Como essas empresas chegam nas minhas informações, como nome, endereço, CPF e telefone pessoal?

Agora imagine se uma empresa ou uma pessoa estivesse de posse do seu nome, endereço, CPF, Número do Título de Eleitor, sua foto, sua idade, seu sexo e, principalmente, soubesse em quem você votou nas últimas eleições desde a implantação das urnas eletrônicas?

Em 2015 o escândalo de dados do Facebook–Cambridge Analytica envolveu a coleta de informações pessoalmente identificáveis de até 87 milhões de usuários do Facebook que a Cambridge Analytica começou a recolher em 2014. Os dados foram utilizados para influenciar a opinião de eleitores em vários países para ajudar políticos a influenciarem eleições em seus países.

A violação foi significativa por incitar o público a discussão sobre normas éticas para empresas de mídias sociais, organizações de consultoria política e os políticos.
Assim, em 2019 o Governo dos Estados unidos multou a empresa em 5 bilhões de dólares e o governo brasileiro multou o Facebook em 6,6 milhões de reais pelo vazamento de dados de ao menos 443.000 usuários brasileiros.

Agora, em 2020, no final de outubro e começo de novembro foram realizados ataques significativos de hackers contra instituições públicas brasileiras, principalmente contra órgãos do Poder Judiciário, sendo que o Presidente do TSE admitiu, na imprensa e por notas, que houve ataques que resultaram em invasão de sistemas e vazamento de informações a respeito de servidores do próprio Tribunal.

• Mas quem pode garantir que foi somente isso?

No dia das eleições municipais de 2020, 15 de novembro, ficou evidente que algo grave estava acontecendo e que, segundo o TSE, houve uma série de ataques aos sistemas do Tribunal para a “negação de serviços” e colocando dificuldades para a apuração dos votos. Mas não foi somente isso que aconteceu.

Apesar dos ataques graves, somente no dia 19 de novembro, ou seja, quatro dias depois, é que foi instaurada, pelo TSE, uma “comissão de segurança cibernética” para acompanhar a investigação da Polícia Federal sobre ataques cibernéticos no dia do primeiro turno da eleição municipal de 2020 (15/11) e outras ações coordenadas por parte de grupos criminosos para deslegitimar o processo eleitoral”.

Entretanto, estamos em pleno vigor da Lei Geral de Proteção de Dados (LGPD), a Lei nº 13.709, de 14 de agosto de 2018.

A Autoridade Nacional de Proteção de Dados já teve sua estrutura aprovada pelo decreto nº 10.474, de 26 de agosto de 2020, e em 20 de outubro desse ano o Senado Federal aprovou as indicações dos cinco Diretores previstos para o órgão.

Onde está a participação da nova Autoridade Nacional de Proteção de Dados que até agora não se manifestou sobre o ocorrido?

Pela LGPD cada pessoa tem o direito de saber que dados pessoais seus foram coletados, por quem e para que finalidade. Ainda, tem o direito de saber se quem está na posse de seus dados pessoais está tomando as medidas corretas para a proteção dessas informações, seja quem colheu as informações um órgão público ou uma entidade privada.

Segundo o art. 42 da LGPD,

“O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (grifo nosso)

E prossegue no art. 44:

“O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano”. (grifo nosso)

E, finalmente:

“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”
Portanto, recomenda-se que todos os cidadãos brasileiros, eleitores, que solicitem, preliminarmente, junto à Ouvidoria do TSE informações sobre o que pode ter acontecido e quais as medidas estão sendo tomadas para que esses vazamentos não venham mais a ocorrer, por meio de formulário eletrônico disponível em:

https://www.tse.jus.br/eleitor/servicos/ouvidoria/formulario-da-assessoria-de-informacao-ao-cidadao

e modo que, individualmente, cada um dos mais de 147 milhões de eleitores possam ter informações sobre a salvaguarda dos seus dados pessoais e se os seus direitos não foram violados por omissão ou falta de segurança adequados.

Sugere-se que seja solicitado ao TSE, conforme a seguir:

Tendo em vista que o Presidente do TSE admitiu, conforme amplamente noticiado pela imprensa, que houve um ataque hacker à base de dados do TSE, solicito que me seja informado, com base da LEI Nº 13.709, DE 14 DE AGOSTO DE 2018, Lei Geral de Proteção de Dados, se houve o vazamento dos meus dados pessoais como cidadão e eleitor; quais as providências concretas tomadas para a defesa dos meus dados pessoais nesse caso; e quais as providências estão sendo tomadas para que tal não ocorra futuramente.

Solicito, ainda, que me seja informado as informações sobre os responsáveis pela proteção dos meus dados pessoais, quem porventura deu causa que esses dados fossem manipulados ou copiados (caso tenha ocorrido) e qual o processo administrativo (com número e data) que foi aberto para a apuração de responsabilidades.”

É importante que as autoridades informem e esclareçam com maior relevância um assunto tão grave, e não somente o cidadão eleitor comum, mas também os Partidos Políticos e aqueles que se dispuseram a disputar uma vaga nas últimas eleições devem exigir melhores informações, independentemente de outras ações, inclusive na esfera da própria Justiça.

Esse assunto é extremamente relevante e ainda poderá ter desdobramentos como colocar em dúvida a lisura do nosso atual sistema eleitoral, em um momento tão delicado da vida nacional e internacional.

By Carlos Marcelo Cardoso Fernandes

Coronel Intendente da Reserva da Força Aérea, é Administrador de Empresas com atuação por mais de 22 anos na Administração Pública Federal. É Auditor Interno, Historiador e um cidadão brasileiro e colunista do Portal 7 Minutos.

[caption id="attachment_89633" align="alignnone" width="1024"] Apesar dos ataques graves, somente no dia 19 de novembro, ou seja, quatro dias depois, é que foi instaurada, pelo TSE, uma “comissão de segurança cibernética” para acompanhar a investigação da Polícia Federal sobre ataques cibernéticos no dia do primeiro turno da eleição municipal de 2020[/caption]

[caption id="attachment_89635" align="alignnone" width="1024"] Carlos Marcelo Cardoso Fernandes
Coronel Intendente da Reserva da Força Aérea, é Administrador de Empresas com atuação por mais de 22 anos na Administração Pública Federal. É Auditor Interno, Historiador e um cidadão brasileiro e colunista do Portal 7 Minutos.[/caption]