O Supremo Tribunal Federal (STF) derrubou na quinta-feira, 15, trechos do decreto do governo federal que regulamentou o compartilhamento de dados pessoais entre os órgãos da administração pública.

O Decreto 10.046, editado pelo presidente Jair Bolsonaro (PL) em 2019, criou o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

O ato administrativo autoriza o compartilhamento de informações como nome civil ou social, data de nascimento, filiação, naturalidade e nacionalidade, sexo, estado civil, grupo familiar, endereço, características biológicas e hereditárias, além de documentos como CPF e título de eleitor.

Após três sessões de julgamento, os ministros decidiram que a troca de informações deve ser limitada ao "mínimo necessário" e precisa observar os requisitos estabelecidos na Lei Geral da Proteção de Dados (LGPD).

O plenário também definiu que os servidores públicos podem responder por improbidade administrativa se ficar provado que houve abuso no tratamento dos dados ou violação do sigilo das informações.

O STF definiu ainda que o governo federal precisa reformular o Comitê Central de Governança de Dados, que hoje é composto apenas por representantes de órgãos do Poder Executivo, para incluir membros da sociedade civil. O prazo para o cumprimento da decisão é de 60 dias.

O ministro Gilmar Mendes, relator do processo, disse que o compartilhamento de dados restritos oferece "grave risco de malversação de dados pessoais e de violação da privacidade dos usuários do serviço público".

"Tentativa obscura de compartilhamento massivo dos dados pessoais de 76 milhões de brasileiros com órgãos integrantes do sistema brasileiro de inteligência", criticou.

Embora tenha visto no decreto potencial para violar a proteção da privacidade e da autodeterminação informativa dos cidadãos, o ministro considerou que a derrubada de todo o dispositivo deixaria um vácuo nas normas operacionais para o compartilhamento de informações e poderia prejudicar serviços importantes. Por isso, ele sugeriu a solução intermediária.

"É clara a necessidade de temperar os valores constitucionais da eficiência da administração pública com o regime constitucional de tutela dos direitos individuais", defendeu.

Gilmar Mendes foi acompanhado pelos ministros Alexandre de Moraes, Roberto Barroso, Luiz Fux, Dias Toffoli, Cármen Lúcia, Ricardo Lewandowski e Rosa Weber. André Mendonça e Nunes Marques apresentaram divergências pontuais sobre o prazo para o governo ajustar as práticas. O ministro Edson Fachin também discordou parcialmente e defendeu a declaração de inconstitucionalidade de todo o decreto.

A decisão foi tomada a partir de ações movidas pelo Conselho Federal da Ordem dos Advogados do Brasil (CFOAB) e pelo Partido Socialista Brasileiro (PSB) para derrubar o decreto.

A Procuradoria-Geral da República (PGR) não viu irregularidade no texto. A vice-procuradora-geral Lindôra Araújo defendeu que o decreto se limitou a regulamentar as regras estabelecidas na LGPD para "organizar"e "simplificar" o sistema interno de compartilhamento. Ela também argumentou que a inviolabilidade dos dados pessoais não é absoluta e que a boa-fé do governo no tratamento dessas informações deveria ser presumida.

"Não vejo porque só o governo teria má-fé no uso dessas informações. Os governos vão passar e esses dados permanecerão, serão sempre atualizados", defendeu.

O QUE DIZEM OS ADVOGADOS

Para o advogado Marcus Vinícius Vita Ferreira, sócio de Wald, Antunes, Vita e Blattner Advogados, o julgamento é o maior precedente judicial sobre a proteção de dados no Brasil. "Com a delimitação objetiva dos limites do poder público na interferência sobre a vida privada", explica.

Na mesma linha, Bruno Guerra de Azevedo, sócio na área de LGPD e Direito Digital do escritório SGMP Advogados, afirma que o julgamento dá pistas sobre o posicionamento do STF para arbitrar conflitos entre a privacidade a proteção de dados e o interesse público.

