O jornal alemão Handelsblatt divulgou no final de maio que lhe foram entregues 100 gigabytes de dados confidenciais vazados da montadora norte-americana Tesla, relativamente a clientes, colaboradores e parceiros de negócio, incluindo números de telefone e de previdência social, endereços, detalhes de contas bancárias e salários, o número do seguro social de Elon Musk, informações confidenciais de produção e mais de 4.000 reclamações contra o software de assistência ao motorista Autopilot, por frenagem fantasma ou aceleração repentina.
A Tesla alega “roubo de dados” e um advogado da empresa atribuiu o vazamento a um “ex-funcionário insatisfeito” com acesso excessivo – um técnico de serviço teria utilizado o seu acesso à intranet da Tesla para obter as informações privilegiadas. Especula-se que, após a multa aplicada pela União Europeia à Meta pelo Facebook, de mais de um bilhão de euros, pode ser a Tesla a sofrer uma penalidade equivalente a 4% do seu faturamento, o que corresponderia a uma multa de 3,5 bilhões de euros.
Na política de privacidade da Tesla lê-se: “o seu Tesla desloca-se – os seus dados não, os seus dados permanecem consigo”. Mas como garantir que esta frase seja verdadeira e que a privacidade e a segurança dos dados anunciadas sejam cumpridas?
Para divulgar que os dados pessoais estão seguros, uma empresa precisa se certificar de ter adotado medidas apropriadas de tratamento destes dados, de acordo com a legislação respectiva. Caso contrário, tal divulgação passa a apresentar uma conotação contrária, uma tentativa de enganar o titular dos dados e tirar proveito da sua confiança. Isso agrava consideravelmente uma eventual sanção.
O ex-funcionário ter “acesso excessivo”, como declarado pela empresa, por si só aparenta uma violação das regras de proteção de dados, já que um excesso representa um acesso indevido ao que não era necessário.
Por outro lado, se era “ex-funcionário”, não deveria mais ter acesso à intranet da empresa.
Aparentemente pequenos detalhes na gestão dos dados pessoais fazem uma grande diferença no modo como as informações são tratadas e impactam significativamente no grau de risco a que os respectivos titulares ficam sujeitos.
Adoção e implementação de um adequado programa de governança de dados, que esteja em conformidade com a legislação de proteção de dados pessoais inclui medidas que evitam situações como a vivida neste momento pela Tesla, mas que pode ser realidade para qualquer organização, de todas as dimensões.
Seria ingenuidade pensar que apenas os colaboradores da Tesla buscam meios de “quebrar a monotonia do trabalho” ou de “conquistar a admiração dos colegas”. Trata-se de uma motivação para violação de dados pessoais que pode estar presente entre os colaboradores de qualquer organização, de todas as dimensões.
Isto significa que a realização de tratamento de dados pessoais em desconformidade legal põe qualquer organização em risco de se tornar vítima dos seus próprios colaboradores, seja por estarem insatisfeitos, seja para obter alguma satisfação decorrente do compartilhamento de informações sobre a vida privada de terceiros, seja para uso malicioso das informações, com o fim de obter alguma vantagem.
Neste contexto, desde a lista de clientes do salão de beleza, os dados custodiados pelo escritório de contabilidade ou a clínica médica, as informações sobre os alunos de uma escola até os dados das gravações das câmaras incorporadas aos veículos da Tesla, todos os dados pessoais, em todas as organizações, podem e devem ser adequadamente protegidos através de medidas parametrizadas pelas regras de proteção de dados pessoais.
Assim como as medidas a adotar, as sanções pelo descumprimento destas normas também vão diferir, segundo o grau de negligência e outros elementos de cada caso concreto.
Também no Brasil a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) institui uma multa como um percentual sobre o faturamento, o que permite ajustar o valor da sanção à realidade da organização infratora, para que tenha o impacto capaz de dissuadir o agente de tratamento de dados a reincidir na desconformidade legal.
Não é só na Tesla!