Artigo – LGPD

A constante ameaça de ataques cibernéticos e a segurança de dados

Por Denise Debiasi*

Em janeiro deste ano, ocorreram dois vazamentos de dados[1]: um expôs informações como nomes, datas de nascimento, dados de veículos e CNPJ de mais de 40 milhões de empresas[2], informações essas que estão circulando de forma gratuita na internet; o outro expôs informações sobre escolaridade, benefícios do INSS, programas sociais como o Bolsa Família, renda, dentre outras.

Os dois vazamentos juntos continham:

  • Dados básicos relativos ao CPF;
  • Endereços;
  • Fotos de rosto;
  • Score de crédito, renda, cheques sem fundo e outras informações financeiras;
  • Imposto de renda de pessoa física;
  • Dados cadastrais de serviços de telefonia;
  • Escolaridade;
  • Benefícios do INSS;
  • Dados relativos a servidores públicos;
  • Informações do LinkedIn.

Cerca de um mês depois, no dia 10 de fevereiro, 103 milhões de contas vazaram de operadoras de celular, estando agora à venda na Deep Web[3]: o número dos telefones celulares, o tempo de duração das ligações e o endereço dos clientes.

Para os especialistas em proteção de dados, uma vez vazados, não há muito que fazer além de orientar os usuários sobre como mitigar riscos de uso indevido de identidade.

A Associação Nacional de Proteção de Dados, ANPD, define um incidente de segurança com dados pessoais como qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais. No caso da ocorrência de um incidente dessa natureza, a agência recomenda agir imediatamente para:

  • Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados;
  • Comunicar ao encarregado e ao controlador, se você for o operador, nos termos da LGPD;
  • Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares;
  • Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas.

Com esse objetivo, o Banco Central do Brasil criou uma plataforma – a Registrato – que permite aos usuários consultar dívidas e outros relacionamentos financeiros ligados ao seu CPF, a fim de verificar se houve uso indevido de seus dados.

Logo após o incidente com as operadoras de telefonia, ocorreu mais um vazamento: dessa vez com dados suspeitos de terem sido vazados do site do Poupatempo, órgão público para expedição de diversos documentos para cidadãos brasileiros, suspeita ainda não totalmente confirmada.

Nesse caso, também foram expostos CPFs, datas de nascimento, e-mails, gênero dos usuários, números de telefones, tendo todos esses dados sido disponibilizados em um fórum para hackers[4].

O que as empresas podem fazer para proteger dados e que providências precisam tomar caso esses dados já tenham vazado?

É importante compreender que ataques a redes de dados é uma constante – e com a pandemia estimulando mais interações online, a chance de ocorrer outro ataque em breve é ainda maior – e que, portanto, é preciso que as empresas criem medidas de proteção estando sempre prontas para um novo provável ataque. Em resumo, a pergunta não é “se” haverá um novo ataque, mas “quando” ele vai acontecer.

Diante disso, seguem as principais precauções para prevenção de vazamento e roubo de dados a serem tomadas pelas empresas:

  • Descentralizar os dados, deixando-os visíveis apenas para os setores respectivos, repensando em uma arquitetura da informação que deixe os dados menos expostos;
  • Coletar apenas os dados necessários. Por exemplo: em um processo seletivo, talvez os dados dos candidatos não escolhidos possam ser descartados, para que, em um eventual vazamento, haja um risco menor em relação à quantidade de dados expostos;
  • Adotar medidas de segurança administrativas e técnicas capazes de proteger os dados de acessos não autorizados ou situações acidentais de vazamento;
  • Estabelecer regras de boas práticas por meio de um Código de Conduta; parte integrante de um bom programa de governança;
  • Seguir padrões internacionais consolidados em proteção de dados (falaremos mais a respeito neste artigo).

Segundo a Lei Geral de Proteção de Dados (LGPD), aprovada em 2020, a proteção de dados pessoais tem como fundamento o respeito à privacidade, ao assegurar os direitos fundamentais de inviolabilidade da intimidade, da honra, da imagem e da vida privada.

