parecem revelar uma tendência que deve se intensificar. No exterior, o caso de Facebook e Cambridge Analytica se tornou emblemático, mas outras ocorrências, incluindo algumas no Brasil, mostram que as finalidades de ações criminosas envolvendo dados pessoais vão muito além das eleitorais.
Coordenador da primeira iniciativa pública brasileira para investigar o tema, a Comissão de Proteção dos Dados Pessoais (CPDP) do Ministério Público do Distrito Federal e Territórios (MP-DFT), o promotor Frederico Meinberg diz que “nunca houve tanta violação de dados como agora”.
Composta de três promotores e dois assessores fixos, além de dois consultores independentes, a CPDP investiga atualmente mais de 30 casos em território nacional, de acordo com Meinberg. Eles vão desde violações externas, como no caso recente da C&A, a casos de vazamento por profissionais da própria empresa para extorqui-la, como aconteceu no Banco Inter.
Para identificar os vazamentos, a comissão e a equipe técnica que a auxilia se valem desde informantes na deep web até as próprias empresas que são vítimas. A intenção, afirma o promotor, não é apenas exercer autoridade, mas ajudar a evitar as violações. “A nossa atuação, desde o começo, é no sentido de atuar ao lado da empresa. Achamos que a proteção dos dados é importante para criar um ambiente seguro para a economia”, diz.
A comissão tem um canal exclusivo para as companhias informarem “incidentes de segurança”. E, com essa postura, conseguiu acordos como o que permitiu a 196 mil brasileiros que tiveram dados na Uber roubados, no início deste ano, serem notificados pela empresa – algo que só aconteceu no Brasil e no Canadá.
A julgar por vazamentos noticiados recentemente, não é pequeno o trabalho da comissão coordenada por Meinberg. No caso da C&A, a CPDP cita um hacker segundo o qual poderiam ter sido expostos dados de até 2 milhões de clientes, por meio de cartões de vale-presente. Procurada, a empresa não confirmou o número, mas afirma que a violação não envolveu dados financeiros de clientes, como informações de cartão de crédito.
Em outro possível grande caso, o órgão investiga se vazaram da Boa Vista/SCPC informações de até 340 milhões de cadastrados – número que inclui pessoas físicas e jurídicas, ativas ou inativas. A CPDP ainda não conseguiu identificar se houve, de fato, um vazamento. A empresa, consultada pela reportagem, diz que ainda apura o possível incidente.
Nesses casos, há a colaboração desejada pela comissão, mas há outros em que a saída é pela judicialização. Foi o que ocorreu com o Banco Inter, que, após “tentativas de encobrir o incidente de segurança”, segundo a comissão, foi denunciado por comprometimento dos dados cadastrais de 19.961 correntistas, com informações como senha da conta, CPF e telefone. Uma indenização de R$ 10 milhões foi pedida ao banco. A instuição se defendeu ao dizer que o vazamento foi feito por uma pessoa “autorizada” que tentou extorquir a empresa.
Outra empresa a passar por problemas recentemente foi a aérea British Airways, que teve interceptados dados de clientes que compraram passagens entre 21 de agosto e 5 de setembro – cerca de 380 mil transações foram afetadas.
Não foi divulgado se dados de brasileiros estariam entre os que foram violados. Procurada pela reportagem, a empresa disse que não comentaria o caso. Mas em entrevista à BBC no início do mês, o CEO Alex Cruz comentou que não foram roubados dados como passaportes, mas sim informações de cartões de crédito – inclusive códigos de verificação.
Com tanta preocupação recente com a preservação e os vazamentos de dados pessoais, as instituições também se tornaram objeto de golpes de false flags – o famoso blefe. “Tem fake news no mercado. Dizem que uma empresa foi invadida, mas não foi. Por isso não chegamos’ com o rolo compressor’, nossa primeira intenção é sempre ouvir para saber o que vem acontecendo”, diz Meinberg.