A advogada Sofia Rezende, coordenadora do Programa de Compliance do Nelson Wilians Advogados, a decisão dos ministros reforça que o tratamento de dados na esfera pública e privada precisar ser "clara, transparente, comunicada e legítima, sempre atendendo a finalidades específicas".

Sócio do BBL Advogados e diretor de Novas Tecnologias do Centro Brasileiro de Mediação e Arbitragem (CBMA), Daniel Becker afirma que o decreto enfraquecia uma "cartela de direitos vinculados à privacidade".

"O compartilhamento de dados pessoais entre entes da administração pública não é dinâmica a ser vedada mas demanda, sim, uma regulamentação detalhada, à luz dos preceitos da LGPD, de modo a garantir a segurança da vasta cartela de dados sensíveis que estará em fluxo entre os órgãos", defende.

Os Estados Unidos e a União Europeia chegaram a um acordo sobre um novo marco para a transferência de dados pessoais em nível transatlântico. O anúncio foi feito nesta sexta-feira (25), pelo presidente americano, Joe Biden e a presidente da Comissão Europeia, Ursula von der Leyen. 

O acordo é fundamental para a economia digital e é resultado de meses de negociações após a Justiça Europeia anular o chamado “Escudo de Privacidade”, em julho de 2020, por considerar que não havia proteção suficiente contra os programas de vigilância americanos. Essa concordância, até então, regulava as transferências de dados de ambos os lados do Atlântico. 

Em entrevista coletiva com von der Leyen, em Bruxelas, o presidente Biden afirmou que o novo acordo impulsionará “o crescimento e a inovação na Europa e nos Estados Unidos e ajudará as empresas tanto grandes quanto pequenas a competirem na economia digital”. 

A presidente do Executivo Europeu também celebrou a nova conquista. ‘Isso permitirá o fluxo de dados previsíveis e confiáveis entre União Europeia e Estados Unidos, mas preservando a privacidade e as liberdades individuais”, apontou von der Leyen. 

Após o anúncio, o Google também aplaudiu a decisão, que permite que os usuários da internet possam “usar os serviços digitais em qualquer lugar do mundo e saber que suas informações estão seguras e protegidas”, disse um de seus porta-vozes. 

Por Camily Maciel

O Congresso Nacional promulgou, nesta quinta-feira (10), em sessão solene, a emenda à Constituição que torna a proteção de dados pessoais, inclusive nos meios digitais, um direito fundamental. O tema tramitava no Congresso desde 2019. Teve origem no Senado, onde foi aprovado, e foi para a análise da Câmara dos Deputados, onde sofreu alterações e voltou para nova apreciação do Senado, o que ocorreu no fim de outubro do ano passado. 

O presidente do Congresso, senador Rodrigo Pacheco (PSD-MG), destacou a adaptação da legislação brasileira aos novos tempos, de informações circulando digitalmente em um ritmo muito intenso. Nesse cenário, ele ressaltou a necessidade de garantir a privacidade das pessoas. “O novo mandamento constitucional reforça a liberdade dos brasileiros, pois ele vem instalar-se em nossa Constituição em socorro da privacidade do cidadão. Os dados, as informações pessoais, pertencem, de direito, ao indivíduo e a mais ninguém”, disse.

  “Cabe a ele, tão somente a ele, o indivíduo, o poder de decidir a quem esses dados podem ser revelados e em que circunstâncias, ressalvadas exceções legais muito bem determinadas, como é o caso de investigações de natureza criminal realizadas com o devido processo legal”, acrescentou Pacheco.

Agora, a proteção de dados se incorpora à Constituição como uma cláusula pétrea, ou seja, não pode ser alterada. Os direitos fundamentais são considerados valores inerentes ao ser humano, como sua liberdade e dignidade. Dentre os direitos fundamentais garantidos na Constituição, estão a livre manifestação de pensamento; a liberdade de crença; e a inviolabilidade da intimidade, da vida privada, da honra e imagem das pessoas. 