A LGPD prevê punições que vão de advertências a multas que podem chegar a R$ 50 milhões por infração; multas diárias e eliminação dos dados pessoais a que se refere a infração. Porém, ainda que essas sanções só entrem em vigor a partir de agosto de 2021, até lá é possível realizar a punição pelo Código Civil, pelo Código de Defesa do Consumidor e pela Lei do Cadastro Positivo.

Ainda de acordo com a LGPD, usuários podem pedir que as empresas proprietárias de seus dados informem como conseguiram esses dados e por qual motivo os possuem. Se ficar comprovado que a origem dos dados é fraudulenta, a empresa precisa parar de usar os dados estando sujeita, inclusive, às penalidades legais. Por fim, o poder público pode garantir o pagamento de indenizações por dano moral coletivo[5].

Para evitar maiores problemas, como processos jurídicos, por causa de uso indevido de dados, é importante que a empresa designe ou contrate um DPO (Data Protection Officer ou, em português, “Encarregado da Proteção de Dados”)[6]; de preferência, alguém externo à empresa, já que não deve ser uma pessoa que exerça funções como diretor executivo, de operações, financeiro, do departamento médico, de marketing, de recursos humanos ou diretor de TI.

É importante também que o DPO tenha conhecimento tanto jurídico quanto técnico para ajudar a empresa da melhor forma possível a se adequar às novas regras da LGPD e orientá-la quanto a situações de vazamentos de dados.

Fonte: Serasa Experian[7]

Principais desafios que as empresas ainda precisam enfrentar em relação à LGPD. Como se pode observar pela figura ao lado, o maior desafio das empresas é conseguir treinar toda a sua equipe para que ela entenda a LGPD, afinal, ainda que a empresa já tenha criado dentro de seu programa de compliance ferramentas de adequação, é igualmente essencial que todos saibam como agir para que não existam brechas internas para uma possível acusação de uso indevido de dados.

Padrões internacionais em proteção de dados

As companhias internacionais, principalmente dos EUA e da Europa, adotaram a GDPR (General Data Protection Regulation[8]) em 2018 e, desde então, determinaram que é necessário garantir conformidade com essa lei em seus territórios e com as leis equivalentes de proteção de dados nos países onde possuem subsidiárias e empresas parceiras onde desenvolvem seus negócios.

Aqui no Brasil, é importante lembrar que as empresas precisam agir da mesma forma para garantir conformidade com a lei de proteção de dados local e a dos países onde também atuam, além de compreender tanto o risco cibernético quanto os riscos financeiro e jurídico nesses mercados, levando em consideração os seguintes fatores[9], seguindo o exemplo internacional:

  • Atuar como detetives: a LGPD exige que as empresas regularmente testem e avaliem a eficácia de quaisquer medidas de segurança da informação, o que permite que a empresa conduza uma profunda análise de risco antes de qualquer incidente acontecer;
  • Linhas de relatórios: é fundamental realizar um relatório imediato de qualquer incidente de segurança, sendo igualmente importante que a equipe (contratada e temporária) saiba como relatar uma falha e para quem, o quê e quando. A empresa precisa encontrar o equilíbrio entre introduzir um entendimento claro da importância da cyber segurança e não desencorajar os funcionários de relatar um problema;
  • Plano de resposta: uma boa e clara estrutura de responsabilidade ajuda na prestação de contas e, para manter a integridade do processo, é prudente excluir de qualquer investigação pessoas que estavam envolvidas no incidente. Pergunta a se fazer: os sistemas da empresa podem continuar operando sob condições adversas e podem ser restaurados?
  • Investigação: é importante para verificar o impacto do incidente e ajuda a empresa a não incorrer no mesmo erro, a manter sua reputação e a identificar o prejuízo em clientes. A investigação também é essencial para pensar em medidas a serem tomadas, sendo muito importante contar com apoio legal;
  • Evidência: coletar evidência, com a ajuda de especialistas forenses;
  • Reputação: ter políticas especificando o que a equipe deve fazer se confrontada com questões externas sobre o incidente (de um jornalista ou de um cliente). Uma saída é nomear alguém para lidar com essas questões;
  • Ligação com autoridades: comunicar o incidente para a ANPD;
  • Recuperação de ativos: ativos perdidos ou afetados podem ser recuperados com a ajuda de advogados.




