Muito interessante o tema tratado nesta edição da newsletter “Privacy Project“, do New York Times. Cabe relembrar alguns fatos.

Charlie Warzel trata da possível mudança nos rumos da resolução do vazamento de dados de clientes da bureau de crédito Equifax. O vazamento atingiu 147 milhões de pessoas e havia sido resolvido em um acordo entre a empresa e a Federal Trade Commission estadunidense.

O acordo foi duramente criticado em outra edição da mesma newsletter porque obrigava os afetados a escolher entre duas más opções: receber um cheque de menos de 125 dólares – o montante total dedicado à compensação era fixo, então quanto mais pessoas reclamassem a violação de seus dados, menor o valor pago a cada um – ou o valor equivalente em serviços de crédito da empresa.

Este desenvolvimento recente aponta um novo caminho: muitas pessoas se recusaram a aceitar o acordo entre Equifax e a FTC e propuseram objeções formais, de modo que a validade do mesmo deverá ser julgada no mérito.

Este é um caso interessante porque aponta uma das dificuldades de regular empresas de grande porte, como a Equifax ou as Big Tech do Vale do Silício. Os 5 bilhões de dólares que o Facebook teve que pagar pelo escândalo do caso Cambridge Analytica representavam cerca de um mês dos rendimentos da empresa naquele mesmo ano, uma proporção absolutamente irrisória diante do tamanho das violações provocadas. Pior, o próprio FTC admitiu que “the agency, armed with a relatively small $306 million budget in 2018 that supported roughly 1,100 employees, had to confront the possibility that it might be outmatched in such litigation“. Em outras palavras, o Facebook parece ser too big to punish. Da mesma forma, no caso Equifax, a multa aplicada no acordo representava apenas cerca de 17% da receita da empresa em 2018.

Estes acontecimentos reacenderam, à época, discussões de longa data sobre uma lei de privacidade nos Estados Unidos – lembremos que o país não tem uma legislação unificada sobre o assunto, mas apenas normas setoriais.

E aqui no Brasil, com a nossa LGPD prestes a entrar em vigor, teremos capacidade de fazer frente aos gigantes? Já anotamos aqui no Observatório alguns casos nacionais de falhas na segurança de dados pessoais. Quando a lei entrar em vigor, dependerá da ANPD estabelecer os patamares técnicos de segurança e os processos de accountability; e atuar de forma substancial para garantir uma economia de dados saudável e equilibrada no país.