A emenda promulgada hoje leva ao texto constitucional os princípios da Lei Geral de Proteção de Dados Pessoais (LGPD). A LGPD disciplina o tratamento de dados pessoais em qualquer suporte, inclusive em meios digitais, realizado por pessoas físicas ou jurídicas, de direito público ou de direito privado, com o objetivo de garantir a privacidade dos indivíduos. 

Quando passou pela Câmara, os deputados incluíram no texto um dispositivo que atribui à União as competências de organizar e fiscalizar a proteção e o tratamento de dados pessoais, de acordo com a lei. Já constava no texto a previsão da competência privativa da União para legislar sobre a matéria. 

“Estamos defendendo direitos que antes eram absolutos, direito à intimidade, à vida privada. Esse mundo da internet se volta contra nós mesmos. Ora somos vítimas do crime, ora somos vítimas do mercado”, acrescentou a senadora Simone Tebet (MDB-MS), relatora da proposta no Senado, à época da primeira passagem do texto pela Casa.

Incomodado pelo telemarketing insistente de operadoras, um consumidor descobriu que seus dados pessoais, como nome, CPF e endereço vazaram sem sua autorização. Ele foi informado que o compartilhamento entre as empresas de telefonia é uma "prática comum". Procuradas pelo LeiaJá, a CLARO e a TIM não revelaram quem presta o serviço.

De mudança para um novo endereço, o designer Pedro Muniz entrou em contato com a CLARO para fechar um pacote de internet e confirmou a visita de instaladores para o dia seguinte. Cerca de 1h depois, recebe a ligação de uma atendente - que dizia ser da CLARO -, que o orienta a cancelar a contratação pois a cobertura da área não garantia a qualidade do serviço. Ela repassa seus dados. Ele confia e segue o recomendado.

Aproximadamente 30 minutos após cancelar com a CLARO, a TIM liga para ele, confirma seu nome e CPF e, coincidentemente, apresenta um pacote de internet. A demanda de trabalho faz Pedro aceitar a proposta e a instalação fica combinada para a tarde do dia seguinte.

De manhã, ele é surpreendido pela chegada dos funcionários da CLARO, que pedem autorização para a instalar os fios e explicam que a solicitação não foi cancelada no sistema. Sem entender o que estava se passando, Pedro conversa com a atendente da CLARO pelo WhatsApp. A funcionária comunicou que a operadora não teria entrado em contato após a contratação e que o compartilhamento de dados dos clientes era comum entre as operadoras, que são atendidas pela mesma gerenciadora de banco de dados.

Posicionamento das operadoras

Diante da exploração das informações pessoais, que podem ser expostas na internet como já ocorreu em outros episódios, o consumidor descreveu seu sentimento de insegurança ao LeiaJá. 

A reportagem buscou as operadoras e tentou por diversas vezes confirmar a terceirizada responsável pelos dados dos milhões de clientes. Foi indicado que se tratava de um "assunto delicado" e ficou exposto que a negligência com as informações estava alinhada ao interesse de blindar a empresa parceira.

A Claro deixou de responder os e-mails após receber mais detalhes sobre o assunto. Em nota, a Tim garantiu que "pratica os mais altos padrões de governança para a proteção de dados dos seus clientes e que todas as suas ações comerciais estão em consonância com a legislação vigente". 

A reportagem tinha interesse em confirmar o nome da terceirizada, algo aparentemente simples, mas ambas não repassaram a informação, nem pontuaram sobre a "operação compartilhada".

O sindicato das empresas de telecomunicação, a Conexis Brasil Digital preferiu não se posicionar sobre a denúncia e reiterou que o assunto é de competência individual das operadoras.

