Texto atualizado às 22h10 para incluir a posição do Serpro
Além de violar a privacidade de milhões de brasileiros, o megavazamento de 223 milhões de CPFs, 104 milhões de registros de veículos e 40 milhões de CNPJs pode prejudicar a imagem internacional do Brasil. Segundo o advogado de direito digital Fabrício Polido, professor da Universidade Federal de Minas Gerais (UFMG) e sócio do escritório L. O. Baptista Advogados, até mesmo a adesão do Brasil à Organização para a Cooperação e Desenvolvimento Econômico (OCDE), grupo dos países ricos do qual o País tenta fazer parte, pode ser prejudicada.
Para ser membro da OCDE, um país precisa estar de acordo com as práticas exigidas pela organização, como adequação tributária, governança corporativa e proteção de dados e privacidade. Em março de 2019, o governo do ex-presidente americano Donald Trump sinalizou ao presidente Jair Bolsonaro de que os EUA apoiariam o ingresso do País à organização, algo que até agora não se concretizou.
“O País precisa demonstrar que está de acordo com os padrões e as recomendações da organização, que vai conduzir a revisão de pares para verificar se o Brasil tem leis e dados institucionais para responder a esse campo da governança de dados”, explica Polido. “Com um caso desse no currículo brasileiro, a OCDE certamente vai levar em consideração essa experiência recente, que prejudica o pleito do Brasil”.
Polido afirma que, além da consequência reputacional para o Brasil, o governo brasileiro pode ser obrigado a prestar esclarecimentos em comitês de Direitos Humanos, já que, sob a legislação internacional, o tema de privacidade e proteção de dados são um direito fundamental do indivíduo.
Outro fator prejudicial, diz o advogado, é que podem ser afetadas as multinacionais brasileiras que já atuam no exterior ou têm a intenção futura de expandir o negócio para outros países. Segundo ele, as companhias terão de se adequar a padrões europeus ou da Organização Mundial do Comércio (OMC), por exemplo, e podem enfrentar dificuldades ao fazer negócio com outras empresas, receosas da política de dados do Brasil.
Em entrevista ao Estadão, Polido deu uma dimensão do tamanho do estrago internacional do caso. Leia os principais trechos a seguir:
Qual é o efeito do megavazamento para a imagem do País?
O Brasil acaba mais uma vez dando um exemplo muito ruim para o regime internacional de proteção e de governança de dados das maiores organizações, vide a União Europeia (UE), Organização para a Cooperação e Desenvolvimento Econômico (OCDE) e Organização Mundial do Comércio (OMC). O significado do megavazamento é de baixa reputacional para o Brasil.
E qual o impacto disso para o mundo?
Como o Brasil pleiteia acesso como membro-pleno da OCDE, o País precisa demonstrar que está de acordo com os padrões e as recomendações da organização, que tem trajetória antiga, desde 1980, em governança de dados. Nós temos que entrar nesse campo, em que a gente ainda engatinha, porque há uma falha grande na forma como a gente responde a demandas de cooperação internacional no setor. A OCDE vai conduzir a revisão de pares no caso brasileiro para verificar o acesso à entidade e eles vão verificar se o Brasil tem feito leis e dados institucionais para responder a esse campo da governança de dados.
Não há uma cultura de privacidade de dados no Brasil e agora estamos no olho do furacão com esse megavazamento. E já vinha uma sucessão de vazamentos anteriores, além de polêmicas com o IBGE e a Serpro. No caso do IBGE e do Serpro, houve a polêmica de compartilhamento e unificação de bases de dados pelas autoridades brasileiras. Isso mostra o quanto as autoridades brasileiras cometiam vacilos.
[nota da redação: Após a publicação original desta entrevista, o Serpro se manifestou na seguinte nota: "O Serpro repudia a associação do nome da empresa ao assunto vazamento de dados. Na entrevista sobre “Megavazamento de dados causa mancha na reputação internacional do Brasil”, o entrevistado cita indevidamente o nome do Serpro como se houvesse algum tipo de vazamento de dados recente vinculado à empresa. O Serpro reafirma que nunca houve qualquer comprometimento na segurança das bases de dados operadas pela empresa.]
Como essa má reputação nos prejudica?
