O Brasil tem um ecossistema de cibercrimes significante, com uma comunidade de fraudadores que opera de forma relativamente aberta em sites de redes sociais. É o que diz o capítulo sobre o cenário de riscos na América Latina do relatório Latam Outlook 2023, publicado pela Canning House, um think thank britânico. A maior parte dos cyber ataques realizados no Brasil se dão contra instituições financeiras e os cibercriminosos locais se especializaram em desenvolver Trojans de bancos, que são atualizados e vendidos em fóruns na internet. De acordo com dados da consultoria especializada em riscos Control Risks, entre 2018 e 2022, 32% dos ataques contra empresas no ambiente cibernético se deram contra companhias dos segmentos de Finanças e Seguros. Na sequência, com 14% dos ataques, vem o setor de TI e Comunicações, seguido por órgãos de governo e da administração pública, que concentraram 12% dos cyber ataques nesse período. As empresas privadas em operação no Brasil, particularmente as que operam plataformas de e-commerce, permanecerão altamente expostas a riscos de fraudes online e cybercrimes, risco que deve aumentar com a chegada de grupos estrangeiros especializados em ransomware e extorsão de dados fazendo ataques de maior impacto.
Em relação ao cenário de integridade no Brasil, o relatório da Canning House, diz que o país manteve um quadro de deterioração no último ano, com a tentativa do ex-presidente em exercício de consolidar seu controle sobre investigações de alegados casos de corrupção que o envolvem e pessoas próximas do seu círculo indicando nomes tidos como leais ao ex-presidente. “No geral, a independência e a eficiência das agências de combate à corrupção continuam em declínio”, diz Oliver Wack, sócio e gerente-geral da operação colombiana e andina da Control Risks, que assina o capítulo sobre o cenário de riscos na região.
Por outro lado, o documento reconhece que os problemas ocorridos nos últimos anos não foram capazes de reverter décadas de fortalecimentos institucional, e que ainda que sofra com eventuais limitações de recursos, a CGU vem exercendo um papel proeminente de enforcement, negociação de acordos e resoluções de questões relacionadas com a corrupção.
Wack acredita que a tendência é que as agências anticorrupção recuperem parte da autonomia perdida, ainda que algum grau de interferência política persista. O analista também destaca que as cortes superiores irão manter sua independência em relação ao governo pelos próximos anos e a resiliência da sociedade civil e do trabalho da imprensa no Brasil, que deve continuar a descobrir escândalos de corrupção nos três níveis de governo.
Multas recordes
Padrão ouro na questão do tratamento e da privacidade e proteção de dados pessoais, a legislação europeia sobre o tema, a GDPR viu as multas aplicadas em toda a Europa por violação aos seus dispositivos avançar 50% no ano passado, na comparação com o ano anterior. No consolidado do ano, foram aplicados 1,64 bilhões de euros em sanções, um recorde. É o que aponta a mais recente versão da pesquisa elaborada pelo time de proteção de dados e cibersegurança do DLA Piper, um dos maiores escritórios de advocacia do mundo.
Países populares como sede de empresas de tecnologia, em boa parte por conta das facilidades tributárias oferecidas, a Irlanda e Luxemburgo são as jurisdições que tem aplicado as multas mais altas por violações à GDPR, justamente contra gigantes da área de tecnologia, que tendem a ser a destinatária de boa parte dessas sanções maiores. Em 2022, o comissário irlandês de proteção de dados (DPC), regulador do tema na Irlanda, impôs uma série de multas recordes à Meta (ex-Facebook). A empresa de Mark Zuckerberg foi multada em 405 milhões de euros por falhas relacionadas ao processamento de dados pessoais de crianças, e a outra multa de 265 milhões de euros relacionada à falta de conformidade com a obrigação do GDPR para Data Protection by Design and Default. Segundo o documento do DLA Piper, ambos os casos estão, atualmente, sob apelação. O mesmo DPC já iniciou 2023 com mais duas multas contra a Meta, mais especificamente contra o Facebook (210 milhões de euros) e o Instagram (180 milhões de euros), relacionadas às práticas de criação de perfis de consumidores usadas para publicidade comportamental. Na pesquisa de 2021, o DLA Piper já havia previsto que a tecnologia de anúncios e a publicidade comportamental seriam as principais prioridades de fiscalização em 2022. E assim devem continuar sendo neste 2023.