LeiaJá também: Saiba como denunciar ligações abusivas de telemarketing

Crime contra do consumidor e LGPD

Ao LeiaJá, o gerente Jurídico do Programa de Proteção e Defesa do Consumidor de Pernambuco (Procon-PE), Ricardo Faustino, comprovou que a prática é passível de advertência e multa de até R$ 50 milhões, conforme a Lei Geral de Proteção de Dados (LGPD).

A Legislação também admite o bloqueio da utilização dos dados e até mesmo a exclusão da base de cadastros das empresas. 

A exploração de informações pessoais também infringe a Lei de Proteção e Defesa do Consumidor e o cliente pode ajuizar um processo por danos morais e financeiros. "Quando há um vazamento a gente não tem como mensurar como o consumidor tomou de prejuízo", avalia.  

“Há um crime contra as relações de consumo por expor as informações de forma indevida para outro fornecedor, que não autorizado por parte do consumidor. Até então ele não tinha conhecimento dessa forma de tratativa que a empresa se utiliza com os dados dos seus clientes e da forma que cede a informação para os seus parceiros”, repreendeu.

Em casos de suspeita desse tipo de compartilhamento criminoso, ele orienta que os consumidores busquem orientações no Procon do seu Estado.

As autoridades holandesas aplicaram, nesta quinta-feira (22), uma multa de 884.000 dólares ao TikTok, estimando que a rede social violou as leis de proteção de dados pessoais.

A Autoridade de Proteção de Dados da Holanda (CBP) observou que as informações de download do aplicativo da rede social estavam escritas em inglês, o que tornava difícil entender para as crianças holandesas.

"Ao não oferecer sua declaração de privacidade em holandês, o TikTok não forneceu uma explicação adequada sobre como o aplicativo coleta, processa e usa dados pessoais", destacou a CBP em um comunicado.

"Essa é uma violação da legislação sobre a proteção da vida privada, que se baseia no princípio de que as pessoas devem ter sempre uma ideia clara do que é feito com seus dados pessoais", acrescentou o organismo.

Em um comunicado enviado por e-mail à AFP, a plataforma respondeu que sua política de privacidade e um resumo mais acessível da mesma estavam disponíveis em holandês desde julho de 2020.

O aplicativo foi alvo de várias investigações em vários países.

A ex-comissária da Infância da Inglaterra processou o TikTok em abril, acusando a plataforma de vídeos de ter coletado ilegalmente dados pessoais de milhões de crianças no Reino Unido e Europa.

Em maio, a Comissão Europeia também iniciou uma ação contra o TikTok, acusando-o de usar publicidade enganosa e dirigida às crianças em vários Estados-membros.

Um ataque cibernético identificado na última terça-feira (19) pelo dfndr lab, laboratório de segurança da empresa PSafe, pode ter exposto dados pessoais de 200 milhões de brasileiros. De acordo com a startup nacional, ainda não há detecção da origem do golpe que, além da população, atingiu autoridades, órgãos públicos e empresas de diversos segmentos da economia.

Segundo a PSafe, dados sigilosos de 40 milhões de empresas podem estar nas mãos dos invasores. Para o especialista em Segurança da Informação e Compliance, Uilson Souza, ataques como o identificado pelo dfndr lab podem estar ligados a interesses comerciais e econômicos da atualidade. "Dados são 'o novo petróleo'. Quem tem informações estruturadas a seu favor, nos dias atuais, estará à frente de um concorrente nas mais variadas vertentes de mercado", aponta. "A exposição de uma empresa que armazena estes dados faz com que algumas organizações percam dinheiro, além de um impacto significativo em sua imagem no mercado", complementa.

De acordo com o especialista, além de conseguirem documentos e dados sigilosos, os invasores usam o golpe para mostrar a insegurança dos dados no ambiente virtual. Para Souza, o recurso criminoso é mais uma maneira de causar ruídos nas gestões internas de empresas da iniciativa privada ou da administração pública. "Ataques como este, em que dados são expostos de forma simples e direta, sem nenhuma cobrança ou coação, mostram que determinada empresa ou autarquia pública não tem os controles de segurança suficientes para que isso não ocorra", comenta.

