Disparo indevido de SMS em massa reforça importância do tratamento de dados

Em razão de vazamento e uso indevido de dados de mais de 324 mil pessoas, o Ministério Público Federal (MPF) ingressou com uma ação civil pública contra a Algar Soluções em TIC e a Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar), responsáveis pelo tratamento, armazenamento e segurança das referidas informações, pleiteando indenização por danos morais, individuais e coletivos, de mais de R$ 970 milhões.

O incidente de segurança em questão teria acontecido em 23 de setembro deste ano, quando mensagens (SMS) de cunho eleitoral foram enviadas por um número utilizado pela Celepar com os seguintes dizeres: “Vai dar Bolsonaro no primeiro turno! Senão, vamos a rua para protestar! Vamos invadir o congresso e o STF! Presidente Bolsonaro conta com todos nos!!” (sic).

Dias antes do envio das mensagens em massa, houve a criação de um novo centro de custos nos sistemas da Algar, após a alteração da senha do perfil de administrador do sistema.

As ferramentas de monitoramento de atividades maliciosas nos sistemas de tecnologia da informação da Algar aparentemente não identificaram a atividade suspeita, em que pese o novo centro de custos ter sido criado com o nome “presidente_Bolsonaro_mais_uma_vaz” (sic). Em relação às atividades de tratamento de dados pessoais, a LGPD exige que os agentes responsáveis adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, bem como que comprovem a eficácia dessas medidas.

O boletim de ocorrência lavrado pela Celepar junto à Polícia Civil indicou que, além do Estado do Paraná, celulares habilitados no Estado de São Paulo também receberam o SMS. Considerando que a Algar possui diversos contratos de prestação serviços de tecnologia, em diversos entes da Federação, é inegável a gravidade do incidente de segurança em questão, especialmente quanto ao volume e a sensibilidade dos dados objeto de acesso e utilização não autorizados.

Um dos pedidos do MPF é que, além da comunicação do incidente à Autoridade Nacional de Proteção de Dados (ANPD), as empresas Algar e Celepar contratem uma equipe técnica independente para a apresentação de um relatório técnico sobre o incidente.

A elaboração desse documento é de suma importância para que se possa avaliar os riscos aos quais os titulares afetados pelo incidente possam estar expostos, uma vez que outras atividades ilícitas podem advir desse acesso não autorizado. Ademais, o relatório apresentará as medidas adotadas, tanto pela Algar quanto pela Celepar, para minimizar os impactos do incidente, bem como para se evitar que incidentes semelhantes aconteçam no futuro.

Geralmente, esses contratos de prestação de serviços de tecnologia envolvem um grande volume de dados, que podem abranger pontos considerados sensíveis pela legislação, como também informações de grupos vulneráveis (crianças e idosos, por exemplo). Por isso, seria recomendável que, além do relatório técnico, as empresas apresentassem um Relatório de Impacto à Proteção de Dados, de modo a demonstrar os riscos das atividades de tratamento de dados pessoais às liberdades civis e aos direitos fundamentais dos titulares, a prestação de contas por parte dos agentes de tratamento e as ações que foram e/ou que deverão ser tomadas para a mitigação ou eliminação dos riscos identificados.

É importante esclarecer que, independentemente do reporte voluntário do incidente de segurança, ou por determinação judicial, por parte da Celepar à ANPD, esta tem prerrogativa para investigar o caso de ofício, realizar auditorias e instaurar um processo administrativo.

Portanto, além dos pedidos de indenização pleiteados pelo MPF, a ANPD também poderá aplicar penalidades às empresas envolvidas.