Os incidentes e a segurança de dados pessoais sob a ótica da Lei Geral de Proteção de Dados

Entrevista #13 – Deoclides Neto
Novembro 4, 2020
Você tampa a sua webcam?
Junho 5, 2021

Os incidentes e a segurança de dados pessoais sob a ótica da Lei Geral de Proteção de Dados

A famosa expressão “os dados são o novo petróleo” (data is the new oil), atribuída a Clive Humby, faz muito sentido para muitos modelos de negócios, seja de empresas que vivem da exploração de dados, até para indústrias mais tradicionais que têm migrado mais e mais para modelos de negócios baseados em dados a fim de extrair melhores resultados.

Por outro lado, há quem diga que o dado seria o “novo urânio”, ao mesmo tempo em que ele pode ser extremamente valioso, o dado também pode ser “radioativo”. No relatório de Risco Global de 2020[1], divulgado pelo Fórum Econômico Mundial, os ataques cibernéticos permanecem em perspectiva de longo prazo, cerca de dez anos, tanto para a probabilidade quanto para o impacto de todos os setores. Uma das grandes preocupações trazidas pelo relatório, relacionadas a ataques cibernéticos, está na fraude e no roubo de dados.

Kevin Mitnick e William Simon (MITNICK; SIMON, 2003, p. 4), explicam que à medida que os especialistas contribuem para o desenvolvimento contínuo de melhores tecnologias de segurança, tornando mais difícil a exploração de vulnerabilidades, os atacantes se voltarão cada vez mais para a exploração do elemento humano. Acrescentaria, ainda, que essa exploração pode ser fatídica quando as corporações não capacitam seus funcionários adequadamente a terem uma mentalidade preventiva.

Uma pesquisa da IBM Security (IBM, 2019) apontou, em 2019, que os ataques maliciosos representam a causa mais comum e também a mais cara, uma média de US$ 4,45 milhões, ou seja, US$ 1 milhão a mais em comparação às causas acidentais. O estudo ainda constatou que possuir uma equipe de resposta a incidentes permanece como principal fator de economia de custos, as empresas que conseguiram detectar e conter uma violação em menos de 200 dias gastaram, em média, US$ 1,2 milhão a menos.

Um grande e recente exemplo de vazamento de dados de causa acidental, que ocorreu no final de 2019, foi o da Microsoft, quando bancos de dados configurados incorretamente expuseram 250 milhões de dados de clientes. Dentre as informações que foram publicizadas, estavam endereços de e-mail, endereços de IP, dados de localização, e-mails dos agentes de suporte da Microsoft, números de protocolo, medidas e comentários e notas internas consideradas “confidenciais”[2].

No ano de 2013, a varejista Target também sofreu grandes danos à sua imagem em razão de um ciberataque, que teve início quando hackers roubaram credenciais de um fornecedor de serviços da varejista, por meio de uma campanha de spear phishing, por e-mail. O ataque afetou cerca de 70 milhões de consumidores, que tiveram dados de cartões de créditos e de débitos vazados; somente no Canadá, estima-se que os prejuízos ultrapassaram US$ 2,5 bilhões de dólares, forçando-a encerrar as atividades no país. Diante dessa realidade, a varejista teve que se desdobrar para convencer os consumidores a comprarem novamente via online[3].

Somente em 2017 que foi viabilizado um acordo em US$ 18,5 milhões de dólares, oportunidade onde concordou em aumentar a sua segurança digital. Além desses dispêndios, a Target teve que desembolsar cerca de US$ 202 milhões de dólares em honorários advocatícios[4].

Da grande empresa de tecnologia (big tech) à consolidada empresa de varejo, os precedentes demonstram que até as corporações que, em tese, possuem times especializados e preparados para proteger suas infraestruturas não escapam das manchetes de incidentes de segurança de dados pessoais.

 

  1. Tipos de ataques mais corriqueiros

Os números de incidentes de segurança não param de crescer, somente no segundo trimestre de 2020, houve um aumento de 9% nos ataques em comparação ao primeiro trimestre de 2020, conforme estudo divulgado pela Positive Technologies[5], importante fornecedora global de soluções em segurança corporativa.