Caso Cambridge Analytica[10]

Em 2018, a empresa de análise de dados, Cambridge Analytica – que trabalhou para o time responsável pela campanha de Donald Trump nas eleições de 2016 – lançou no Facebook um aplicativo de teste psicológico chamado thisisyourdigitallife. Esse aplicativo pagou aos usuários pequenas quantias para que eles fizessem um teste de personalidade e concordassem em ter seus dados coletados para uso acadêmico. Como a grande maioria das pessoas não lê os termos de uso, foi fácil elas permitirem que seus dados fossem utilizados sem que elas soubessem para quê exatamente. Os dados coletados incluíam o nome, a profissão, o local de moradia, os gastos, os hábitos e as redes de contato. Tudo isso foi utilizado para ajudar a eleger Trump.

Os usuários que participaram do teste acabaram entregando à Cambridge suas informações pessoais, bem como dados relativos aos amigos de perfil. A empresa é propriedade de Robert Mercer, bilionário do mercado financeiro e, na época, tinha como presidente Steve Bannon, principal assessor do ex-presidente norte-americano. Ela comprou acesso às informações do perfil psicológico de mais de 87 milhões de pessoas e usou esses dados para compor um sistema que permitiu predizer e influenciar a escolha dos eleitores nas urnas.

A denúncia foi feita pelo jornal The New York Times e pelo jornal The Guardian e, dois dias após a publicação do escândalo, o valor do Facebook caiu US$ 35 bilhões na Bolsa de Valores de Tecnologia dos EUA.

Vender os dados era algo proibido, mas não havia controle algum por parte do Facebook em relação a isso e, inclusive, foi questionado que, na verdade, não houve vazamento, já que as pessoas que fizeram os testes aceitaram ter seus dados utilizados, ainda que não soubessem até onde seriam utilizados. Contudo, o caso acabou resultando na implementação da GDPR na União Europeia e em todos os países com os quais ela mantém relações.

O caso Cambridge Analytica no Brasil[11]

Em 2020, mais dados vazaram indicando que foram usuários de 68 países, inclusive o Brasil, que tiveram suas informações utilizadas para fins escusos. A Cambridge Analytica tinha a intenção de manipular as eleições de 2018 aqui no país, mas a empresa não obteve sucesso.

Tudo começou quando André Torretta, consultor político e presidente-executivo da Ponte Estratégica, consultoria de marketing, anunciou em março de 2017 um acordo operacional de sua empresa, que passaria a se chamar Cambridge Analytica Ponte (ou CA-Ponte). Na época, segundo reportagem feita pela Folha de São Paulo, Torretta dizia que o objetivo era “a transferência e a tropicalização” da metodologia de segmentação psicográfica, que traça o perfil psicológico dos eleitores.

O consultor disse ainda que o trunfo da Cambridge era saber do que as pessoas tinham medo e quais temas rejeitavam, por exemplo. Com isso, ele esperava dividir os brasileiros entre seis e doze perfis e atuar nas eleições de 2018. Ele também dizia que pretendia usar o direcionamento das mensagens políticas para o WhatsApp, coisa que, segundo Torretta, os executivos da Cambridge ainda não haviam pensado em fazer. Torretta também explicou que havia prometido uma metodologia eficaz na segmentação de eleitores em categorias “psicológicas” (patriota, progressista, emocional etc.).

A Cambridge não tinha um banco de dados com perfis de brasileiros e a ideia era que ele próprio fosse atrás dos dados dos eleitores, já que o Brasil é considerado o segundo maior mercado político do mundo em gastos de marketing. Porém, com o anúncio do escândalo nos EUA envolvendo a Cambridge e o Facebook, Torretta anunciou a suspensão da parceria.