Com um caso desse no currículo brasileiro, a OCDE certamente vai levar em consideração essa experiência recente, que prejudica o pleito de adesão à organização. Outro ponto é a União Europeia, que, mais cedo ou mais tarde, vai ver se o Brasil é adequado em termos de proteção de dados quanto ao regulamento segundo a GDPR (lei de proteção de dados europeia, aprovada em 2018). Empresas europeias podem ter dificuldades operacionais para estabelecer relações com empresas brasileiras, porque vão encontrar uma situação desfavorável em termos de dados. Há muito tempo, multinacionais brasileiras nos Estados Unidos e na Europa já têm a pratica de estabelecer nos contratos cláusulas que exigem garantias na proteção de dados. Isso faz com que, antes de uma brasileira entrar na Europa, ela tenha que dar garantias contratuais com previsões de responsabilidades e multas em virtude da não oferta de proteção da privacidade.
Há a preocupação de que esses vazamentos abram espaços para múltiplas violações de direitos humanos porque a privacidade de dados é um direito fundamental. O Brasil pode ser analisado nos principais comitês e relatorias internacionais e pode ser que tenhamos de prestar contas e responder quais as medidas adotamos para remediar esse grande incidente. O Brasil vai acabar sendo cobrado a prestar esses esclarecimentos.
O Brasil está isolado no mundo?
Do ponto de vista político e diplomático, o Brasil está em uma situação de não adequação, de desvantagem, em relação a países como Argentina e Uruguai, que já estão adequados sob as regras da OCDE desde os anos 2000. São dois países que, pela tradução constitucional, demonstraram que atingem o requisito do grau adequado de proteção. O Brasil precisa encontrar esse espaço hoje de participação e de conformidade nesses acordos com as organizações internacionais nos campos de dados. Por isso a gente fala para que a diplomacia estratégica de dados seja tratada pelo Itamaraty (Ministério das Relações Exteriores) para reforçar a atuação brasileira junto a essas instituições e demonstrar que o Brasil tem feito esse trabalho ao longo desses meses para colocar a gente na rota internacional de dados.
Por que o vazamento é preocupante?
Por causa da escala a nível comercial e governamental. A utilização subsequente desses dados seria uma espécie de camada e subdomínio por parte de organizações que se apropriam deles e colocam à disposição de outras bases que operam na deep web, a camada subterrânea da internet que não é acessível pelos buscadores. Isso faz com que se crie uma forma de escalabilidade e novos modelos de negócio que exploram esses dados, cuja obtenção foi feita de forma ilícita. Antigamente, muitas empresas compravam essas bases de dados, que acabavam sendo usadas como parte do marketing digital para oferecer serviços que estavam associados a titulares de outra empresa. Também se pode imaginar o uso não autorizado por entes governamentais de fora do Brasil, resultando eventualmente em vigilância ou perseguição a cidadãos brasileiros. Parece um futuro distópico, mas essas questões não podem ser descartadas.
O atual comportamento do governo brasileiro é compatível com o nosso histórico de rechaço diplomático às revelações de espionagem americana por Edward Snowden, em 2013, criação do Marco Civil da Internet e aprovação da Lei Geral de Proteção de Dados?
Existia um movimento positivo do Estado em demonstrar internacionalmente esse alinhamento para criação de um regime de governança de dados e da internet consistente, robusto e antenado com a proteção dos direitos dos usuários. Com o nosso marco legal digital, a gente oferece um belo exemplo de como responder a esses anseios, demonstrando nossa posição por meio de leis, de instituições e da participação dos órgãos reguladores e do judiciário. O País sempre foi muito atuante na governança da internet. Mas o Brasil nos últimos anos foi saindo do protagonismo que tinha na área de proteção de dados. O Estado brasileiro abandonou esse campo e também o diálogo de alto nível na Organização das Nações Unidas (ONU) sobre o tema. Isso vai repercutir no futuro. O quanto o Brasil vai recuperar dessa discussão?
O que pode ser feito?
A resposta mais certa no momento é que o Brasil estabeleça um plano direcionado de diplomacia de dados para sequenciar o que é um plano de contenção dos danos computacionais na OCDE, na UE e na OMC. Então, isso vai levar a um certo trabalho de direcionar o Estado brasileiro para se responsabilizar internacionalmente. E, tão importante quanto, as empresas no Brasil vão ter que atuar porque elas foram levadas por obrigações legais a demonstrar que têm essa capacidade corporativa de proteção da informação pessoal. Se fizer isso, a empresa brasileira vai estar antenada com a prática da OCDE, porque, do contrário, elas ficam de fora das práticas comerciais.