O estudo traz uma lista dos principais tipos de ataques no segundo trimestre de 2020. O ataque cibernético mais comum, o malware, pode ser definido como todo e qualquer tipo de programa (ou software) malicioso que pode infectar um computador ou smartphone. O ransomware e o spyre foram os trojans[6] mais comuns em ataques de malware.

O ransomware é um termo abrangente usado para descrever uma classe de malwares que serve para extorquir digitalmente as vítimas, fazendo-as pagar por um preço específico (LISKA; GALLO, 2017, p. 16). Esta modalidade é muito temida pois trata-se de uma espécie de “sequestro de arquivos”, normalmente o pagamento é exigido via Bitcoin.

Por outro lado, o spyware é um software espião que tem como objetivo monitorar atividade de um sistema e enviar as informações coletadas para terceiros (DANTAS, 2011, p. 37). Esse malware pode monitorar o que a vítima digita em seu teclado (keylogger), os sites navegados, bem como informações sobre logins.

Existem outros tipos de ataques que também são muito conhecidos por utilizarem principalmente a engenharia social[7], como no caso do phishing, do spear phishing e do whaling. Enquanto os golpes de phishing são enviados em massa e não possuem como alvo indivíduos específicos, o spear phishing já possui um alvo determinado.

Uma boa parte dos ataques de phishing são enviados por e-mail, nessa modalidade o cibercriminoso registra um domínio falso que pareça com a de uma organização genuína e em seguida envia milhares de solicitações genéricas; contudo esses ataques não se limitam ao e-mail, eles também podem ser enviados por SMS ou por meio de outras mídias sociais. Os efeitos do phishing podem variar, na maioria dos casos pode levar a roubo de identidade ou dinheiro e também é uma técnica eficaz para espionagem corporativa ou roubo de dados (BELCIC, 2020).

Já o spear phishing, além de ser focado em uma pessoa, ou uma organização específica, ele é executado após um processo de pesquisa sobre o alvo, é comum que esses ataques venham de uma fonte confiável para o usuário, como o e-mail ou website. Ataques como esses têm por objetivo roubar informações pessoais, como logins, senhas, dados do cartão de crédito ou até dados sensíveis de uma organização, como sua base de clientes e contatos, dados desses clientes, e dados internos da organização em si.

Quando os ataques são bem-sucedidos e as informações são efetivamente roubadas, elas podem ser usadas para manipular preços de ações, efetuar transferências bancárias, assumir identidades, revelar segredos industriais ou governamentais, espionar concorrência, dentre outras possibilidades[8].

Em 2014, a Sony Pictures foi alvo de ataques de spear phishing, na ocasião milhares de arquivos, como acordos comerciais, documentos financeiros e informações de funcionários, foram subtraídos. Os funcionários foram atraídos por e-mails falsos da Apple (KEIZER, 2015).

Por outro lado, o whaling, que é bem semelhante ao spear phishing, utiliza métodos como e-mail e spoofing de site[9] para atrair o alvo e enganá-lo, o que diferencia este método é o alvo. Em vez de enviar mensagens para um grupo de usuários, o golpista identifica a pessoa da qual ele possa conseguir as informações que precise, exemplo um CEO de uma empresa.

Além desses mencionados, há os ataques na web, os quais consistem na ação de extorquir operadores de sites, ameaçando-os roubar bancos de dados de clientes ou de tirar os sites do ar.

Por fim, oportuno destacar o hacking. Este visa explorar vulnerabilidades em hardware e software; entre as principais formas de vulnerabilidade encontram-se a falta de atualização de sistemas operacionais e outros softwares, o uso de softwares não homologados ou ainda de softwares desenvolvidos segundo padrões não adequados de segurança. Falhas em componentes de hardware também têm sido descobertas e exploradas pelos criminosos cibernéticos.

Em um outro relatório de 2020, a Positive Technologies revelou que 71% das empresas americanas possuem pelo menos uma falha simples de segurança que pode favorecer ataques de cibercriminosos. O relatório é baseado em dados anônimos de organizações que tiveram suas redes testadas por hackers éticos e pesquisadores científicos[10].