Conclusão

Uma vez que os dados são vazados não há mais o que fazer, a não ser mitigar os danos causados. Uma empresa que possui um programa de compliance sólido sofrerá menos com as consequências do que uma empresa que não possui um bom programa de compliance ou que sequer tem um, por isso a nossa insistência em reforçar a necessidade do compliance, já que a sua a existência evita muitos problemas para a companhia.

Contudo, em se tratando da política de dados, o Brasil ainda está no início dessa caminhada com a recente aprovação da Nova Lei Geral de Proteção de Dados, por isso há muito o que fazer para que as empresas adequem suas políticas internas a essa Lei e aproveitem esse período de adaptação até que a Lei entre em vigor em agosto de 2021, para realizar as mudanças necessárias, baseando-se inclusive nas políticas de proteção de dados internacionais, citadas neste artigo.

Tendo isso em vista, no próximo artigo sobre proteção de dados, falaremos sobre o que muda nas estratégias e ações de marketing com a LGPD, em especial quanto à coleta e utilização de dados de usuários para o relacionamento no âmbito de negócios.

A BRG oferece ainda assessoria para conformidade com a nova Lei Geral de Proteção de Dados (LGPD), bem como a Lei de Proteção de Dados Europeia (GDPR), através da condução de auditorias internas e elaboração de relatórios de impacto para identificação de riscos na coleta, tratamento e armazenamento de dados pessoais, bem como o diagnóstico de gaps para conformidade com nova Lei.


Sobre a autora: Denise Debiasi – Country Manager e Líder de Investigações Globais e Inteligência Estratégica da BRG Brasil.

Conheça os Serviços de Implementação, Monitoramento e Auditoria de Programa de Compliance e de LGPD da BRG Brasil.


[1]  Disponível em https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-de-223-milhoes-de-brasileiros-o-que-se-sabe-e-o-que-falta-saber.ghtml. Acesso em 16 de março de 2021.

[2] Disponível em https://www.infomoney.com.br/minhas-financas/100-milhoes-de-celulares-expostos-o-que-criminosos-podem-fazer-com-os-dados-e-como-se-defender/. Acesso em 16 de março de 2021.

[3] A Deep Web é uma área da internet que fica escondida e que possui pouca regulamentação. Por não poder ser acessada por meios comuns de pesquisa, ela é frequentemente utilizada para compartilhamento de conteúdo ilegal.

[4] Disponível em https://www.tecmundo.com.br/seguranca/212910-novo-vazamento-expoe-dados-223-milhoes-de-brasileiros.htm. Acesso em 17 de março de 2021.

[5] Disponível em https://www.uol.com.br/ecoa/ultimas-noticias/2021/02/04/protecao-de-dados-o-que-voce-empresas-e-poder-publico-podem-fazer.htm. Acesso em 16 de março de 2021.

[6] Disponível em https://www.terra.com.br/noticias/dino/nova-lei-em-vigor-deve-reduzir-vazamento-de-dados-pessoais-e-golpes-digitais,34dd29ab712ce3326482c3d228a0c730wocf04xr.html. Acesso em 17 de março de 2021.

[7] Disponível em https://www.serasaexperian.com.br/images-cms/wp-content/uploads/2020/11/03225812/White-Paper-Serasa-Experian-LGPD-Como-as-Empresas-se-prepararam.pdf. Acesso em 16 de março de 2021.

[8] Mais informações disponíveis em https://gdpr.eu/checklist/. Acesso em 16 de março de 2021.

[9] Disponível em https://www.jdsupra.com/legalnews/with-fraud-against-uk-businesses-at-7098742/. Acesso em 16 de março de 2021.

[10] Disponível em https://www.bbc.com/portuguese/internacional-43461751. Acesso em 16 de março de 2021.

[11] Disponível em https://www.uol.com.br/tilt/noticias/redacao/2020/01/03/cambridge-analytica-no-brasil-emails-vazados-contam-historia-de-fracasso.htm. Acesso em 16 de março de 2021.

Referências

BBC News Brasil. Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira das autoridadesBBC, 20 de março de 2018. Disponível em https://www.bbc.com/portuguese/internacional-43461751. Acesso em 16 de março de 2021.

