Descontrole de acesso indica vulnerabilidade e incapacidade de assegurar confidencialidade e integridade do sistema
Artigo de Carlos Tourinho e Cristina Rios*
Faz tempo que a informação passou a ser principal matéria-prima e instrumento do poder, mormente após o desenvolvimento da tecnologia que potencializou a análise e utilização de dados pessoais para gerar vantagens competitivas e institucionalizar sistemas de controle social ou político.
Nesse contexto, todos passaram a ter os dados pessoais processados em um volume tão significativo e de uma forma ininterrupta e exponencial e isso reclama atenção especial no que se refere à necessidade de salvaguardar o equilíbrio entre o direito à proteção da privacidade, autodeterminação informativa e diversos direitos fundamentais.
A naturalização do tratamento massivo de dados pessoais alinhada com a falta de estrutura de governança com monitoramento de conformidade mais rigoroso representa um verdadeiro perigo aos princípios e valores democráticos, pois, quanto mais se conhece a pessoa e os seus hábitos, maiores são as possibilidades de antecipar ações e promover a preferência por um grupo de atores sociais que possuam certos atributos, ou ainda facilitar a previsão de propostas mais atraentes, além da elaboração de outras novas, tudo isso evidenciado através da análise preditiva.
Por isso, a identidade das pessoas abrange também atributos, fatos, comportamentos e padrões que podem ser usados como formas de comunicação automática, conforme preceitua Lawrence Lessing e, assim, de dominação.
Num cenário onde as redes sociais viraram verdadeiros fóruns de discussão e que possuem um amplo alcance, o proselitismo político feito e pensado para se comunicar de forma muito mais assertiva com um público alvo virou fator decisivo em construção de opinião, decisão e voto.
Necessário entender que partir dos cliques, reações como likes (curtir) ou compartilhamento de conteúdo que é publicado nas redes sociais, tem-se em mãos os traços da personalidade de determinados grupos, fazendo com que eles se tornem alvos de campanhas ou manobras que possam corresponder a suas especificidades e, assim, alcançar ou induzir as pessoas acessadas.
Essa preocupação não escapou à análise da Lei Geral de Proteção de Dados (LGPD), Lei número 13.709/2018, que entrou em vigor em 18 de setembro de 2020, após sucessivos adiamentos legislativos desde a sua publicação em 14 de agosto de 2018, que cuidou de proteger a informação relacionada a pessoa natural identificável. Isso implica dizer que as atividades de tratamento de dados pessoais indiretos, como por exemplo interesses, hábitos de navegação e geolocalização, também deverão observar a boa-fé e os princípios estabelecidos no art. 6º da LGPD.
Para minorar os risco de incidentes de segurança, a norma estipulou um padrão mínimo de conformidade, como a política de acesso, o gerenciamento de privilégios e o controle de autorização de acesso.
No último domingo, nos stories do perfil institucional da OAB-BA no Instagram ocorreu uma repostagem de um conteúdo de campanha eleitoral da candidata apoiada pela atual gestão. O episódio gerou enorme comoção em parte da advocacia baiana que passou a questionar o desvirtuamento da finalidade institucional.
Em resposta ao ocorrido, o Presidente da OAB/Bahia, Dr. Fabrício de Castro, emitiu uma nota aduzindo que “A senha é trocada rotineiramente em virtude da necessidade de compartilhamento com os diversos participantes nos eventos e nos programas OAB no Rádio e OAB na TV.”
Pela nota, depreende-se que se está diante um ambiente aberto de informações sensíveis, onde pessoas diversas possuem acesso facilitado a dados pessoais de milhares de advogados baianos. Indubitavelmente, essa é uma das situações de elevada criticidade, pois coloca em risco ou elevado risco os direitos dos titulares de dados e degradam a reputação do controlador, que no caso é a própria OAB-BA.
Em grupos de WhatsApp criados para discussão de assuntos relativos à Advocacia, a Conselheira e Presidente da Comissão de Informática Jurídica da OAB-BA chegou a informar que “Toda a gestão da OAB tem acesso ao gerenciamento de senhas. Inclusive as senhas são compartilhadas e alteradas regularmente e para ter acesso por óbvio precisam da senha para acesso ao provedor de aplicação do FB-Instagram”.
Isso não é governança de informação e tecnologia, porque, com a manifestação fica evidente que há descontrole de acesso e, assim, ausência de garantia que os dados estarão protegidos contra acessos indevidos. As páginas e perfis institucionais exigem uma política de segurança da informação ainda mais protetivo, pela relevância e sensibilidade dos dados postos, remarcando que a segurança dos dados pessoais é um dos princípios previstos no artigo 6º da Lei Geral de Proteção de Dados.
Tal princípio impõe aos agentes de tratamento de dados a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de eventuais violações, mesmo que acidentais. Nesse sentido, a OAB-BA deveria estar atenta aos requisitos de segurança, promover padrões de boas práticas e de governança para evitar “acessos não autorizados”, mas a bem da verdade o que ficou demonstrado através da nota foi uma constrangedora vulnerabilidade e incapacidade de assegurar a confidencialidade e a integridade do sistema.
O fato reclama um olhar atento para a necessidade de observância da Seccional Baiana à conformidade com as leis e regulamentos de privacidade e proteção de dados, eis que o incidente acabou por causar até mesmo dano reputacional à entidade.
No mínimo, está-se diante da ausência de diretrizes sobre padrões de segurança que auxiliem na mitigação de riscos, como a falta de controle estrito sobre o acesso aos dados mediante a definição de política de acesso e privilégios, com procedimentos abrangentes que ditem quais pessoas podem ter acesso a dados específicos.
Frise-se que a ausência de segurança é prevista na LGPD como tratamento irregular de dados pessoais, de modo que eventual comprovação de ausência de medidas técnicas e administrativas adequadas estão sujeitas a responsabilização por danos decorrentes da violação da segurança dos dados.
A LGPD prevê ainda que os agentes de tratamento devem formular regras de governança com adoção de medidas preventivas, capazes de mitigar a ocorrência de violações de dados pessoais. Segurança e prevenção são premissas básicas na lógica da proteção de dados.
Ademais, é imprescindível a observância do princípio da transparência também previsto no art. 6 da LGPD, através do qual é necessário garantir ao titular ampla informação sobre a legalidade e segurança no tratamento de seus dados. A LGPD proíbe condutas silenciosas, pois o déficit informacional não condiz com tratamento ético e responsável de dados pessoais, sendo importante esclarecer adequadamente quais critérios e procedimentos são utilizados, para que os titulares, se necessário, possam exercer os seus direitos.
O incidente verificado põe em dúvida se a OAB-BA não está utilizando informações pessoais coletadas a partir das redes sociais institucionais para nos direcionar propaganda política com conteúdo de sua preferência. A Casa não pode esquecer que a LGPD prevê ainda a prestação de contas como princípio norteador, com o objetivo de garantir a comprovação da eficácia das medidas adotadas. A inobservância desses requisitos nos custará ao exercício das liberdades e direitos fundamentais de toda advocacia.
Além das questões de conformidade com as normas de proteção de dados, é imperioso dizer o óbvio: no último domingo viu-se com lamento a perda da institucionalidade da Ordem dos Advogados do Brasil no Estado da Bahia. A utilização da instituição para promover o domínio político de um grupo degenera a Democracia e submete toda a classe ao alto custo da perda da nossa integridade e identidade perante a sociedade.
* Carlos Tourinho, advogado.
* Cristina Rios, advogada e consultora em Privacidade e Proteção de Dados.