 

  1. A segurança de dados pessoais na legislação brasileira

Apesar de sua importância e perceptível impacto, a Lei Geral de Proteção de Dados não possui exclusividade ao tratar de dados pessoais. O que a torna singular é a sua abrangência, com a enunciação de princípios, direitos, responsabilidades e outras aplicações (FRAZÃO; TEPEDINO; OLIVA, 2019, p. 420).

Para Eduardo Magrani (MAGRANI, 2019, p. 56), a nossa Carta Magna protege, de maneira esparsa, o direito à privacidade, englobando, segundo a doutrina, a proteção aos dados pessoais, tanto no meio físico como no digital.

A Constituição Federal de 1988 prevê a inviolabilidade da vida privada e da intimidade, em seu art. 5º, X. Já o art. 5º, XII, dispõe sobre a inviolabilidade do sigilo de correspondência e das comunicações telegráficas, de dados e telefônicas. Para complementar, o art. 5º, LXXII, regulamenta que o habeas data será concedido “para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público” ou para “retificação de dados”.

Indo para os dispositivos da legislação infraconstitucional, o art. 21, do Código Civil, determina que o juiz, a requerimento do interessado, poderá tomar medidas para prevenir ou fazer cessar dano à privacidade. No Código de Defesa do Consumidor, temos a Seção VI, do Capítulo V, denominado como “Dos Bancos de Dados e Cadastros de Consumidores”; o art. 43, deste diploma legal, prevê que o consumidor terá acesso às suas informações, tal qual deverá ser comunicado em caso de abertura de cadastro em base de dados ou retificar os seus dados ali registrados.

Conforme leciona Danilo Doneda (DONEDA, 2010, p. 50):

 

Na legislação infra-constitucional, destaca-se o Código de Defesa do Consumidor, cujo artigo 43, estabelece uma série de direitos e garantias para o consumidor em relação às suas informações pessoais presentes em “bancos de dados e cadastros”, implementando uma sistemática baseada nos Fair Information Principles à matéria de concessão de crédito e possibilitando que parte da doutrina verifique neste texto legal o marco normativo dos princípios de proteção de dados pessoais no direito brasileiro[11].

 

Por sua vez, o Marco Civil da Internet (Lei 12.965/2014) foi um importante mecanismo para o cidadão assegurar o seu direito à autodeterminação informativa em relação a dados pessoais fornecidos a terceiros. Patricia Peck (PECK, 2013, p. 53) ressalta que “quando se fala no Marco Civil da Internet, seu propósito inicial é garantir a privacidade de dados de consumidores e ter a guarda segura dos mesmos”.

Neste sentido, o art. 7º, do Marco Civil da Internet (MCI), estabelece uma série de direitos e garantias dos usuários, tais como inviolabilidade e sigilo do fluxo de suas comunicações pela internet e a inviolabilidade e sigilo de suas comunicações privadas armazenadas.

No que tange ao tratamento de dados armazenados pelos provedores de conexão[12] e pelos provedores de aplicações[13], o Marco Civil da Internet dispõe os seguintes parâmetros de segurança:

 

Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão[14], sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento.

Art. 15. O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet[15], sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.

 

Cabe mencionar a Resolução Nº 4.658/2018, do Banco Central do Brasil (BACEN), que estabelece sobre política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas pelo Banco Central.

Em suma, a resolução obriga as instituições a definir, implementar, divulgar e manter política de segurança cibernética formulada a partir de princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas utilizados. No mais, a resolução ainda impõe que as instituições deverão implementar um plano de ação e de resposta a incidentes.

Recentemente, com o advento do Decreto 9.936/19, que regulamenta o Cadastro Positivo, ficou estabelecido que em caso de vazamento de informações de cadastrados ou de outro incidente de segurança, o gestor de banco de dados deverá comunicar o fato no prazo de dois dias, junto ao órgão competente, contado da data do conhecimento do incidente (art. 18, § 1º)[16].

Por fim, oportuno trazer à tona o caso de incidente de segurança do Banco Inter, em 2018. No decorrer da investigação, o Ministério Público do Distrito Federal e Territórios (MPDFT) constatou o comprometimento de dados cadastrais de quase 20 mil correntistas, alguns chegaram a ter números de contas e senhas vazados. Na ação, o promotor Frederico Ceroy citou o Código de Defesa do Consumidor, o Código Civil, dentre outros diplomas legais, ou seja, em nenhum momento houve amparo da Lei Geral de Proteção de Dados[17].

