Por Jeovani Salomão* – “A nossa privacidade está sendo atacada em várias frentes.” Tim Cook.
Foi em um desenho animado, ou em um filme, que me deparei com uma passagem curiosa. O personagem trabalhava com seu computador pessoal quando, de repente, apareceu na tela a mensagem: “Eu quero um biscoito”. O dispositivo ficou travado até que o indivíduo digitou “biscoito”. Minutos depois, surgiu uma nova mensagem: “Eu quero dois biscoitos”. Da mesma forma, o protagonista somente conseguiu prosseguir quando digitou “biscoito biscoito”. O vírus continuou até tornar inviável o trabalho.
Fora das histórias de ficção, o primeiro vírus de computador foi codificado em 1971 e batizado de Creeper. Não causava danos, foi criado com o intuito de testar a teoria do matemático John von Newmann que, no final dos anos 1940, escreveu sobre autômatos capazes de se autorreplicarem. De lá para cá os códigos maliciosos ganharam sofisticação, variedade e atacaram países, corporações e indivíduos. São utilizados com objetivos dos mais diversos, inclusive como estratégia de espionagem, desestabilização de adversários e operações ilegais.
Na mesma proporção, cresceu a indústria dos antivírus, que se propõe justamente a proteger o usuário de efeitos tão perniciosos. Para cada tipo de código malicioso existem várias plataformas de defesa. Há quem diga que as próprias empresas de antivírus possuem participação na criação de ameaças em paralelo com as atividades de combate ao submundo do crime na internet, no intuito de alimentar uma cadeia de dependência. Assim, a cada dia surgem mais opções, de um lado e de outro, em uma luta sem fim.
É fato registrado por internautas a atuação da “indústria do medo” e a percepção de que as empresas de segurança cibernética costumam aumentar a comunicação com seus usuários sobre os riscos, ao passo que alertam sobre a data de vencimento para renovação dos seus contratos. Uma relação questionável que acaba irritando esses clientes e levantando dúvidas sobre uma suposta vinculação comercial entre os dois mundos.
Esse comportamento, de evolução provocada pelo “adversário”, já começou a ocorrer em outra matéria que tem tomado os noticiários. Recentemente vimos diversos episódios de vazamento de dados pessoais, como números de celulares, documentos de identificação, informações médicas, datas relevantes e outros tantos. São alvos entidades privadas e públicas, indistintamente.
A preocupação com essa temática tem provocado, já há alguns anos, a criação de leis em vários países para regulamentar a proteção desses dados. No Brasil, foi publicada em 2018 a Lei nº 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD). O texto entrou em vigor em setembro de 2020 estabelecendo limites, diversas obrigações e penalidades para quem guarda esse tipo de informação.
A questão central, pouco debatida, até porque a implantação da LGPD gerou um mercado enorme de consultorias técnicas e legais, além de vendas de software, é o que fazer se o dado do cidadão já vazou. Os meus dados, os seus, os de celebridades e os de autoridades estão sendo vendidos por preços módicos na internet. Não importa quão severas, doravante, sejam as regras que protegem minhas informações pessoais se elas já estão disponíveis.
A legislação estabelece deveres para as empresas, mas não obrigações para os usuários, sob o ponto de vista de serem os primeiros a terem responsabilidade com relação a resguardar a privacidade deles. O que pode tornar complicado para as instituições assegurarem essa privacidade, se os detentores desses dados não tiverem um comportamento de salvaguardá-los de prestadores de serviços que não foram claros quanto ao uso que farão dos mesmos no futuro.
O vazamento, portanto, torna-se inevitável. Se, porventura, o indivíduo teve sorte agora e não houve comprometimento nesse momento do tempo, haverá no futuro. É justamente a corrida entre os vírus e os antivírus. A cada versão nova de segurança adotada por uma empresa, haverá uma nova técnica para invadir esse mecanismo, que, por sua vez, será bloqueada por um avanço na segurança, que, rapidamente, será quebrada pelo aprimoramento de código feito por um hacker. O processo é cíclico.
Se essa tese for verdadeira e, por analogia com o já ocorrido em outras áreas, parece ser, a LGPD, e suas correlatas mundo afora, já nasceram com premissas absolutamente ultrapassadas. Essa é uma discussão histórica na tecnologia: é possível legislar sobre algo que está sempre inovando ou o caminho é apenas estabelecer princípios que possam contribuir para a tomada de decisões com base no regramento jurídico vigente?
A pandemia acelerou a transformação digital significativamente. Em velocidade recorde, serviços foram disponibilizados para os clientes, colaboradores e parceiros. Programas inteiros de distribuição de renda, cadastramentos sanitários e de saúde foram criados, envolvendo milhões de cidadãos. No saldo, esse movimento é benéfico e já trouxe inúmeras vantagens que podemos observar no dia a dia. No entanto, essa rapidez, com certeza, produziu muitos sistemas com vulnerabilidades maiores que as normais, justamente uma das justificativas para tantos roubos de informação.
Um novo paradigma precisa emergir. Eventualmente, apenas como provocação, alguns dos dados deveriam ser considerados públicos, afinal, lícita ou ilicitamente, já o são. Não há como devolver o sigilo do meu CPF, da minha data de nascimento ou do meu celular, uma vez que não pretendo trocar de número.
Por óbvio que há situações mais sensíveis, seja quanto à qualidade – por exemplo, se envolverem saúde, transações financeiras e questões de justiça –, seja quanto ao alvo, no caso com destaque para autoridades públicas.
Uma alternativa seria enrijecer o controle sobre o que é mais sensível e afrouxar o resto. Não para é razoável que as leis e autoridades reguladoras tenham foco em pequenos estabelecimentos com pouca quantidade de informações ou em dados que não sejam sensíveis.
Em qualquer cenário, há uma previsão certeira. Com os dados já expostos, virá um aumento nas fraudes e nas iniciativas antifraude, em mais um ciclo sem fim. Portanto, como sugestão de investimento, eu recomendo empresas de tecnologia focadas em biometria, segurança da informação e detecção de fraude.
*Jeovani Salomão é empresário do setor de TICs e ex-presidente do Sinfor e da Assespro Nacional.
[1] Coautoria de Luiz Queiroz – jornalista, 36 anos de profissão, editor do Blog Capital Digital.