Embora pesadas, as multas da Irlanda contra a Meta não foram suficientes para tirar de Luxemburgo o título de maior multa já aplicada por violações à GDPR. Em 2021, a autoridade supervisora de proteção de dados do pequeno país no centro da Europa, aplicou uma sanção de 746 milhões de euros contra outra gigante norte-americana da área de tecnologia, a Amazon. Desde 25 de maio de 2018, quando entrou em vigor, até o dia 10 de janeiro deste ano, foram aplicados 2,92 bilhões de euros em penalidades.
Comunicações de incidentes estabilizadas
O aumento constante no número de notificações de violação de dados às autoridades observado até 2021 parece dar lugar a uma estabilização. Na média de 2022, foram 300 notificações diárias, ante 328 no ano passado. Foram cerca de 109 mil violações notificadas aos reguladores, cerca de 10% a menos do que em 2021. Para os advogados da DLA Piper, a diminuição pode refletir uma maior maturidade das organizações sobre o que notificar, embora não se descarte que tal redução possa indicar que as empresas estão mais cautelosas em fazer os seus relatos aos reguladores, devido ao risco de investigações, execução, multas e reclamações de compensação que podem seguir a notificação.
Para 2023, a pesquisa do DLA Piper acredita que teremos uma linha de batalha entre os provedores de serviços online que dependem de publicidade comportamental para financiar serviços ao consumidor (leia-se Google, Meta, Amazon e companhia) e as autoridades supervisoras de proteção de dados no continente, com mais fiscalização e mais apelações. “Existem muitas questões legais fundamentais relacionadas à publicidade comportamental que permanecem longe de serem resolvidas. Embora o European Data Protection Board (EDPB, o regulador central de proteção de dados na Europa) tenha concluído – sobre os fatos relacionados à decisão contra o Facebook -, de que a rede social não poderia basear-se na necessidade contratual como base legal para coletar e criar perfis de dados pessoais do usuário, para então poder veicular anúncios direcionados, é notável que os reguladores de proteção de dados ficaram divididos sobre esta questão. Resta saber se a necessidade contratual pode ser invocada com sucesso nas situações nas quais os provedores de serviços online são mais claros em avisos de privacidade e termos e condições do consumidor sobre a natureza do serviço que estão oferecendo”, diz o texto do escritório, que questiona se é realmente do interesse dos consumidores minar o modelo financeiro no centro da Internet gratuita para os consumidores.
Por fim, será necessário um olhar mais acurado também para a inteligência artificial, que em muitos casos trabalha com dados pessoais, o que coloca a tecnologia também sob a égide da GDPR. Em março de 2022, a autoridade supervisora italiana (Garante) aplicou uma multa de 20 milhões de euros contra a Clearview, uma empresa norte-americana que oferece softwares e sistemas de reconhecimento facial À partir de algoritmos que combinam rostos com um banco de dados com mais de 20 bilhões de imagens indexadas, inclusive de redes sociais. O ICO, regulador britânico de privacidade e proteção de dados, também multou a empresa, em 7,6 milhões de libras, por violações da GDPR do Reino Unido. Já os reguladores gregos e franceses autuaram a Clearview com multas de 20 milhões de euros.
A União Europeia deve finalizar ainda este ano a sua legislação sobre o tema, o que deve permitir mais orientação das autoridades supervisoras de proteção de dados sobre a interação entre a inteligência artificial e a lei de proteção de dados, e como isso poderá ser feito de forma ética. A equipe do DLA Piper prevê o aumento de investigações por conta do uso mais invasivos de dados pessoais por sistemas e soluções de AI.
