Na sexta-feira (3), a Folha e o UOL noticiaram que criminosos estão vendendo dados completos de praticamente todos os brasileiros e brasileiras na internet. O serviço funciona como uma espécie de Netflix. O usuário paga uma assinatura mensal de R$ 200 e, enquanto for assinante, pode ter acesso a bases de dados completas e bem organizadas de qualquer pessoa.

Capilaridade e detalhamento são impressionantes. Além de domicílio, números de telefone celular, nome e dados completos dos parentes e vizinhos, ou participações societárias, as bases reúnem ainda informações sobre renda, análise de crédito e até mesmo dados do Sistema Nacional de Armas, operado pela Polícia Federal. É possível saber, por exemplo, quem são as pessoas que têm armas atreladas ao seu nome.

A novidade aqui não é o "vazamento do fim do mundo" em si. Esse já aconteceu e continua a ser alimentado, já que novos dados chegam o tempo todo para atualizar os antigos.

A novidade é que cada vez mais sites obscuros, sem identificação, surgem para oferecer essas bases de dados organizadas e cobrar pelo seu acesso. A matéria-prima, os dados, está em toda parte. Ela é resultado de anos de negligência com relação à cibersegurança, decisões equivocadas do poder público e vazamentos de dados de empresas privadas.

A partir dessa matéria-prima, surge uma hidra de mil cabeças. O site revelado pela Folha é apenas um dentre inúmeros outros que oferecem um tipo de acesso e organização dos dados similar. É até reducionista falar em "site". Isso porque os canais para obter esses dados são múltiplos: seja nos aplicativos de mensagem, seja nos grupos de redes sociais, e assim por diante. Se uma cabeça da hidra é cortada, outras dez podem surgir.

O problema jurídico aqui tem duas características. Com relação a dados públicos, que estão disponíveis online, chama a atenção o desvio de finalidade. A LGPD (Lei Geral de Proteção de Dados) permite usos de dados públicos, mas os usos e serviços resultantes devem respeitar as finalidades previstas para aqueles dados, além de assegurar os direitos dos titulares previstos na LGPD. Isso não é feito por esses canais ilícitos. A maior parte deles oferecida por sites no exterior e sem nenhuma identificação.

O outro problema é que há também bases privadas sendo oferecidas. Com relação a essas, são informações de uso restrito, que não deveriam ter ampla circulação. Nesse caso, é muito provável ter havido vazamento ou acesso ilegal (o que na prática dá no mesmo). Esses casos ferem a LGPD.

O que fazer? Primeiro, todo cidadão e cidadã tem de partir da premissa hoje de que todos os seus dados estão expostos. Essa é uma condição existencial de ser brasileiro. Isso requer cuidados e custos que caem nas costas de cada pessoa.

Além disso, a situação toda é um alerta para que o país repense sua estrutura de identificação. Como dados que vazam não têm como serem "desvazados", que tal então repensar completamente o sistema de identificação, de forma mais inclusiva e segura, e desburocratizando a vida das pessoas? Seria um jeito de transformar o absurdo desse vazamento em um sistema melhor para todos.

Reader

Já era Ataques só na Terra

Já é Ataques no ciberespaço

Já vem Ataques no espaço (satélites estão se tornando alvos de ataques, ainda que reversíveis, todos os dias)