Lei Geral de Proteção de Dados não impede o vazamento de dados pessoais
Depois de um ano e seis meses de LGPD em vigor e passados oito meses em que a proteção de dados pessoais foi considerada direito fundamental na Constituição, a aplicabilidade do direito à privacidade no Brasil ainda está fragilizada. Confira no novo artigo da série Violações e resistências: as faces do direito à comunicação no Brasil
O mundo vive as consequências da plataformização, com os modelos de funcionamento das big techs e a ascensão da internet, cada vez mais presente na vida das pessoas. Uma das principais dimensões desse fenômeno é a coleta maciça de dados dos usuários que vivenciam esse espaço de socialização e de realização das mais diversas atividades cotidianas, desde acesso a serviços públicos até relações pessoais e profissionais.
Sancionada em agosto de 2018 e em vigor desde setembro de 2020, a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) veio na esteira de resposta a esse cenário e representa, sem dúvida, um avanço significativo em termos de proteção à privacidade e à liberdade de expressão no Brasil. Conforme estabelece o seu Artigo 1º, o objetivo da LGPD é “proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
No mesmo contexto, em agosto de 2021 foi aprovada a Emenda Constitucional 115, fruto da PEC 17/2019, de autoria de Eduardo Gomes (MDB-TO) e relatoria de Simone Tebet (MDB-MS), que incluiu a proteção de dados pessoais no rol dos direitos fundamentais da Constituição Federal. A partir de então, a proteção de dados pessoais se tornou um direito que nenhuma lei, sem quórum devidamente qualificado, pode alterar. Ou seja, a aprovação da Emenda 115 confere à agenda de proteção de dados pessoais uma dimensão coletiva, colocando-a na mesma importância de outros direitos fundamentais presentes no Artigo 5º da Carta Magna brasileira, o que gerou um impacto normativo de fortalecimento da LGPD.
Embora seja fundamental a consolidação da LGPD, bem como a garantia da proteção de dados como direito fundamental no arcabouço legislativo, a aplicabilidade deste direito no Brasil é eivada de disputas. Alguns exemplos são a necessária reivindicação por uma atuação independente da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização e aplicação da norma, a ausência de cultura do uso de dados pessoais, inclusive pelo poder público, e a forma como o Judiciário vem lidando com o tema. De forma direta, é preciso reconhecer que, embora a LGPD seja uma conquista imprescindível, assim como a inclusão da proteção de dados na Constituição Federal, algumas situações reais, como veremos a seguir, mostram que a sua aplicabilidade ainda se mostra frágil.
Dados de servidores públicos
Um dos casos emblemáticos aconteceu em Minas Gerais, quando os dados de servidores da rede estadual de educação vazaram. Algumas das informações, incluindo dados sigilosos, que foram expostos: nome completo dos/as servidores/as; endereço de e-mail; e dados do sistema de acesso dos/as servidores/as na rede pública, contendo a jornada de trabalho. Vale ressaltar que o fato, ocorrido em 13 de maio de 2021, portanto quase oito meses após o início de vigência da LGPD, envolveu um site administrado pelo Instituto Unibanco, que tem parceria com a Secretaria de Educação de Minas Gerais em projetos ligados à educação no estado.
O Sindicato Único dos Trabalhadores em Educação de Minas Gerais (SIND-UTE) acionou o Ministério Público Estadual após o ocorrido, entretanto a questão não foi levada à esfera judicial, limitando-se a uma investigação interna e processos administrativos pela própria Secretaria de Educação do estado.
O caso do INSS
Outro exemplo de flagrante desrespeito à LGPD foi o vazamento sistemático de dados de beneficiários/as do Instituto Nacional do Seguro Social (INSS). Após denúncia do Instituto Brasileiro de Defesa do Consumidor (Idec), que encaminhou notificação a diversos órgãos do governo federal em março de 2021, o órgão assumiu a existência de um esquema de vazamento de dados de aposentados/as e beneficiários/as para agentes do setor financeiro.
Um possível impacto relacionado a isso é que, de acordo com dados coletados pelo Instituto Defesa Coletiva (IDC), 4 milhões de idosos/as estão superendividados/as por conta do assédio constante de bancos, financeiras e correspondentes bancários com a oferta de empréstimo consignado. Em 2020, as ocorrências envolvendo crédito consignado ficaram em primeiro lugar entre as reclamações sobre serviços financeiros, com um aumento de 683% dos registros de reclamação. E, analisando somente a categoria “cobrança por serviço/produto não contratado/não reconhecido/não solicitado”, o salto é de 441%.
Em 2021, segundo dados do Reclame Aqui, o problema seguiu se agravando. No último ano, as queixas sobre crédito consignado no site subiram 274% e as reclamações sobre produtos não contratados/solicitados/autorizados saltaram 1.041%.
Em junho de 2021, o caso de vazamento de dados de aposentados e pensionistas do INSS foi parar na Justiça Federal, na 17ª Vara da Justiça Federal de Minas Gerais, a partir de um questionamento do IDC sobre a eficiência dos órgãos federais em manter seguros os dados dos/as usuários/as. Depois de quase um ano e seis meses de ação, não existe nenhuma resolução do mérito.

Vazamento de chaves Pix
O recorrente vazamento de informações pessoais por instituições bancárias é também representativo da fragilidade do direito à proteção de dados. Em setembro de 2021, o Banco do Estado de Sergipe S.A (Banese) identificou consultas indevidas a informações relacionadas a 395.009 chaves Pix, sendo feitas por meio telefônico de não clientes da companhia e a partir de duas contas bancárias de usuários/as do Banese. A autarquia bancária justificou, em nota, que o problema ocorreu “em razão de falhas pontuais” nos sistemas da instituição financeira.
