Privacidade e segurança: o tensionamento no combate às fraudes digitais

O mundo tem se movimentado velozmente nos últimos anos, buscando regular o excesso de intromissões injustificadas na vida privada de cada um de nós. Nada mais natural, diante da crescente utilização indevida e ilícita dos nossos dados pessoais por parte de grandes instituições públicas e privadas.

Não é novidade que tais excessos foram determinantes para a criação de normas internacionais e nacionais acerca do tema. A União Europeia, com o Regulamento Geral de Proteção de Dados (GDPR), influenciou fortemente a Lei Geral de Proteção de Dados (LGPD) no âmbito nacional, e movimentos recentes de regulamentação do uso da inteligência artificial vêm ganhando cada vez mais espaço, atribuindo deveres e responsabilidades aos diversos agentes dessa cadeia.

Tanto o GDPR, quanto a LGPD, o AI Act e o Projeto de Lei nº 2338/2023, em trâmite no Congresso Nacional, estabelecem o dever de prover segurança adequada para proteção dos titulares de dados pessoais e usuários dos sistemas de inteligência artificial.

A LGPD, em seu art. 6º, VII e VIII, consagra o dever de segurança no rol de princípios do tratamento de dados, impondo a adoção de medidas técnicas e administrativas aptas a proteger dados pessoais e prevenir danos, detalhados nos arts. 45 a 50, sobre medidas de segurança, governança e boas práticas.

De forma similar, o GDPR, em seu art. 5(1)(f), elege o dever de segurança como princípio fundamental para garantir a proteção contra tratamento não autorizado ou ilícito, bem como contra perda ou destruição acidental, assegurando integridade e confidencialidade.

Já o art. 5(2) reforça que cabe ao responsável pelo tratamento demonstrar conformidade com todos os princípios, incluindo a segurança, no chamado princípio da accountability. Sendo a segurança um princípio nuclear da proteção de dados, os arts. 32 a 34 detalham medidas exigidas dos agentes de tratamento.

O AI Act, em seu art. 6, ao classificar sistemas por graus de risco, impõe diferentes obrigações aos atores envolvidos com inteligência artificial. Essas obrigações variam conforme o papel do ator no ecossistema (fornecedor, importador, distribuidor, usuário).

Entretanto, alguns deveres são comuns a todos: i) garantir conformidade antes de disponibilizar ou usar sistemas; ii) cooperar com autoridades de supervisão; iii) corrigir falhas e suspender uso/comercialização em caso de não conformidade; iv) proteger a saúde, segurança e direitos fundamentais; v) garantir transparência; vi) notificar incidentes graves; e vii) exercer diligência na verificação de conformidade dentro da cadeia.

Não há dúvidas de que o dever de prover segurança é inconteste, devendo ser exigido de todos os atores envolvidos no tratamento de dados pessoais e sistemas de inteligência artificial.

O desafio consiste em definir até que ponto as medidas de segurança são possíveis e proporcionais, considerando o avanço da sofisticação dos cibercriminosos, a ausência estatal na criminalização eficaz destes ilícitos e a tensão entre segurança e privacidade.

De um lado, há a obrigação de adotar medidas de segurança para prevenção de fraudes e acessos não autorizados (art. 46 da LGPD e art. 32 do GDPR). De outro, o uso de meios alternativos de identificação, como biometria facial, análise comportamental e geolocalização, pode representar tratamento de dados sensíveis ou coleta excessiva, gerando riscos de violação da privacidade. Esse cenário exige aplicação do princípio da proporcionalidade, equilibrando direitos fundamentais.

Recentemente, testemunhamos incidentes de segurança no mercado financeiro que ilustram os desafios do ambiente digital. O ataque ao sistema PIX, via fornecedor Sinqia/Evertec, ocorreu por meio do uso de credenciais válidas exploradas por hackers, resultando em transações fraudulentas de aproximadamente US$ 130 milhões. O impacto foi mitigado pela intervenção do Banco Central, que retirou a plataforma do ar e bloqueou transações suspeitas, evidenciando falha preventiva no controle de acessos de terceiros ao ambiente crítico.

Outro ciberataque envolveu credenciais internas obtidas ilegalmente de um funcionário da C&M Software, integradora de dados entre instituições financeiras e o Banco Central. O incidente resultou em um desvio de R$ 270 milhões e na suspensão de parte das operações da empresa.

A ausência de controles robustos sobre acessos privilegiados e o risco de ataques pela cadeia de suprimentos (supply chain) foram determinantes. Esses casos revelam postura ainda predominantemente reativa do regulador, que muitas vezes age após a materialização das fraudes.

Os agentes reguladores desempenham papel central ao exigir a adoção de medidas de segurança pelos regulados. Esse papel envolve editar normas e guias interpretativos, supervisionar e fiscalizar a implementação de medidas, cobrar accountability e aplicar sanções proporcionais em casos de falha. Ao mesmo tempo, cabe aos reguladores incentivar boas práticas e promover segurança jurídica, evitando que o excesso de exigências resulte em chilling effect ou paralisação de inovações.

A segurança da informação e a proteção de dados pessoais são direitos fundamentais assegurados pela Constituição Federal (art. 5º, caput e incisos X e XII). A utilização de dados biométricos ou sensíveis pode se constituir em finalidade de interesse público e privado relevante, desde que observada a proporcionalidade. Sem mecanismos eficientes de autenticação e monitoramento, crescem os riscos de roubo de identidade, fraudes bancárias e danos coletivos ao sistema econômico.

Assim, o equilíbrio entre privacidade e segurança não deve ser visto como oposição, mas como complementaridade: medidas de proteção de dados precisam caminhar lado a lado com medidas robustas de segurança, sempre guiadas pela proporcionalidade e pela accountability regulatória.

Este texto reflete única e exclusivamente a opinião do(a) autor(a) e não representa a visão do Instituto Não Aceito Corrupção (Inac). Esta série é uma parceria entre o Blog do Fausto Macedo e o Instituto Não Aceito Corrupção. Os artigos têm publicação periódica.