Apesar de ainda não ser possível saber a origem, o dfndr lab, laboratório de cibersegurança da PSafe, reportou um vazamento de dados em massa que pode ser o maior da história do país. O incidente ocorrido em agosto de 2019, mas descoberto agora, tornou vulneráveis as informações de mais de 220 milhões de pessoas, incluindo CPF, endereço, telefone, e-mail, foto de rosto, nota de crédito e renda mensal, e que agora estão à venda em fóruns na internet.

Tanto a Secretaria Nacional do Consumidor como o Procon-SP já notificaram a empresa que supostamente estaria envolvida no incidente para buscar explicações sobre o ocorrido, tais como quem teve acesso aos dados e quais dados foram acessados, e se a instituição reconhece que os dados vazaram de suas bases ou de operadores parceiros. É preciso investigar profundamente a origem do vazamento, pois é comum, em casos desta magnitude, envolver até mais de um responsável.

A Autoridade Nacional de Proteção de Dados (ANPD), que é o órgão criado especificamente para fiscalizar a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD), afirmou que está apurando tecnicamente informações sobre o caso e vai cooperar com os órgãos de investigação competentes para descobrir a origem do vazamento; a forma em que ele ocorreu; as medidas de contenção e de mitigação adotadas em um plano de contingência; e as possíveis consequências e os danos causados pela violação.

Este poderia ser o primeiro grande teste da ANPD, como bem pontuou meu colega Bruno Bioni, especialista em privacidade e proteção de dados. Se a Autoridade tivesse sido constituída e empossada há muito mais tempo, já poderia estar atuando e acumulando experiência em diferentes funções. Tanto ao interagir com a sociedade civil, responder consultas públicas, receber protocolos de códigos de conduta, regulamentar a legislação, realizar campanhas educativas e, principalmente, neste momento de crise, estar atuante para liderar os trabalhos de fiscalização.

A ANPD foi elaborada para ajudar a proteger o mercado e a implementar a proteção de dados, numa atuação de garantir o cumprimento e o melhor proveito da regulamentação, seja por meio de normas complementares, pareceres técnicos e procedimentos de inspeção. Nunca é demais lembrar que enquanto a tecnologia avança rapidamente, os golpes evoluem em uma velocidade ainda maior.

Por isso que toda empresa, independentemente do porte, está sujeita a vazamento de dados. E o impacto reputacional costuma ser até mais catastrófico do que as multas. Não por acaso que a regulamentação de proteção de dados pessoais surge em vários países como uma das respostas às expectativas dos usuários para que haja mais transparência e segurança em um ambiente digital que precisa ser ético e sustentável.

Em questões de segurança, devem prevalecer os princípios da cautela e da prevenção, e quanto mais informação, maior a proteção. Faz parte de um trabalho complexo e contínuo de governança dos dados, que abrange desde como a empresa lida com a gestão da informação, procedimentos de backup e de descarte seguro, atualização de tabela de temporalidade, implementação de soluções técnicas para aumento do nível de controle e segurança da informação, assim como realização de uma campanha de conscientização.

É preciso estar preparado não só para atender a lei, como também para minimizar os efeitos de possíveis incidentes. Mais do que as motivações legais, a perda da confiança do usuário em relação às marcas que sofrem ataques com vazamento de dados tem aumentado a cada dia, demonstrando ainda mais a necessidade de se pensar o negócio de forma preventiva, ética e transparente quando o assunto é segurança digital.