Vazamento de dados do ENEM: o problema do “Data Breach” chega com tudo ao Brasil
O problema do roubo de identidade já é velho conhecido no Brasil, onde muitas vezes é referido como “clonagem”. Agora, começamos a ser expostos a um problema que está na raiz do roubo de identidade, que é o vazamento de dados – ou Data Brench, como é conhecido em muitos países.
O Ministério da Educação reconheceu hoje (04/08) o vazamento de dados pessoais de cerca de 12 milhões de pessoas que prestaram o exame do ENEM entre 2007 e 2009. Entre tais dados estão o nome, CPF, RG, nº de inscrição, nome da mãe e notas de cada inscrito.
O vazamento, ao que parece, durava meses e foi denunciado ao Ministério da Educação pelo jornal O Estado de S. Paulo.
O vazamento de dados consiste, basicamente, na disponibilização acidental de informação protegida ou qualificada em um ambiente inseguro. Quando estes dados são dados pessoais, a possibilidade de que o vazamento acarrete danos diretos à pessoa, seja à sua privacidade, segurança ou mesmo liberdade, é bastante concreta.
O tema não absolutamente novo em outros países. Uma organização como a Privacy Rights Clearinghouse mantém um banco de dados com informações sobre todos os vazamentos de dados documentados nos Estados Unidos entre 2005 e hoje, chegando ao assombroso total de 494,692,655 registros vazados – mais de um para cada cidadão norte-americano! E os nove casos mais clamorosos de vazamento de dados de 2009 podem ser consultados aqui.
A utilização massiva de dados pessoais é uma atividade de risco, risco esse que se apresenta de forma contundente com um problema como o que houve com o banco de dados do ENEM. A proliferação de sistemas informatizados que se utilizam de dados pessoais, por vezes gigantescos – como, no caso do Brasil, do RIC (Registro Único de Identidade Civil) ou do projeto SINIAV para monitoramento da frota automotiva, entre outros, faz com que aumente este risco potencial para o cidadão e sugere a necessidade urgente da incorporação de modelos modernos e eficazes de segurança da informação.
A segurança da informação, porém, não basta para abordar de forma eficaz o problema. De fato, é necessário incentivar uma verdadeira cultura de proteção de dados pessoais, que implique em uma utilização ponderada e respeitosa da informação pessoal, com as devidas salvaguardas e somente quando ela for realmente indispensável. No caso da administração de bancos de dados pessoais, por exemplo, torna-se necessário no mínimo estipular regras claras sobre a quem é franqueado o acesso a tais dados, estabelecendo também responsabilidades sobre os administradores pelos eventuais problemas ocorridos. Neste sentido aponta a nota publicada por Marcel Leonardi em O Estado de S. Paulo de hoje, argumentando pela adoção de uma cultura da “privacidade como padrão”:
O vazamento de dados pessoais de milhões de estudantes que fizeram o Enem demonstra a urgência de normas adequadas para a proteção desse tipo de informação no Brasil e a necessidade de uma mudança da cultura nacional a respeito da privacidade. São cada vez mais comuns casos de vazamento de informações sigilosas no Brasil e no exterior.
No estado atual da tecnologia, é inadmissível que dados pessoais circulem sem estarem devidamente criptografados. Não há razão que justifique a falta de cuidados básicos no tratamento e armazenamento dessas informações, pois a tecnologia para isso está ao alcance de todos, sem custo, na internet.
O principal problema não é o custo nem a inadequação do sistema jurídico brasileiro. Falta-nos uma cultura da “privacidade como padrão”, ou seja, entender a privacidade como um modelo de conduta, como regra inerente a qualquer atividade, e não como incômoda exceção. Por isso, a revelação de vazamento de dados deve ser incentivada e não combatida. Ela permite que as vítimas possam adotar rapidamente providências para mitigar os danos, e os ônus da revelação levarão empresas e governos a investir mais e melhor na proteção de dados sensíveis ou até mesmo a evitar sua coleta desnecessária.
Esperamos que o vindouro anteprojeto de lei sobre proteção de dados pessoais possa atender em parte a esses anseios e despertar, entre nós, a cultura de privacidade, tão necessária em uma era de onipresença e onisciência tecnológica.
De fato, o problema do vazamento de dados é uma das discussões principais na renovação das atuais leis de proteção de dados em diversos países. Muitos estados norte-americanos possuem legislação a respeito e o assunto é prioritário na revisão das diretivas européias que tratam de proteção de dados que se realizará a partir deste ano. Espera-se que, a partir do triste alerta dado pelo problema com o banco de dados do ENEM, a questão seja tratada como prioritária também pelo legislador brasileiro e que seja mais um fator a evidenciar a necessidade de uma normativa genérica sobre a proteção de dados pessoais.