Ainda segundo Souza, que atua na área de segurança da informação no ramo alimentício, é fundamental que as empresas sejam constantes no desenvolvimento de recursos que possam neutralizar a ação dos invasores. "Todo projeto de criação e manutenção de uma infraestrutura de aplicações, bancos de dados e servidores precisa ser criteriosamente planejada e rotineiramente administrada com conceitos de segurança por padrão para que a vida dos cibercriminosos seja um pouco mais complicada do que está atualmente". Para o especialista, o investimento na preparação dos funcionários é outro ponto determinante na proteção interna. "É importante o treinamento dos funcionários para que observem, em suas atividades, a priorização de procedimentos de segurança, pois, sem isso, será fácil invadir o mais avançado dos sistemas", conclui.

Exposição dos dados da população

De acordo com a PSafe, a maioria da população que tem registro no Cadastro de Pessoa Física (CPF) pode ter sido vítima do ataque. Segundo Souza, é necessário ter o máximo de cautela quando for acessar qualquer ambiente duvidoso no mundo digital. "O cidadão precisa estar atento aos sites que acessa e ao que cadastra em portais de compra e redes sociais. Veja se é mesmo necessário que as numerações de documentos sejam cadastradas. Cuidado com aplicativos do tipo 'como serei daqui a 40 anos?', 'se você fosse do sexo oposto como seria?', jogos e acessos variados à internet sem a leitura dos termos de privacidade", orienta.

Ainda segundo o especialista, é primordial conhecer o lugar em que se navega pela rede. "Veja se está onde realmente quer estar e não para onde é direcionado. Há banners com promoções supostamente ofertadas por grandes lojas de varejo, que são sites fantasma do fraudador que pode usar dados coletados de forma indevida e causar prejuízos financeiros", enfatiza.

Outro recurso recomendado por Souza aponta para o conhecimento sobre a legislação que assegura a proteção dos dados dos usuários. Segundo o especialista, é possível ter ciência de que empresas prestadoras de serviço garantam a segurança dos consumidores. "A Lei Geral de Proteção de Dados Pessoais [LGPD] exige que os dados que estão em operadoras de telefonia, TV por assinatura, bancos e financeiras, sejam tratados da forma correta", acrescenta.

O deputado Orlando Silva (PCdoB-SP), relator da Comissão Especial sobre Dados Pessoais, apresentou parecer final com substitutivo à Proposta de Emenda à Constituição (PEC 17/19) que insere a proteção de dados, incluindo os digitalizados, na lista de garantias individuais da Constituição Federal de 1988.

A PEC determina ainda que compete privativamente à União legislar sobre o assunto. O relatório deixou de ser votado porque houve pedido de vista do deputado Lucas Vergílio (Solidariedade-GO).

“O direito à proteção de dados pessoais reúne as características principais dos direitos fundamentais. É um direito universal, aplicável a toda e qualquer pessoa, e é um direito inalienável ou indisponível“, disse Orlando Silva ao justificar o parecer.

Decisão do Supremo

O deputado também usou como argumento favorável à constitucionalização da proteção de dados pessoais a recente decisão do Supremo Tribunal Federal que, ao permitir o compartilhamento de informações da Unidade de Inteligência Financeira (UIF) e da Receita Federal com órgãos de investigação, deixou claro que estes dados permanecem protegidos por sigilo. “Isto é, a circulação dos dados deve ser restrita de modo a se garantir um direito inalienável de proteção aos dados pessoais”, justificou Orlando Silva.

União Europeia

O exemplo da União Europeia, que incluiu a “proteção dos dados de caráter pessoal” em sua Carta de Direitos Fundamentais, também foi usado pelo relator para justificar a aprovação da emenda à Constituição.

