O meu perfil no Linkedin diz que eu sou advogada, mãe e curiosa. É bem isso. Minhas três atividades são essas… não necessariamente nessa ordem. Por ser mãe e curiosa, fui estudar autismo – tenho um filho de 10 anos no espectro – com profundidade, a ponto de achar que dia desses serei presa por exercício irregular da medicina, já que ando diagnosticando em parquinho, pracinha, shopping…
Já por ser advogada e curiosa, fui estudar tecnologia, entender de Direito Digital, mais especificamente, proteção de dados pessoais e privacidade, a ponto aqui de quase correr para as colinas e virar eremita quando o balconista da farmácia da esquina da minha casa me pergunta:
– qual o seu CPF, senhora? (e eu viro aquele meme da mulher correndo com a jornalista atrás, gritando: senhora…senhora).
Enfim, temos uma Lei de Proteção de Dados Pessoais (LGPD), sancionada em agosto de 2018, que entrará em plena vigência em 16/08/2020 – esse período que estamos, entre a sanção e a eficácia da lei, chamamos de vacância – e trouxe para minha vida o fantástico mundo da privacidade e da proteção de dados.
É tão fantástico que beira o surrealismo… primeiro porque, apesar de privacidade ser um conceito de 1890 – definida pelo juiz americano da Suprema Corte Louis Brandeis como o direito de estar só –, só agora estamos legislando sobre o tratamento de dados pessoais dos usuários e, pior, 75% das pessoas no país nunca ouviram falar nela. Quando apresento aos clientes a necessidade de adequação, ouço com frequência: essa lei vai pegar mesmo? E eu fico com cara de paisagem, com vontade de dizer
“querido, o que a gente pega é ônibus, virose, bem casado em saída de casamento. Lei é feita pra ser cumprida, e essa, se você não cumprir, vai doer no bolso, pois as multas por incidentes é de 2% sobre o faturamento até 50 milhões de reais por vazamento”.
Parênteses: a LGPD, como carinhosamente chamamos, não caiu de paraquedas no ordenamento jurídico do país. Ela veio na primeira classe da AirFrance ou da BritishAirways, direto da Europa, porque ela é meio filha da GDPR – General Data Protection Regulation (Regulação Geral de Proteção de Dados) –, o normativo mais robusto que se tem no planeta sobre o tema. E, como o Brasil quis pegar o bonde da OCDE (Organização para Cooperação e Desenvolvimento Econômico) e ainda sentar na janelinha, importou a GDPR em forma de LGPD, pois uma das condições de ingresso na OCDE é garantir um escopo legislativo similar na proteção de dados, sacou?
Voltando. Estudar proteção de dados pessoais (tudo aquilo que identifica ou torna identificável – mediante cruzamento simples de dados – uma pessoa natural) em um país que a galera dá o CPF ao vendedor por um vale coxinha, não é difícil não. É escalar o Everest sem equipamento e de biquíni!!!
De um modo geral, vivemos em um país que não tem cultura de privacidade, de proteção, de segurança, que exige educação prévia – coisa que também não dispomos – e em um mundo onde dados são a moeda corrente, pois estamos vivendo capitalismo de vigilância. Meu irmão, deixa eu te contar uma coisa: tá puxado… (porque não posso escrever um palavrão).
Some isso tudo a um país que não conhece bem tecnologia. Lembro que precisei, há uns 10 anos, de uma liminar para tirar uma página do Orkut (RIP) do ar, e identificar os endereços de IP das postagens ofensivas. Pense num problema! Dobre! Pois.. como falamos aqui em Salvador: foi barril dobrado. Ao tentar explicar o caso para o Juiz, ouvi um: “minha filha, eu não tenho nem e-mail! Fale aí com esse menino (o assessor dele). Se ele entender o que você está dizendo, eu assino a decisão”. E foi assim que fui dormir sonhando com um Judiciário mais high tech, mas com minha liminar debaixo do braço, pois o assessor entendeu tudo que eu dizia.
