Por Giovanni Carlo
O lixo, por sua natureza repugnante, sempre remetendo ao mal cheiro e a sujeira, causa certo desprezo pela sociedade em geral, que não costuma dar tanta atenção e ele. Contudo, muita coisa útil pode ser extraída do lixo, inclusive dados pessoais e informações sigilosas. O descarte indevido de dados pessoais pode dar origem a um vazamento de dados, que tem repercussões jurídicas e sociais potencialmente graves.
Com o surgimento da Lei Federal n° 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), as organizações dos diversos setores que tratam dados pessoais coletados aqui no Brasil devem se adequar às novas regras. Essas regras visam principalmente proteger o titular, pessoa física, de intromissões indevidas em sua privacidade, protegendo seus dados pessoais e responsabilizando aqueles que possuem essas informações.
Em outro giro, a natureza jurídica do lixo é de coisa abandonada, portanto, o antigo proprietário da coisa, inequivocadamente teve a intenção de descartar aqueles objetos que compunham seu patrimônio. Assim sendo, quem encontra o lixo e se assenhora dele, por ser coisa abandonada, não comete o ilícito de apropriação de coisa alheia, descrita no art. 169, parágrafo único, II do Código Penal. Dessa forma, constata-se que é lícito se apropriar do lixo, em regra.
Segundo a normativa ABNT - ISO/IEC n° 27.002/2013, que é o documento de padrão internacional que trata de Segurança da Informação, o descarte de mídias digitais deve seguir um protocolo de segurança, para evitar a perda e o acesso indevido de dados sensíveis de uma organização. Segundo a norma citada “sistemas de informação têm ciclos de vida nos quais eles são concebidos, especificados, projetados, desenvolvidos, testados, implementados, usados, mantidos e, eventualmente, retirados do serviço e descartados. ” E ainda:
“Convém que as mídias sejam descartadas de forma segura, quando não forem mais necessárias, por meio de procedimentos formais.
Convém que procedimentos formais para o descarte seguro das mídias sejam definidos para minimizar o risco de vazamento de informações sensíveis para pessoas não autorizadas. Os procedimentos para o descarte seguro das mídias, contendo informações confidenciais, sejam proporcionais a sensibilidade das informações. Recomenda-se que os itens abaixo sejam considerados:
a)convém que mídias contendo informações confidenciais sejam guardadas e destruídas de forma segura e protegida, como por exemplo, através de incineração ou trituração, ou da remoção dos dados para uso por outra aplicação dentro da organização;
b)procedimentos sejam implementados para identificar os itens que requerem descarte seguro;
c)pode ser mais fácil implementar a coleta e descarte seguro de todas as mídias a serem inutilizadas do que tentar separar apenas aquelas contendo informações sensíveis;
d)muitas organizações oferecem serviços de coleta e descarte de mídia; convém que sejam tomados cuidados na seleção de um fornecedor com experiência e controles adequados;
e)convém que o descarte de itens sensíveis sejam registrados, sempre que possível, para se manter uma trilha de auditoria.
Quando da acumulação de mídias para descarte, seja levada em consideração o efeito proveniente do acúmulo, o que pode fazer com que uma grande quantidade de informação não sensível, torne-se sensível.
Equipamentos danificados contendo dados sensíveis podem exigir uma avaliação de riscos para determinar se é recomendado que os itens sejam destruídos fisicamente ao invés de serem enviados para conserto ou descartados.”
Assim sendo, observa-se a existência de boas práticas na hora de transformar sistemas operacionais que tratam dados sensíveis em algo descartável, incluindo o lixo.
Quando alguém encontra um equipamento eletrônico (ex: computador, celular, pen drive) no lixo e se apropria dele, por ser coisa abandonada, quem o encontra e tem vontade de ser proprietário da coisa, o faz por meio do instituto da ocupação, descrito no art. 1.263 do Código Civil. Assim sendo, a propriedade daquele ora lixo, passa a fazer parte do patrimônio de seu novo dono de forma lícita. E quanto aos dados pessoais que eventualmente podem estar inseridos dentro desse material anteriormente descartado, pertenceriam eles ao novo dono da coisa, e assim poderia ele tratá-los livremente, já que de forma lícita se apropriou da mídia física?
A resposta é não. Embora a mídia física possa ser utilizada licitamente, se em seu conteúdo existirem dados pessoais de terceiros, seu novo dono não poderá tratá-los de forma lícita. Aparentemente é um paradoxo, uma vez que o novo dono não poderá exercer todos os seus direitos de propriedade de usar e gozar a coisa. Na verdade, deve se diferenciar a mídia física, das informações contidas nessa mídia. Nesse caso, o uso físico da mídia física pode ser feito, desde que não envolva os dados pessoais ali armazenados. Dessa forma, a atitude do novo dono do sistema deve ser de eliminar aqueles dados pessoais, para não estar sujeito a eventuais sanções das autoridades supervisoras de dados pessoais.
Para ocorrer o tratamento lícito de dados pessoais, é necessário observar as regras insculpidas no art. 7 da LGPD, que é onde se encontram as bases legais adequadas para o tratamento de dados, com o intuito alcançar uma finalidade lícita do Controlador de dados pessoais. Como não há base legal que respalde o tratamento de dados encontrados no lixo, quem os encontrou não poderá usá-los livremente. Então, se dados pessoais forem eventualmente encontrados em material descartado, seu novo proprietário deve agir diligentemente e destruir esses dados pessoais, a fim de não se enquadrar num tratamento ilícito de dados. Por exemplo, se for encontrado um arquivo com cem mil endereços de e-mail em um computador encontrado no lixo, seu novo dono não pode usar essa lista de e-mails para enviar alguma publicidade e nem mesmo vendê-los a outrem, devendo realizar o descarte seguro desses dados, conforme descrito na normativa ABNT - ISO/IEC n° 27.002/2013.
Portanto, muito cuidado ao descartar as mídias digitais de sua organização. Procure observar sempre as orientações de Segurança da Informação, a fim de resguardar os ativos mais sensíveis, especialmente os dados pessoais. Caso outrem encontre dados pessoais indevidamente descartados e fizer uso deles, estará estabelecido um incidente. Nesse contexto, se a notícia desse incidente chegar ao conhecimento das autoridades supervisoras (ex: Autoridade Nacional de Proteção de Dados, Ministério Público, Procon), tanto a organização que descartou os dados indevidamente quanto a organização que se apropriou deles ilicitamente, estarão sujeitas a sanções previstas na LGPD, incluindo aí a multa de até R$50 milhões de reais.
Da mesma forma como as indústrias devem ter responsabilidade no descarte de seus resíduos de produção, para não agredir o meio ambiente, as empresas que lidam com dados pessoais devem ter cuidado no descarte de equipamentos eletrônicos e de papel, para não haver vazamentos de dados potencialmente danosos à sociedade.
Giovanni Carlo Batista Ferrari. Advogado. Sócio da EZprivacy. Aluno do DTIBR.
Comments