Entra ano, sai ano, a privacidade e a segurança de nossos dados são assuntos que sempre estão em alta quando falamos em tecnologia e em 2020 não foi diferente. Tivemos alguns marcos, como o início da vigência da Lei Geral de Proteção de Dados (LGPD) e a chegada do sistema de rastreamento de contatos, mas será que este foi um ano de avanços?

Para começar, um dado recente (e alarmante) mostra bem a realidade dos brasileiros em relação à segurança de suas informações pessoais. Segundo pesquisa divulgada na terça-feira (29), mais de 70% dos consumidores brasileiros não estão cientes ou desconhecem totalmente as normas e práticas de proteção de dados.

O estudo mostrou ainda que 90% dos entrevistados não sentem que suas informações pessoais estão devidamente protegidas pelas empresas que as pedem. É algo particularmente alarmante diante do grande número de golpes e ciberataques registrados diariamente, e com a previsão de que em 2021 a situação não melhore, pelo menos na América Latina, de acordo com estatísticas da Kaspersky.

LGPD para quem?

A própria LGPD, que começou a vigorar em setembro, ainda é uma “ilustre desconhecida”. Cerca de 85% das empresas estão ignorando questionamentos feitos com base nas prerrogativas da lei, de acordo com um teste feito pela Sigilo, associação que protege os donos de dados e informações. Ao todo, foram enviadas 80 cartas a representantes de setores como e-commerce, bancos, telecomunicações, fintechs, marketing digital, entre outros.

publicidade
A LGPD ainda precisa ser fortalecida no país. Crédito: Trismegist San/Shutterstock

De forma resumida, a legislação exige que as companhias mudem a forma como lidam com a privacidade de seus usuários. “A LGPD estabelece três figuras principais durante o tratamento de dados: o titular, o controlador e o operador”, explicou Vanessa Lerner, advogada especialista em direito digital da Dias Carneiro Advogados.

“Em sua essência, a lei não é nada mais do que um conjunto de direitos e obrigações dessas três partes em diferentes momentos, que gera uma rede capaz de proteger a privacidade e a autodeterminação dos titulares de dados pessoais no Brasil”, complementa Lerner.

E não são só empresas que têm que se adequar à nova legislação. A partir do primeiro trimestre de 2021, a adequação dos órgãos públicos à LGPD será fiscalizada pelo Tribunal de Contas da União (TCU), utilizando o método de autoavaliação de controles internos, o mesmo procedimento pelo qual a Corte de Contas costuma avaliar a qualidade dos serviços de TI na administração federal.

Serão avaliados aspectos ligados à condução de iniciativas para providenciar a adequação à legislação e relacionados às medidas implementadas para viabilizar o cumprimento das exigências estabelecidas na lei.

Europa e a GDPR

Os problemas com privacidade não foram exclusividade do Brasil ou dos chamados “países de Terceiro Mundo” em 2020. A Europa, que conta com a GDPR (em português, Regulação Geral de Proteção de Dados), registrou 160 mil violações em apenas 18 meses de vigência da lei.

GDPR tem registrado violações na Europa. Crédito: Ivan Marc/Shuterstock

Para se ter uma ideia, apenas nos primeiros oito meses de GDPR, houve em média 247 notificações de violações por dia. O custo total de multas pagas relacionadas à regulação somavam, até o início de 2020, 114 milhões de euros (aproximadamente R$ 525 milhões), de acordo com a Pesquisa de Violação de Dados do GDPR.

A maior multa paga até aquele momento foi de 50 milhões de euros, emitida pela autoridade francesa de proteção de dados (CNIL) ao Google por violações de transparência e consentimento.

Contact tracing: do digital para o real

Não dá para falar sobre o que aconteceu em 2020 sem mencionar a pandemia de Covid-19 e suas repercussões. E uma delas é muito pertinente ao abordar questões de privacidade: a tecnologia de rastreamento de contatos, ou contact tracing.

Resultado de uma parceria entre Apple e Google, a API (interface de programação de aplicações) serve de base para que autoridades de saúde pública criem apps para monitorar contatos entre pessoas infectadas com o coronavírus e o restante da população, usando Bluetooth para trocar “chaves” entre o smartphone de um usuário e outros aparelhos nas proximidades.

Contact tracing criou oportunidades para violações de privacidade. Crédito: Elizaveta Galitckaia/Shutterstock

A princípio, parece algo bastante positivo e até inofensivo. No entanto, os problemas não demoraram a surgir. Em maio, foi descoberto que um aplicativo desenvolvido pelo governo de Dakota do Norte, nos Estados Unidos, tinha uma falha preocupante: ele violava sua própria política de privacidade enviando dados dos usuários para empresas como Google e Foursquare.

O Reino Unido passou por uma situação semelhante em agosto. Um pedido de acesso aos dados públicos do programa mostrou que o governo inglês violou por três vezes as regras do GDPR.

As quebras de privacidade foram feitas por duas empresas privadas, contratadas para a execução do programa de testes e rastreamento de infectados pelo novo coronavírus: a Serco e a Ventrica. As violações são referentes a problemas de e-mail e ao uso de informações pessoais em materiais de treinamento.

A empresa israelense de tecnologia NSO Group também se envolveu em polêmicas de violação de privacidade em 2020 ao utilizar um software chamado Fleming para monitorar o avanço da Covid-19 em comunidades e cidades de interesse. Segundo várias entidades e pesquisadores de segurança, o grupo invadiu a privacidade de pelo menos 32 mil indivíduos em países como Ruanda, Israel, Bahrein, Arábia Saudita e Emirados Árabes.

Redes (de informações) sociais

Considerada por muitos como as principais “vilãs” na guerra contra a invasão de privacidade e comercialização de dados pessoais, as redes sociais também não passaram incólume por 2020.

Um dos principais expoentes é o conglomerado criado por Mark Zuckerberg que conta com Facebook, Instagram e WhatsApp. Mas várias outras empresas figuraram negativamente por práticas duvidosas ao tratar das informações de seus usuários e clientes.

O Twitter se destacou ao protagonizar o primeiro caso envolvendo uma empresa americana a violar a GDPR, sendo multado em 450 mil euros por não ter notificado adequadamente a Comissão de Proteção de Dados da Irlanda após uma violação de dados divulgada em janeiro de 2019.

Empresas de Mark Zuckerberg foram alvos de investigações. Crédito: Frederic Legrand/Comeo/Shutterstock

Um inquérito judicial sobre práticas de privacidade aberto pela Federal Trade Commission (FTC), dos Estados Unidos, envolveu empresas como Facebook, Amazon, ByteDance (controladora do TikTok), Discord, Reddit, Snap, Twitter, WhatsApp e YouTube.

A comissão exige que as companhias informem como coletam e utilizam dados fornecidos pelos usuários, como as informações pessoais determinam os anúncios e conteúdos para cada indivíduo e se aplicam algoritmos ou análise de dados às informações coletadas.

O Google também foi processado por um suposto acesso feito pela empresa a conversas e mídias trocadas por usuários do WhatsApp graças a um acordo secreto firmado pela empresa de Mountain View com o Facebook pouco tempo depois deste último ter comprado o app de mensagens.

Até mesmo quem deveria ser responsável por proteger os cidadãos foi “pego no flagra”. O FBI está em vias de ser processado por uma entidade de direitos humanos e liberdades civis, devido a aquisição de um software que lhe permite quebrar a criptografia de dispositivos.