JULIO WIZIACK E RICARDO DELLA COLETTA
BRASÍLIA, DF (FOLHAPRESS)

Foto: Folhapress

Atropelada por dois vazamentos de milhões de dados de brasileiros em menos de um mês, a ANPD (Autoridade Nacional de Proteção de Dados) foi obrigada a pedir reforços à Polícia Federal e ao GSI (Gabinete de Segurança Institucional) diante da ausência de regulamentação da lei que delegou ao órgão o poder de fiscalizar e punir infrações. A criação da agência foi uma imposição da Lei Geral de Proteção de Dados, que entrou em vigor em agosto de 2018. No entanto, sua estrutura só foi definida dois anos depois.

Vinculado à Presidência, o órgão –que deveria ser independente como as demais agências reguladoras– sofre com a restrição orçamentária e a falta de estrutura. Nem as regras para a instrução de processos investigativos foram definidas pelo conselho da ANPD, que tem cinco integrantes –incluindo o diretor-presidente, o coronel Waldemar Ortunho Junior. Também está em análise o modelo para aplicação de multas.

O resultado é que, nesse caso, a ANPD não tem critérios para punir os responsáveis pelo megavazamento –caso sejam descobertos–, o que, segundo advogados especialistas em segurança digital, abre brechas para questionamentos na Justiça sobre o papel da própria agência. Na agenda aprovada pelo conselho, a meta da ANPD é chegar ao fim de 2021 com esse arcabouço de procedimentos e diretrizes regulatórias implementados.

As regras para investigações e aplicações de multas, no entanto, estão previstas para o segundo semestre deste ano. A lei prevê punições de até R$ 50 milhões, mas exige que a forma de cálculo com as dosagens para cada tipo de infração seja regulamenta pela agência que, até lá, não tem como cumprir suas tarefas de forma plena.

Advogados que preferiram falar sob anonimato consideram que, nesse caso, a agência poderia se valer do Código de Defesa do Consumidor para aplicar sanções. A situação de precariedade da agência persiste desde que a empresa de segurança cibernética PSafe revelou a descoberta de um vazamento de dados pessoais de 223 milhões de brasileiros há três semanas.

Segundo a empresa, documentos pessoais (RG e CPF), informações financeiras, registros de empresas e veículos podiam ser adquiridos em sites da "deep web", espaço da internet no qual o rastreamento dos computadores usados no vazamento é praticamente impossível. Na quarta-feira (10), foi detectado novo vazamento detectado. O caso foi também descoberto pela empresa PSafe e envolve mais de 102 milhões de informações de contas de celulares, envolvendo operadoras de telefonia.

As operadoras Vivo e Claro foram o alvo preferencial. A agência disse que está investigando o vazamento. "A ANPD está tomando todas as providências cabíveis. A autoridade oficiou outros órgãos, como a Polícia Federal, a empresa que noticiou o fato e as empresas envolvidas, para investigar e auxiliar na apuração e na adoção de medidas de contenção e de mitigação de riscos relacionados aos dados pessoais dos possíveis afetados", diz a entidade, em nota. O comunicado foi encaminhado pelo Palácio do Planalto.

A PSafe entregou todo o material para a ANPD e se dispôs a continuar colaborando. Segundo a agência, que ainda depende de suporte logístico da Presidência da República, a PF abriu investigações, mas ainda não há nada concreto. Em outra frente, a Senacon (Secretaria Nacional do Consumidor), do Ministério da Justiça, pediu esclarecimentos à Serasa por, supostamente, ser a detentora de parte da base de dados exposta pelo hacker no primeiro vazamento.

Outros 30 casos semelhantes estão sendo conduzidos pelo ministério. No entanto, seguem o Código de Defesa do Consumidor, que prevê penalidades de até R$ 10 milhões –ante R$ 50 milhões previstos como teto na Lei Geral de Proteção de Dados. Diante da demora da agência e da pane regulatória, como os especialistas estão chamando essa inércia das autoridades brasileiras, órgãos de defesa do consumidor, como o Procon-SP, também se mobilizaram para buscar responsáveis por vazamentos.

A Serasa, por meio de nota, disse que protege sua base de dados para garantir a privacidade dos consumidores. "Tem havido notícias na mídia que um hacker está oferecendo ilegalmente dados sobre cidadãos brasileiros na web, alguns dos quais, alega-se, estarem relacionados à Serasa", disse. Por meio da assessoria, a ANPD afirmou que, apesar de ter sido instituída em novembro de 2020, já adotou medidas importantes para a definição de seu marco regulatório. A agência publicou portaria com sua agenda de medidas para os próximos dois anos.

Um dos processos envolve microempresas e empresas de pequeno porte, startups, principalmente, que tratam dados pessoais com fins econômicos. As consultas à sociedade sobre esse tema deve durar até março. A autoridade disse ainda que já deu passos para criar o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão consultivo que contará com representantes da sociedade civil e do governo. A Folha questionou a agência sobre as medidas tomadas, mesmo diante da ausência de regulamentos. Ainda segundo a assessoria, "desde que tomou conhecimento do mencionado vazamento, buscou reunir e analisar as informações disponíveis sobre o fato".

A agência afirmou ter solicitado "apoio investigativo da PF e de outros órgãos, como o Comitê Gestor da Internet no Brasil e do Gabinete de Segurança Institucional da Presidência da República". Enquanto as investigações seguem o curso, a agência disse ter realizado reuniões com a Serasa.