A LGPD (Lei Geral de Proteção de Dados) entrou em vigor em setembro de 2020 com a promessa de garantir maior segurança aos nossos dados pessoais. Porém, estamos vendo que a prática é bem mais complexa. O ano de 2021 iniciou com ocorrências de megavazamentos de dados que colocaram em xeque a segurança das informações dos brasileiros.

Após noticiado em janeiro o vazamento de dados pessoais (incluindo nome, CPF, fotos, “score” de crédito, endereço, Imposto de Renda e outros) de mais de 220 milhões de brasileiros, comercializados na dark web, houve novo vazamento em fevereiro —desta vez de dados relacionados a contas de celulares de mais de 100 milhões de pessoas.

Em posse desses dados é possível realizar operações de compra, contratação de serviços e acessar informações de sua vida privada. Longe de incitar uma teoria da conspiração, tampouco trazer qualquer episódio da série “Black Mirror” à realidade, é legítima, no entanto, a grande preocupação com os prejuízos que podem ser causados.

Diante disso, recorremos à LGPD e ao Código de Defesa do Consumidor (CDC) para examinar quais são os direitos dos titulares de dados e como eles podem se proteger.

Nos termos da LGPD, o controlador ou operador de dados pessoais que causar dano em violação à legislação é obrigado a repará-lo. Apesar da lei atribuir ao agente a responsabilidade civil de reparação dos danos causados, o dispositivo não é claro se para caracterização da responsabilidade é necessário existir a culpa do agente. Em linha com o CDC, entretanto, é garantido que o agente deverá ressarcir os danos sem comprovação de culpa.

Ótima notícia, não? Mas e quando o responsável pelos danos não é identificável? É exatamente este o caso dos vazamentos citados. A fonte dos vazamentos não foi identificada, de forma que os titulares ficaram à deriva, e a solução dada até o momento foi transferir aos titulares a responsabilidade pela checagem de eventuais danos causados, sem garantia de ressarcimento. Foi disponibilizado pelo Banco Central um site para que os titulares monitorem as transações de créditos realizadas em seu nome.

Neste caso específico, é importante que o titular monitore os seus dados e se abstenha de prestar informações pessoais por meio de canais de comunicação não oficiais das instituições financeiras. Ressalte-se que o uso dos dados por meio de fraude financeira que acarrete prejuízos aos titulares pode ensejar responsabilização das instituições financeiras.

De toda forma, fica o alerta de que temos muito o que avançar para assegurar os princípios estabelecidos na LGPD. Não podemos ser ingênuos a ponto de achar que a comercialização dos dados pessoais é recente na dark web ou que a LGPD dará conta de garantir proteção integral aos titulares —cabem ao governo e às próprias empresas, na qualidade de controladoras e operadoras, garantir ao Brasil um ambiente minimamente seguro para transações comerciais e privacidade dos titulares.

Expor os dados pessoais significa expor a vida e segurança de indivíduos e, além dos riscos inerentes, atribui ao país reputação duvidosa no âmbito internacional. As relações se constroem com base na confiança, e não haverá confiança enquanto não estabelecida a proteção adequada a este bem tão precioso que é a privacidade da vida humana.

FOLHA DE S. PAULO