Atribuição exclusiva da União

A proposta dá ainda à União a atribuição exclusiva de legislar sobre o assunto. Isso porque, ao longo das audiências públicas da comissão especial, de acordo com Orlando Silva, foram analisadas diversas iniciativas legislativas de estados sobre o mesmo tema.

“O grande número de leis estaduais e municipais, em tramitação ou já aprovadas, representam risco real de conflitos legais no ecossistema de dados pessoais. Caso concretizadas essas iniciativas, a excessiva fragmentação legislativa criará um risco sistêmico à segurança jurídica, aos investidores, ao fluxo e ao tratamento de dados em geral, com consequências deletérias para todos os agentes envolvidos e cidadãos”, explicou.

Órgão regulador

O substitutivo de Orlando Silva também acrescenta na Constituição o órgão regulador do setor. De acordo com a PEC, este órgão regulador será uma “entidade independente, integrante da administração pública federal indireta, submetida a regime autárquico especial”.

No ano passado, foi sancionada a Lei Geral de Proteção dos Dados Pessoais, que deve entrar em vigor em agosto de 2020, com sanções para quem compartilhar dados sem autorização. Também foi criada neste ano uma Autoridade Nacional de Proteção de Dados para cuidar da fiscalização do setor.

*Da Agência Câmara Notícias 

Mais de 70 milhões de brasileiros com CNH tiveram seus dados expostos após uma falha de segurança no site do Departamento Estadual de Trânsito do Rio Grande do Norte (Detran-RN). O vazamento foi divulgado via denúncia anônima, feita ao site Olhar Digital, nesta terça-feira (9). Entre os dados expostos estão os do Presidente da República, Jair Bolsonaro.

A brecha foi descoberta por um pesquisador de segurança da informação que, durante três meses, explorou a falha. Por meio de testes ele descobriu que, ao inserir diferentes números de CPFs gerados aleatoriamente, o erro dava acesso ao banco de dados de todos os Detrans do Brasil. Os órgãos estaduais têm seus sistemas integrados e unificados, o que facilitaria a entrada de invasores. 

Ao acessar o sistema era possível obter, apenas com o número de CPF, informações pessoais como endereço residencial, telefone, operadora, dados da CNH, foto, RG, CPF, data de nascimento, sexo e idade. Inclusive de personalidades públicas como o presidente Jair Bolsonaro, seus filhos, Xuxa, Neymar, entre outros.

De acordo com o site, o pesquisador contou que entrou em contato duas vezes com o Departamento Nacional de Trânsito para notificar a falha, mas não obteve nenhum retorno. Na última semana ele voltou a acessar o site e descobriu que a página não mostrava mais informações da ficha cadastral, mas continuava ativa, o que permitiria que fosse explorada por algum invasor.

O site MyHeritage, especializado em construção de árvores genealógicas e comércio de testes de DNA, confirmou ao confirmou ao Ministério Público do Distrito Federal e Territórios (MPDFT) o vazamento de e-mails e senhas criptografadas de mais de 3,3 milhões de clientes brasileiros.

Ao todo, 3.360.814 de clientes brasileiros do site tiveram seus e-mails e senha expostos. Desse total, 106.880 usuários eram menores de idade na época do vazamento (26 de outubro de 2017). O MPDFT orienta os internautas afetados que troquem a senha de acesso ao serviço.

Segundo o MPDFT, a empresa afirmou que não houve o vazamento de nomes, endereços e números de cartão de crédito dos clientes brasileiros, bem como das amostras de DNA e outros utilizados para formar árvores genealógicas de famílias.

O site MyHeritage fornece uma série de serviços relacionados à herança genética de pessoas. A empresa comercializa atividades como testes de DNA e identificação de árvores genealógicas, possibilitando identificar antepassados e encontrar parentes.

LeiaJá também

--> Backup do WhatsApp no Google Drive pode ser uma má ideia