CAFÉ DA MANHÃ: Nossos dados estão sendo vazados. E agora? Entrevistado: Bruno Bioni. Entrevistadores: Magê Flores e Maurício Meireles. Spotify, 15 de fevereiro de 2021. Disponível em https://open.spotify.com/episode/6zvd58JZt1zkJlnVGvH1Np. Acesso em 16 de março de 2021.

CRUZ, Bruna Souza e GOMES, Helton Simões. Cambridge Analytica no Brasil? Emails vazados contam história de fracassoUOL, São Paulo, 3 de janeiro de 2020. Disponível em https://www.uol.com.br/tilt/noticias/redacao/2020/01/03/cambridge-analytica-no-brasil-emails-vazados-contam-historia-de-fracasso.htm. Acesso em 16 de março de 2021.

FANTINATO, Giovanna. De novo: vazamento expõe dados de 223 milhões de brasileirosTecmundo, 16 de março de 2021. Disponível em https://www.tecmundo.com.br/seguranca/212910-novo-vazamento-expoe-dados-223-milhoes-de-brasileiros.htm. Acesso em 17 de março de 2021.

FREITAS, Camilla. Proteção de dados: o que você, empresas e poder público podem fazerUOL, São Paulo, 4 de fevereiro de 2021. Disponível em https://www.uol.com.br/ecoa/ultimas-noticias/2021/02/04/protecao-de-dados-o-que-voce-empresas-e-poder-publico-podem-fazer.htm. Acesso em 16 de março de 2021.

GAVIOLI, Allan. 100 milhões de celulares expostos: o que criminosos podem fazer com os dados e como se defender? InfoMoney, São Paulo, 12 de fevereiro de 2021. Disponível em https://www.infomoney.com.br/minhas-financas/100-milhoes-de-celulares-expostos-o-que-criminosos-podem-fazer-com-os-dados-e-como-se-defender/. Acesso em 16 de março de 2021.

G1. Megavazamento de dados de 223 milhões de brasileiros: o que se sabe e o que falta saberG1, 28 de janeiro de 2021. Disponível em https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-de-223-milhoes-de-brasileiros-o-que-se-sabe-e-o-que-falta-saber.ghtml. Acesso em 16 de março de 2021.

G1 SP. Fase emergencial da quarentena entra em vigor em todo o estado de SP a partir desta segunda; veja o que mudaG1, São Paulo, 15 de março de 2021. Disponível em https://g1.globo.com/sp/sao-paulo/noticia/2021/03/15/fase-emergencial-da-quarentena-entra-em-vigor-em-todo-o-estado-de-sp-a-partir-desta-segunda-veja-o-que-muda.ghtml. Acesso em 16 de março de 2021.

MCGUIREWOODS LLP. With Fraud against UK Businnesses at Epidemic Levels, Businnesses Need to Know How to Protect ThemselvesJDSUPRA, 5 de fevereiro de 2021. Disponível em https://www.jdsupra.com/legalnews/with-fraud-against-uk-businesses-at-7098742. Acesso em 16 de março de 2021.

SERASA EXPERIAN. Pesquisa LGPD (Lei Geral de Proteção de Dados Pessoais): Como as empresas se preparam para atender à nova regulamentação. Disponível em https://www.serasaexperian.com.br/images-cms/wp-content/uploads/2020/11/03225812/White-Paper-Serasa-Experian-LGPD-Como-as-Empresas-se-prepararam.pdf. Acesso em 16 de março de 2021.

TERRA. Nova lei em vigor deve reduzir vazamento de dados pessoais e golpes digitaisTerra, 16 de março de 2021. Disponível em https://www.terra.com.br/noticias/dino/nova-lei-em-vigor-deve-reduzir-vazamento-de-dados-pessoais-e-golpes-digitais,34dd29ab712ce3326482c3d228a0c730wocf04xr.html. Acesso em 17 de março de 2021.

Fonte: BRG Brasil

ataques cibernéticosbrg brasilcomplianceconsultoria regulatóriacyber securityDenise Debiasiinteligência estratégicainvestigações globaisLGPDsegurança de dados