Segurança digital e o estábulo de Pegasus

Iara Ferfoglia G. Dias Vilardi

Bruno Nazih Nehme Nassar

Artigo publicado pelo Estadão em 21 de agosto de 2021

O mundo foi tomado de assalto no dia 18/7/2021 com a revelação, pelos maiores veículos de comunicação internacionais, de que diversos governos vêm utilizando um software chamado “Pegasus”, desenvolvido pela empresa israelense “NSO Group”, para monitorar celulares de cidadãos do próprio país e de outros países, em especial rivais políticos e jornalistas, tudo supostamente sob o velho mote de combater o terrorismo e organizações criminosas em geral. Com o pouco já apurado, a partir de cerca de 50 mil documentos obtidos, já se constatou o poder que o sistema tem para espiar, gerando acesso para as fotos do celular invadido, geolocalização, contatos, mensagens trocadas (mesmo em aplicativos que tenham mensagem criptografada, como o WhatsApp), dentre outros dados. Talvez se trate do maior escândalo cibernético do ano, isso em um ano que já foi palco de alarmantes episódios de violação da segurança digital (vide casos de ataques ransomware recentes, como contra a Colonial Pipeline nos EUA e o Grupo Fleury no Brasil). Há, inclusive, registros de uso do sistema Pegasus para monitorar cidadãos brasileiros.

De fato, esse caso ainda levantará muitas discussões nos próximos meses e merece maior aprofundamento e investigação, porém, não deixa de ser mais um capítulo na importância da população se preocupar com sua segurança digital e exposição de dados no ciberespaço. No Brasil, a questão é premente, especialmente porque o dia 1.º/8/2021 marca a entrada em vigor dos arts. 52, 53 e 54 da Lei Geral de Proteção de Dados (Lei 13.709/2018), que veiculam as sanções administrativas aplicadas “em razão das infrações cometidas às normas previstas nesta Lei”, o que demanda tanto que os indivíduos conheçam os direitos atrelados à proteção de seus dados quanto que os agentes de tratamento de dados, pessoas físicas ou jurídicas, de Direito Público ou de Direito Privado (art. 1º), estejam adequadas à sistemática da LGPD.

É certo que a LGPD vem evocando um especial interesse dos agentes de tratamento de dados em compreendê-la. Talvez desde o CDC, não se percebe tanta comoção social ao redor de uma norma jurídica. Entretanto, ainda é cruel a pergunta: alguém está pronto? Não está claro se os agentes de tratamento já se sensibilizaram com a gravidade das sanções que a lei reserva para o caso de descumprimento de suas normas (variando desde simples advertência até multa e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados).Nada obstante, a pergunta não deixa de ser capciosa, porquanto a própria Agência Nacional de Proteção de Dados (ANPD) ainda tem muito a definir.

É a ANPD a autoridade competente para aplicar as sanções administrativas previstas na LGPD (art. 55-J, IV), sem que isso exclua a possibilidade de incidirem outras sanções administrativas, civis ou penais, previstas em outras leis, como CDC, CP etc. (art. 52, §2º). Ocorre que as sanções da LGPD entram em vigor sob um cenário de relativa incerteza. Apesar da lei, em seu art. 52, §1º, trazer algumas balizas a respeito de como e quando devem ser aplicadas as sanções, ainda se espera que a ANPD exerça diversas competências regulatórias que definam o conteúdo concreto de seu poder fiscalizatório e sancionatório (art. 53), bem como diretrizes mais claras sobre como diferentes agentes de tratamento devem se adequar à LGPD, considerando especialmente seu porte e setor em que atuam (art. 55-J, XVIII). De fato, é irrazoável esperar o mesmo grau de sofisticação na segurança da informação de um banco multinacional e da padaria da esquina, embora ambos se sujeitem à LGPD quando tratam dados alheios. Nessa medida, outrossim, o microempreendedor, a empresa de pequeno porte ou outra entidade com menor sofisticação técnica e recursos para se aparelhar contra falhas de segurança, se torna alvo fácil para eventuais ataques cibernéticos, o que, em tese, pode render uma sanção administrativa vultosa, como multa simples, de até 2% do faturamento da pessoa jurídica no seu último exercício (excluídos os tributos e limitada, no total, a R$ 50 milhões por infração). Até a ANPD desenvolver normas regulatórias específicas sensíveis à realidade do empreendedor modesto, haverá um incontornável grau de insegurança jurídica.

Enquanto esse vácuo não é preenchido, crucial saber que a LGPD traz uma série de deveres e boas práticas a serem seguidos no caso de um incidente na segurança dos dados tratados, especialmente comunicar, em “prazo razoável” (conceito também a ser definido pela ANPD), à autoridade nacional e ao titular a ocorrência do incidente que possa acarretar risco ou dano, descrevendo a natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados (observados os segredos comercial e industrial), os riscos relacionados ao incidente, os motivos da demora (no caso de a comunicação não ter sido imediata) e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo (art. 48, caput e §1º).

Soma-se a isso que, segundo o art. 43, os agentes de tratamento não serão responsabilizados quando provar em que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados (inciso II), ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro (inciso III). Portanto, mesmo quando houver um incidente na segurança, como um ataque hacker, a responsabilização jurídica não é certa, desde que comprovadas uma dessas causas de exclusão.

O Brasil ainda está tateando mecanismos para zelar pela proteção de dados pessoais na era da hiperconectividade, chegando relativamente atrasado quando comparado à experiência europeia, que foi a inspiração da LGPD (vide o Regulamento Geral sobre a Proteção de Dados – 2016/679). Ainda será longo e árduo o caminho até que a LGPD seja incutida no imaginário coletivo como uma norma de igual importância na vida cotidiana como o CDC, por exemplo, e até que a ANPD se desincumba de suas competências regulatórias para fixar padrões de conduta mínimos e razoáveis, considerando inclusive as especificidades de diferentes portes e setores empresariais. Assim, é de se esperar um inevitável grau de incerteza nessa temática. Não se sabe se a realidade nacional sucumbirá a violações generalizadas da proteção dos dados pessoais, em vista de sistemas intrusivos como Pegasus ou cada vez mais comuns ataques de ransomware, ou se a temática da segurança digital será alçada a um novo patamar de importância, contudo, o direito pinta a realidade que deverá ser, que se almeja, de maneira que a mera existência da LGPD já representa um ansiado feixe de luminosidade no conturbado cenário virtual.