Quem barbeia o barbeiro? O paradoxo de Russell na LGPD

É preciso refletir sobre a responsabilidade que recairá sobre o Setor Público quando ocorrer algum incidente de vazamento de dados

O paradoxo de Russell ou o paradoxo do barbeiro foi criado quando o matemático Bertrand Russell descobriu um paradoxo que expunha falhas nos fundamentos da teoria dos conjuntos de Georg Cantor. Em resumo, como explicou Russell utilizando-se da alegoria do barbeiro, o paradoxo pode ser exemplificado quando em uma cidade cria-se uma lei pela qual todo homem é obrigado a se barbear diariamente, fazendo isso por si ou utilizando-se dos serviços de um barbeiro, que deverá fazer a barba daqueles que não puderem se barbear, não podendo fazer a própria barba. Como na cidade há um único barbeiro, surge o paradoxo, já que o barbeiro ao fazer a própria barba, significaria ser barbeado por um barbeiro. E dai surge a pergunta sobre quem barbearia o barbeiro?

Esta alegoria do barbeiro nos ajuda a refletir sobre a responsabilidade que recairá sobre o Setor Público quando ocorrer algum incidente de vazamento de dados, tais como os noticiados até o momento, como o vazamento do cadastro para inscrição ao Programa de Incentivo à Cultura (ProAC) do Estado de São Paulo ou o vazamento dos dados do Detran-RN.

O vazamento de dados pessoais do ProAC se deu em outubro deste ano por uma falha de segurança no site do Programa que permitia acessar informações como cópias de identidade dos candidatos do programa de 2015 a 2018, a falha foi detectada no dia 21 de outubro e no dia 24 tais dados ainda estavam expostos ao acesso.

Detran do Rio Grande do Norte

Já no caso do Detran do Rio Grande do Norte, vazamento igualmente ocorrido em outubro deste ano, possibilitava a qualquer usuário que entrasse no site, utilizando o número do CPF, conseguiria visualizar informações de 70 milhões de CNHs, incluindo endereço residencial, números de telefone, sexo, data de nascimento, CPF e carteira de identidade, além da foto do documento.

Estes casos em virtude dos dados vazados poderiam gerar danos como os destacados no Considerando 85 do GDPR: perda de controle sobre os seus dados pessoais, a limitação dos seus direitos, a discriminação, o roubo ou usurpação da identidade, perdas financeiras, a inversão não autorizada da pseudonimização. Desta forma, resta evidente a importância de a Lei Geral de Proteção de Dados Pessoais ter a sua aplicação estendida também ao Setor Público.

Quando a LGPD se refere a Setor Público, estamos no referindo aos órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, Judiciário e do Ministério Público, além das autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.”

LGPD

Para estes casos, as sanções administrativas ficaram mais brandas do que as demais sanções que serão aplicadas ao setor privado, limitando-se as hipóteses de I – advertência, com indicação de prazo para adoção de medidas corretivas; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração.

Apesar de não haver pena de multa para Agentes Públicos, as empresas públicas e sociedades de economia mista que atuem em regime de concorrência se submeterão a esta penalidade, sendo que ainda caberá a este setor outras penas, tais como aqueles descritas na lei de Improbidade Administrativa, o Estatuto do Servidor Público Federal e a Lei de Acesso à Informação, e outros.

Portanto, ainda que as recentes notícias sobre vazamento de dados coloque em dúvida a real capacidade do Setor Público em garantir a segurança de informação dos dados que estão em seu poder, a estrutura desenhada permitirá um controle efetivo por parte da Autoridade de Proteção de Dados Pessoais (ANPD), visto que esta poderá se utilizar, além das sanções, de outros instrumentos criados pela LGPD, como o incentivo a Boas Práticas, solicitação de Relatório de Impacto à Proteção de Dados Pessoais, da exigência de notificação em caso de vazamento de dados pessoais e da regulamentação de alguns parâmetros criados pela própria LGPD, como a segurança da informação.