O maior vazamento de dados do Brasil, revelado em janeiro pelo laboratório de segurança digital dfndr lab, expôs quase 224 milhões de registros organizados por CPF, com todo tipo de informação pessoal. Não apenas o trivial, como nome, data de nascimento, escolaridade, endereço ou estado civil. Há também salário, notas de instituições de crédito, declaração de imposto de renda, FGTS, telefones, benefícios do INSS e até fotos e perfis em redes sociais.

Uma vez vazados, os dados passaram a circular pelos becos escuros da internet profunda, onde cada registro passou a ser negociado em criptomoedas, por até US$ 1 por CPF. Se você tem um CPF, portanto, é certo que seus dados foram expostos e estão à venda. Embora seja até possível saber o que vazou, é impossível recolher o gênio de volta para dentro da garrafa. Os dados de todos nós agora são públicos. Isso dá margem a todo tipo de desdobramento nefasto, de campanhas invasivas de marketing até a vigarice pura e simples (alguém pode usar suas informações para dar algum tipo de golpe em seu nome).

Não foi o primeiro vazamento nem no Brasil, onde já circularam lotes de informações da Receita Federal, nem no mundo, onde se tornaram frequentes as capturas de senhas de centenas de milhões de clientes de empresas como Adobe, eBay ou Linkedin. Um site que acompanha vazamentos desde 2013 registrava semana passada mais de 500 sites e 10,5 bilhões de contas invadidas. As maravilhas digitais acarretam novos riscos — e novos crimes.

Pela dimensão, o episódio traz lições essenciais a autoridades, empresas e cidadãos. O Brasil dispõe de uma das legislações mais modernas do mundo para lidar com informações digitais, a Lei Geral de Proteção de Dados (LGPD), aprovada em 2019. Inspirada na congênere europeia, ela dá ao indivíduo o poder de decidir sobre o uso de seus dados. Para empresas que descuidem das informações que armazenam, a multa pode chegar a 2% do faturamento anual, até R$ 50 milhões.

Como sempre, o importante não é só o que está escrito na lei, mas se ela é cumprida. Crimes digitais nem sempre têm sido punidos com o devido rigor. É fundamental que, no caso do vazamento, haja apuração e punição exemplar tanto àqueles que se aproveitaram das brechas de segurança para furtar os os dados quanto às empresas que deixaram tais brechas abertas.

Num país em que até hoje se toleram decodificadores piratas de televisão e conexões ilegais com a internet, que se aproveitam para também aspirar as informações que puderem dos cidadãos, não espanta tanto desleixo e tanta leniência. Os ministros do Supremo, onde foi aberto inquérito para apurar o vazamento, são conhecidos pelo saber jurídico, não pela familiaridade com o meio digital, necessária para avaliar corretamente riscos e punições.

Os vazamentos frequentes de dados são uma das consequências mais graves da transformação digital da economia. É preciso que as empresas garantam proteção às informações privadas como determina a lei. E que as autoridades punam violações, invasões e crimes. O cidadão ou cidadã cujos dados vazaram precisa tomar os cuidados para se proteger (como uso de senhas fortes, autenticação em dois fatores e demais recomendações de especialistas).