Exposição de Dados por Seguradora Reacende Debate Sobre Deveres na Proteção de Informações Pessoais
A recente resolução firmada entre a Procuradoria-Geral de Nova York e a seguradora Root Insurance Company lança luz sobre a fragilidade estrutural de muitas plataformas digitais que lidam com dados sensíveis sob o verniz da automatização e eficiência. No centro da controvérsia, uma falha de design permitia que terceiros obtivessem números de carteira de motorista a partir de informações públicas, exploradas de forma automatizada por bots.
O incidente, ocorrido em 2021, afetou quase 73 mil pessoas — com mais da metade dessas vítimas residindo em Nova York. A utilização deste banco de dados ilícito para solicitar benefícios de seguro-desemprego evidencia que, em mãos erradas, a vulnerabilidade tecnológica assume contornos sociais mais profundos, atingindo não apenas os titulares dos dados, mas também a integridade das políticas públicas de assistência.
A conduta da empresa, segundo a investigação, revela ausência de mecanismos minimamente razoáveis de prevenção. Embora a crise tenha sido detectada internamente, por meio da observação de um padrão incomum de interação com o sistema — e não por auditoria ou testes regulares — a resposta tardia mostra uma cultura insuficiente de governança em segurança da informação. Exige-se mais do que a aplicação de um CAPTCHA ou o mascaramento posterior dos dados: trata-se de uma falha originária no próprio projeto da ferramenta.
Mais do que o valor do acordo — US$ 975.000 — o que está em jogo é a afirmação de um princípio. A segurança da informação não é adereço tecnológico ou burocracia regulatória. É uma expressão concreta do respeito à autodeterminação informacional dos indivíduos, um dos pilares da proteção da privacidade nos marcos democráticos do século XXI.
A conformidade legal não se resume à formalização de políticas ou à designação de um responsável técnico — ainda que estas medidas tenham sido previstas no compromisso firmado com a procuradoria. O que se exige é uma mudança de paradigma: plataformas digitais, sobretudo aquelas que coletam dados pessoais diretamente ou através de terceiros, devem ser concebidas com base em princípios de privacidade desde a origem (privacy by design) e em um compromisso ético com a proteção proativa da dignidade informacional.
Há, com essa decisão, mais do que um acerto de conduta. Há um recado implícito: o risco jurídico de não enxergar dados pessoais como extensão das liberdades individuais torna-se maior que o custo de investir em sua proteção estrutural. Entre o automatismo e o cuidado, é nessa encruzilhada que se decide o futuro das relações entre tecnologia, direito e sociedade.