Na narrativa convencional de segurança da informação, um hacker ou outro tipo de criminoso acessa indevidamente os dados de uma empresa, rouba esses dados, e depois utiliza alguma plataforma anônima para fazer a comercialização desses dados roubados, obtendo algum ganho financeiro. Quase sempre que se fala em vazamento de dados, essa é a história contada pela mídia e pelos profissionais da área.

Essa é realmente a sequência de eventos mais comum: o roubo, seguido da comercialização dos dados. Toda a estrutura da LGPD, e de outras legislações de proteção da privacidade ao redor do mundo, está voltada para proteger as pessoas contra esse tipo de situação, e punir as empresas que não protegem de forma suficiente os dados dos indivíduos contra criminosos.

Como lidamos, no entanto, com situações que fogem desse script? Como podemos endereçar uma situação aonde quem adquiriu os dados de forma irregular não está preocupado com o ganho financeiro pessoal, e quer simplesmente prejudicar os donos originais da informação, ou prejudicar a sociedade como um todo? O que acontece quando informações roubadas são simplesmente publicadas de forma anônima na internet?

 

“Hacktivismo” e danos econômicos

A forma mais comum desse tipo de publicação de informações é chamada de hacktivismo, uma junção das palavras “hacker” ou “hacking” com a palavra “ativismo”. A idéia do hacktivismo é que os criminosos atacam empresas, organizações ou governos que estão escondendo crimes, abusos de poder ou qualquer outro tipo de violação que prejudica a sociedade como um todo, expondo informações que jamais seriam vistas pelo público. O objetivo final é, em teoria, causar uma mudança na sociedade a partir da divulgação desses dados.

Temos dezenas de exemplos dessa natureza. A WikiLeaks e a DDoSecrets são organizações dedicadas a publicação de informações que julgam ser de interesse público, independente da origem. Os Panama Papers, Paradise Papers e até mesmo a chamada “VazaJato” são exemplos de vazamentos (nesses casos, realizados diretamente para a imprensa) de informações obtidas de forma ilegal.

No entanto, todo tipo de informações podem ser vazadas, e discernir de forma exata o real interesse por traz da divulgação é sempre algo complexo. Quem se beneficiou, por exemplo, dos ataques a Sony em 2014, ou do recente vazamento de dados coletados de empresas que foram vítimas de ransomware? Qual o real interesse da sociedade nesses dados, além do impacto negativo que a divulgação causa às empresas que eram donas das informações?

A publicação de informações roubadas causa danos muitas vezes irreparáveis para as empresas, que, no escopo atual da LGPD (e de outras legislações de privacidade), ainda são responsabilizadas pelos órgãos regulatórios, podendo sofrer multas e sanções adicionais. Existe nessa situação uma clara inversão dos papéis: as empresas são vítimas de ataques, mas são tratadas pela lei como ofensoras.

 

Deslegitimização da privacidade

A situação fica ainda pior se estamos falando de dados pessoais, como os que foram vazados recentemente. Até agora, essas informações não foram publicadas de forma aberta, e estão apenas disponíveis mediante aquisição na dark web. Como vamos lidar, no entanto, com o momento (e é efetivamente só uma questão de tempo) quando esses dados forem publicados para qualquer um baixar? A identidade de quem detém esses dados hoje não é conhecida, e não há nada que impeça isso de acontecer.

Não temos a quem culpar. A LGPD (e a GDPR, e todos os outros projetos dos “defensores da privacidade”) só se preocuparam em onerar as empresas, criando incentivos para um jogo de empurra de responsabilidade. É efetivamente impossível se determinar, de maneira conclusiva e definitiva, de onde saíram os dados. Nenhuma empresa vai assumir a culpa, porque assumir a culpa significa sofrer processos ridículos com valores de mais de 3 bilhões de Reais.

Não só isso, mas a mera disponibilidade das informações e a possibilidade de sua divulgação gera uma situação de impunidade irreversível. Qualquer novo vazamento de informações que venha a ocorrer pode simplesmente ser declarado uma “recompilação” dos dados que já estavam disponíveis, sem a possibilidade de se verificar se isso é verdade ou não. Ninguém é culpado, e ninguém nunca vai ser, porque o que temos é uma deslegitimização do próprio conceito de privacidade: todos os seus dados já estão disponíveis hoje para qualquer um obter. É impossível se garantir o direito a algo que, conceitualmente, não existe.

 

Conclusão

O conceito de “privacidade” que adotamos enquanto sociedade é claramente insuficiente para proteger os cidadãos do uso indevido das suas informações. Focar na restrição do acesso aos dados e na punição de empresas só vai nos levar à um ciclo de impunidade. Precisamos de leis que tragam mais transparência para o mercado, que nos permitam saber quais são as informações que as empresas tem, e, mais importante, o que é feito com elas, para que possamos tomar decisões conscientes sobre com quais empresas queremos ou não nos relacionar. Precisamos, acima de tudo, de regras que sejam passíveis de fiscalização pelas autoridades, para que a privacidade não seja só mais um direito que “não pegou”

BigDataCorp