Enfim, na proteção de dados, para implantação de projetos de adequação à LGPD, a gente tem de fazer isso: matar a cobra, mostrar o pau, ensinar a temperar a carne da cobra, usar o couro pra sapato, replantar a árvore de onde tiramos o galho que matou a bichinha, e ensinar a floresta inteira a fazer tudo isso o resto da vida. Ufa.
Essa semana, depois da reportagem do The Intercept sobre os vazamentos da Operação Lava Jata, foi fogo no parquinho! O que tive de responder de pergunta não está no gibi. Pior, a maioria das perguntas vinha de pessoas que deveriam entender do que estavam perguntando. Estava em uma audiência no interior quando o assunto veio à baila. Meu cliente, sabendo que estudo sobre o assunto, para se gabar, largou um: ela é uma hacker. Obviamente que o Promotor quase me deu voz de prisão. Até que eu explicasse que estudo Direito Digital e não sou da área de TI, o telefone estava pronto para pedir ajuda aos sócios.
Enfim, convencido de que eu não era Edward Snowden de saias, o promotor pediu para eu tecer comentários sobre o que eu achava dos vazamentos. Explicava a ele o que era um ataque hacker direto, como isso não era fácil, e que minha tese é de SIM swap, a boa e velha clonagem de chip de celular, com a participação de engenharia social. Ele fez várias perguntas, ouviu minhas ponderações sobre a dificuldade de “quebrar” fatores de autenticação e acabou concordando comigo, inclusive ajustando o celular dele com mais senhas, depois que mostrei as opções de segurança.
Bom, resumo da ópera em 08 bits: trabalhar com proteção de dados pessoais e privacidade é rapadura (doce, mas dura) exatamente porque você pode recomendar a seu cliente que ele coloque o melhor firewall, vários fatores de autenticação, criptografia de ponta a ponta nas transmissões, controles de acesso mais rígidos, enfim, construir uma verdadeira fortificação em torno das informações que ele possuir. Mas se você não disser ao zelador, à faxineira, ao gerente, ao diretor da empresa que eles não podem fazer selfiedentro da fortaleza, que eles não podem acessar e-mail pessoal dentro da empresa, que eles não podem anotar a senha no post-it e deixar colado na tela do monitor, esse castelo vai ruir, vai implodir de dentro pra fora, porque a ponta mais fraca neste trabalho, infelizmente, é a ponta humana.
Mas Fabi, e tem segurança 100% em proteção de dados? Querido(as), 100% seguro só a morte e o imposto (de renda, de taxa de esgoto, do carro, whatever)!!! O que fazemos é arrumar a casa, melhorar o muro, guardar as coisas nas gavetas, colocar mais trancas, monitoramento por câmera, enfim, é prevenção. Só que não adianta tudo isso se a vó vai atender o interfone e acreditar que é o entregador de pizza ou o que quer seja, que ninguém pediu.
E faz o quê depois que vaza? Então….. não vale fazer o Chitãozinho&Xororó e sair “negando as aparências e disfarçando as evidências”, não vai adiantar desacreditar o jornalista – que tem “só” um Pulitzer e um Esso – nem culpar o hacker, porque a falha existiu – seja na guarda, seja no conteúdo, seja nas providências.
O melhor, em caso de vazamentos de dados, é ver onde está o furo, saber o quanto vazou, estancar o vazamento, e ver o tamanho do prejuízo. Se não causou danos, conserta onde está quebrado. Se causar, tem de avisar aos usuários o que eles perderam ou os riscos que eles correm, e fazer a mea culpa.Fora isso, o resto é tampar furo com dedo, ou seja, vai continuar vazando… ;-)
Fabiani Borges –Advogada, sócia do EBQ Advogados Associados, Especialista Direito Processual Civil, MBA em Direito Eletrônico, Especialista em Compliance pelo IBCCrim-Coimbra, Formação Avançada em Ciberespaço, membro Instituto Brasileiro de Direito da Informática; do Instituto Brasileiro de Direito Digital – IBDDIG, da ISOC (Internet Society) Brasil, e da AB2L – Associação Brasileira de Lawtechs e Legatechs, e da Comissão de TI e Direito Digital da OAB/BA.