Atropelada por dois vazamentos de milhões de dados pessoais de brasileiros em menos de um mês, a ANPD (Autoridade Nacional de Proteção de Dados) foi obrigada a pedir reforços à Polícia Federal e ao Gabinete de Segurança Institucional diante da ausência de regulamentação da lei que delegou ao órgão o poder de fiscalizar e punir infrações.
A criação da agência foi uma imposição da Lei Geral de Proteção de Dados, que entrou em vigor em agosto de 2018. No entanto, sua estrutura só foi definida dois anos depois.
Vinculada à Presidência da República, o órgão —que deveria ser independente como as demais agências reguladoras— também sofre com a restrição orçamentária e a falta de estrutura.
Nem mesmo as regras para a instrução de processos investigativos foram definidas pelo conselho da ANPD, que tem cinco integrantes —incluindo o diretor-presidente, o coronel Waldemar Ortunho Junior. Também está em análise o modelo para aplicação de multas.
O resultado é que, nesse caso, a ANPD não tem critérios para punir os responsáveis pelo megavazamento —caso sejam descobertos—, o que, segundo advogados especialistas em segurança digital, abre brechas para questionamentos na Justiça sobre o papel da própria agência.
Na agenda aprovada pelo conselho, a meta da ANPD é chegar ao final de 2021 com esse arcabouço de procedimentos e diretrizes regulatórias implementado.
As regras para investigações e aplicações de multas, no entanto, estão previstas para o segundo semestre deste ano.
A lei prevê penalidades de até R$ 50 milhões, mas exige que a forma de cálculo com as dosagens para cada tipo de infração seja regulamenta pela agência que, até lá, não tem como cumprir suas tarefas de forma plena.
Advogados que preferiram falar sob anonimato consideram que, neste caso, a agência poderia se valer do Código de Defesa do Consumidor para aplicar sanções.
Essa situação de precariedade da agência persiste desde que a empresa de segurança cibernética PSafe revelou a descoberta de um vazamento de dados pessoais de 223 milhões de brasileiros há três semanas.
Segundo a empresa, documentos pessoais (RG e CPF), informações financeiras, registros de empresas e veículos podiam ser adquiridos em sites da "deep web", espaço da internet no qual o rastreamento dos computadores usados no vazamento é praticamente impossível.
Nesta quarta-feira (10), foi detectado um novo vazamento. O caso foi também descoberto pela empresa PSafe e envolve mais de 102 milhões de informações de contas de celulares, envolvendo operadoras de telefonia.
As operadoras Vivo e Claro foram o alvo preferencial. A agência disse que está investigando o vazamento. As operadoras afirmam que não identificaram vazamentos.
"A ANPD está tomando todas as providências cabíveis. A autoridade oficiou outros órgãos, como a Polícia Federal, a empresa que noticiou o fato e as empresas envolvidas, para investigar e auxiliar na apuração e na adoção de medidas de contenção e de mitigação de riscos relacionados aos dados pessoais dos possíveis afetados", diz a entidade, em nota. O comunicado foi encaminhado pelo Palácio do Planalto.
A PSafe entregou todo o material para a ANPD e se dispôs a continuar colaborando. Segundo a agência, que ainda depende de suporte logístico da Presidência da República, a PF abriu investigações, mas ainda não há nada concreto.
Em outra frente, a Senacon (Secretaria Nacional do Consumidor), do Ministério da Justiça, pediu esclarecimentos à empresa Serasa por, supostamente, ser a detentora de parte da base de dados exposta pelo hacker no primeiro vazamento.
Outros 30 casos semelhantes estão sendo conduzidos pelo ministério. No entanto, seguem o Código de Defesa do Consumidor, que prevê penalidades de até R$ 10 milhões —contra R$ 50 milhões previstos como teto na Lei Geral de Proteção de Dados.
Diante da demora da agência e da pane regulatória, como os especialistas estão chamando essa inércia das autoridades brasileiras, órgãos de defesa do consumidor, como o Procon-SP, também se mobilizaram para buscar responsáveis por vazamentos.
A Serasa, por meio de nota, disse que protege sua base de dados para garantir a privacidade dos consumidores. "Tem havido notícias na mídia que um hacker está oferecendo ilegalmente dados sobre cidadãos brasileiros na web, alguns dos quais, alega-se, estarem relacionados à Serasa", disse.
Por meio da assessoria, a ANPD afirmou que, apesar de ter sido instituída em novembro de 2020, já adotou medidas importantes para a definição de seu marco regulatório.
A agência publicou uma portaria com sua agenda de medidas para os próximos dois anos.
Um dos processos envolve microempresas e empresas de pequeno porte, startups, principalmente, que tratam dados pessoais com fins econômicos. As consultas à sociedade sobre esse tema deve durar até março.
A autoridade disse ainda que já deu passos para a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão consultivo que contará com representantes da sociedade civil e do governo.
A Folha questionou a agência sobre as medidas tomadas, mesmo diante da ausência de regulamentos. Ainda segundo a assessoria, "desde que tomou conhecimento do mencionado vazamento, buscou reunir e analisar as informações disponíveis sobre o fato".
A agência afirmou ter solicitado "apoio investigativo da Polícia Federal e de outros órgãos, como o Comitê Gestor da Internet no Brasil e do Gabinete de Segurança Institucional da Presidência da República".
Enquanto as investigações seguem o curso, a agência disse ter realizado reuniões com a Serasa.
Sobre a falta de estrutura, a ANPD disse que "pretende atuar em colaboração com outros órgãos dotados de competências investigativas e sancionadoras, de modo a promover o adequado endereçamento dos diversos desdobramentos decorrentes de vazamentos de dados".
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.