Como o Brasil lidaria com uma possível violação de dados da Receita Federal

Por Yuri R. Ladeia | 20 de Agosto de 2019 às 11h00
Senado

Um dos maiores medos em relação à segurança de dados pessoais dos cidadãos de um país se concretizou recentemente. A Bulgária, situada no continente Europeu e sujeita às normas da GDPR - General Data Protection Regulation, sofreu uma grave violação de dados nos sistemas da national tax agency, equivalente à Receita Federal no Brasil.

O vazamento de dados ocorrido atingiu informações relativas à segurança social, renda, nomes completos, datas de aniversário e endereços dos cidadãos Búlgaros. Esses dados confidenciais não só identificam os titulares de dados, como também podem ser utilizadas para diversos fins não autorizados quando combinados, tais como, falsificação de identidade, utilização em golpes criminosos, transferências de dinheiro e propriedade indevidamente, tudo isso por conta de não compliance com a proteção de informações pessoais.

Diante da gravidade do problema, é possível que o país receba ajuda da União Europeia caso algum outro estado-membro tenha sido envolvido nesta ocorrência, sendo possível a aplicação de alguma sanção decorrente da violação. Fato é que grande parte dos dados dos cidadãos adultos Búlgaros foi comprometida.

Consequências e definições legais na Europa

A GDPR, em seu artigo 4°, define que dado pessoal é qualquer informação relativa a uma pessoa física identificada ou identificável (titular dos dados), direta ou indiretamente. Segundo mesma regulação, processamento de dados significa qualquer operação ou conjunto de operações efetuadas em dados pessoais ou em conjuntos de dados pessoais, por meios automatizados ou não.

Outro conceito importante é o de Controlador de dados, que consiste na pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina os fins e os meios do tratamento de dados. Por fim, o conceito de processador de dados, uma pessoa física ou jurídica, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do controlador.

Esclarecidos esses pontos, é possível identificar que a national tax agency da Bulgária se encaixa em todas as definições acima, motivo pelo qual se sujeita à algumas responsabilidades e consequências gravosas ao país, como membro da União Europeia, além do já concretizado prejuízo e insegurança gerados aos seus cidadãos.

Como consequência de uma violação de dados, a GDPR impõe multa em duas categorias. Por infrações às obrigações do controlador e do processador, no máximo de € 10.000.000, entretanto, alguns tipos de infrações são punidos com maior rigor, tais como, violação dos princípios básicos de processamento, como, consentimento, violação dos direitos dos titulares de dados, transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional.

Nesses casos, a multa será de até € 20.000.000. Fato é que a violação ocorrida na Bulgária se encaixa nessas definições e a proporcionalidade deve ser aferida pelo número de titulares de dados atingidos. Apesar de dos órgãos governamentais estarem sujeitos ao GDPR, as consequências são diferentes em relação às instituições privadas, uma vez que as multas são aplicadas internamente pela Autoridade de Proteção de Dados de cada país, que pode definir seus termos internos.

E se fosse no Brasil?

No Brasil a lei que regula sobre a proteção de dados pessoais, LGPD, entrará em vigor em agosto de 2020, enquanto na união europeia a regulação de dados pessoais está vigente desde 25 de Maio de 2018. A lei nacional é bastante semelhante à Europeia, demonstrando clara inspiração em sua elaboração.

A LGPD definiu que a responsabilidade por quaisquer ocorrências com os dados pessoais independe da comprovação de culpa, uma vez que considera a atividade que envolve tratamento dados de risco. As multas nacionais também são elevadas, dissuasivas e houve a criação da autoridade fiscalizadora nacional de proteção de dados pessoais, assim como temos visto alguma movimentação no setor público e privado para adequar às novas exigências, todavia, ainda não é suficiente para garantir um compliance eficiente na maior parte dos setores da economia e públicos.

Fato é que a pergunta que deu origem ao título desse artigo não tem uma resposta definitiva, mas leva ao pensamento de que o Brasil não está preparado para defender seus cidadãos de tais ameaças, especialmente no setor público, o qual sempre esteve com dificuldades para ser efetivo.

Imaginemos que a violação à national tax agency houvesse ocorrido à Receita Federal do Brasil. Haveria como remediar o problema? As consequências seriam diversas, tanto para os titulares de dados quanto para a situação econômica do país, o qual demonstrará insegurança no quesito dados pessoais, causando receio por parte dos países e instituições estrangeiras que tenham como planos continuar ou começar comercializar com nosso país, especialmente caso tenham que fornecer algum dado pessoal de seus cidadãos.

As multas impostas pela LGPD seriam aplicadas com rigor ao poder público, em igualdade ao que será em relação ao setor privado? São esses questionamentos sem resposta, porém, o cenário é preocupante e os exemplos exteriores demonstram que é muito melhor evitar do que remediar problemas relacionados à proteção de dados, em todos os setores!

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.