Situação semelhante foi registrada em dezembro de 2021, quando o Banco Central informou a ocorrência de um incidente de segurança com o vazamento de chaves Pix sob a guarda e a responsabilidade da Acesso Soluções de Pagamento, dois meses após o episódio do Banese. Entre os dados expostos estão: nome do usuário/a, CPF, instituição de relacionamento e número de agência e conta de 160.147 chaves Pix.
Em janeiro de 2022, mais um caso, dessa vez envolvendo a Logbank Soluções em Pagamentos S/A (Logbank) e o vazamento de dados cadastrais vinculados a 2.112 chaves Pix com nome do/a usuário/a, CPF, instituição de relacionamento e número telefônico.
Nos três casos relatados acima, a ação tomada pelo Banco Central foi a de comunicar a sociedade sobre o vazamento e os procedimentos de apuração, porém, até então, sem nenhuma multa ou sanção administrativa gerada para as instituições bancárias.
Sanções judiciais e administrativas
Depois de um ano e seis meses de promulgação, a LGPD já acumula casos nos tribunais. Um levantamento de um escritório de advocacia com atuação específica em direitos digitais aponta que, apenas em 2021, foram ao menos 465 decisões sobre o tema, entretanto, 77% delas não resultaram em condenação, tendo sido extintas ou julgadas improcedentes em decisões judiciais sobre a lei em cortes superiores, tribunais de sete estados e três tribunais regionais federais. Já as sanções administrativas, sob responsabilidade da ANPD, também se encontram em um contexto discrepante em relação ao número de casos envolvendo a violação do direito à proteção de dados.
Para a pesquisadora de direitos digitais do Idec, Juliana Oms, “a ANPD parece estar se limitando a suas funções de promoção de conhecimento, edição de normas e recomendações”. Ao enfatizar que “a ocorrência de diversas violações às normas de proteção de dados pessoais torna urgente uma atuação mais ativa do órgão”, Juliana acredita que “a atuação tímida da agência reguladora pode ser resultado de seu desenho institucional – sem autonomia política, administrativa e orçamentária –, em que, com tamanho bastante reduzido, poucos/as funcionários/as e possibilidade de cargos políticos sem especialidade técnica, sua capacidade de realizar investigações e processos sancionatórios é afetada”.
Vale lembrar que o Conselho Diretor da ANPD, espaço máximo de decisão da autoridade, tem entre os cinco indicados, três membros do Exército brasileiro, com experiência limitada no tema da proteção de dados, além da falta de independência na sua atuação, em virtude da decisão do Executivo, ainda no período de Michel Temer na presidência da República, em vincular a ANPD à Casa Civil.
Em relação ao número de procedimentos investigativos instaurados desde a criação do órgão, de acordo com a própria ANPD, foram recebidos 207 Comunicados de Incidente de Segurança e 245 Petições de Titulares. Desses processos, 44 procedimentos preparatórios de fiscalização foram produzidos até então, com três autos de infração expedidos em março de 2022. Todas as investigações se dão sob segredo comercial e industrial, o que expressa um profundo desconhecimento dos contextos de denúncia e de investigação.
Conforme a agenda regulatória da autoridade, aprovada em janeiro de 2021, a ANPD deverá editar regulamento próprio sobre sanções administrativas, contendo as metodologias que orientarão o cálculo do valor-base das sanções de multa. O regulamento, atualmente, se encontra em análise da assessoria jurídica e, posteriormente, será submetido ao Conselho Diretor para submissão da matéria à Consulta Pública para escrutínio da sociedade. Enquanto isso, a aplicabilidade do direito à proteção de dados encontra-se frágil.
Para a advogada Clara Machado, doutora em Direito pela Universidade Federal da Bahia (UFBA) e co-fundadora da Conform.IT, uma empresa voltada para soluções de conformidade ligadas à LGPD, o silêncio da ANPD em relação aos 207 procedimentos de incidentes de segurança instaurados em 2021 é realmente alarmante. “Muito embora o foco da ANPD até o momento seja o de ‘educar’ para proteção de dados, não se pode deixar de reconhecer a necessidade de uma atuação efetiva e independente da autoridade para criar uma atmosfera de respeito à LGPD”. Ela lembra que na Europa, desde a entrada em vigor da General Data Protection Regulation, em maio de 2018, já foram aplicadas mais de novecentas sanções por descumprimento do regulamento.
A advogada em direitos digitais adverte que a preocupação com a natureza jurídica da ANPD é uma realidade, “já que como órgão público vinculado ao Executivo existe uma limitação na gestão financeira, técnica e administrativa, trazendo grandes impactos para sua agenda fiscalizadora”.
Se antes os grandes desafios estavam na promulgação da LGPD, na criação da ANPD e na positivação do direito à proteção de dados na Constituição Federal, atualmente a prática desse direito esbarra na ausência de uma atuação fiscalizatória independente e mais efetiva da ANPD e das esferas judiciais diante dos recorrentes casos de usos indevidos de dados pessoais, seja por entidades privadas ou públicas.
O avanço da agenda regulatória, proposta pela ANPD há mais de um ano, e o fortalecimento da independência e da própria estrutura da autoridade podem ser caminhos para que exista, de fato, a repercussão desse direito na vida cotidiana da população brasileira.
Ana Carolina Westrup é integrante do Intervozes, mestre em comunicação (UFS), doutoranda em Sociologia (UFS), pesquisadora do LEPP/UFS e bolsista CNPq/ Tecnologia Social.