Apesar do pedido do Ministério Público para que a fintech pagasse indenização de R$ 10 milhões de reais, o Banco Inter fechou acordo em R$ 1,5 milhão de reais em indenização[18].

 

  1. A segurança e boas práticas dispostas na Lei Geral de Proteção de Dados (LGPD)

A Lei Geral de Proteção de Dados (LGPD) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, seja por pessoa natural ou por pessoa jurídica de direito público ou privado. O artigo 5º, X, considera o tratamento como:

 

[…] toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

 

Os responsáveis por praticarem qualquer uma dessas operações acima são considerados agentes de tratamento; dentre os agentes de tratamento temos o controlador[19] e o operador[20]. Tanto o controlador, como o operador possuem a obrigação de observar a boa-fé, além de uma série de outros princípios que estão elencados no art. 6º, da LGPD, dentre estes princípios darei ênfase à segurança[21], à prevenção[22] e à responsabilização e prestação de contas[23].

A Lei Geral de Proteção de Dados ainda traz um capítulo inteiro sobre segurança e boas práticas. O art. 46, caput, destaca que o controlador e o operador deverão aderir:

 

[…] medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

 

Outrossim, as medidas de segurança não se limitam somente àquelas no âmbito técnico, de modo que se estendem também ao âmbito administrativo. Neste sentido, afirma Rafael Maciel (MACIEL, 2019, p. 69) que “muitos dos incidentes de segurança não estão relacionados a falhas de sistema informático e sim a erros provocados por falhas humanas”, afirmação que vai ao encontro do que observara Kevin Mitnick e William Simon, como já mencionado em capítulo anterior.

A legislação define que a autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput (art. 46, § 1º, LGPD). Esta função caberá à Autoridade Nacional de Proteção de Dados (ANPD), com isso busca-se garantir o controle de acesso, impedir vazamentos e perdas de dados.

 

  • Privacy by Design

O art. 46, § 2º, da LGPD, estabelece que as medidas técnicas e administrativas devem ser pensadas desde a concepção do produto até a sua execução. Assim, a Lei Geral de Proteção de Dados adota a figura do privacy by design (privacidade desde a concepção), prestigiada no regulamento europeu, que engloba a obrigatoriedade de que aos novos produtos e serviços seja feita análise sobre aderência a medidas de segurança, técnicas e administrativas, que garantam a proteção dos dados e evitem formas de tratamentos inadequados ou ilícitos (OPICE BLUM, p. 19).

Apesar de ser considerada inovadora na legislação de proteção de dados brasileira, a expressão foi criada na década de 90, por Ann Cavoukian, ex-comissária de Informação e Privacidade da Província de Ontário, no Canadá.

Segundo Ann Cavoukian (CAVOUKIAN, 2011), pelo privacy by design, a proteção à privacidade provém de: (i) sistemas de tecnologia da informação (IT systems); (ii) práticas negociais responsáveis (accountable business pratices); e (iii) design físico e infraestrutura de rede (physical and networked infrastructure).

Para Bruno Bioni (BIONI, 2019, p. 231), privacy by design é “a ideia de que a proteção de dados pessoais deve orientar a concepção de um produto ou serviços, devendo eles ser embarcados com tecnologias que facilitem o controle e a proteção das informações pessoais”.

Os pilares que formam o privacy by design são sete:

  1. Pró-ativo não Reativo; Preventivo não Corretivo (Proactive not Reactive; Preventative not Remedial): regra trazida pelas novas concepções de compliance, este princípio é a representação de que os desenvolvedores devem prever e antecipar os eventos que possam incorrer em incidentes de violação de privacidade;
  2. Privacidade como Configuração Padrão (Privacy as the Default Setting): por meio do qual a configuração padrão de determinado sistema deve preservar a privacidade do usuário;
  3. Privacidade Incorporada ao Design (Privacy Embedded into Design): a privacidade deve estar incorporada à arquitetura de sistemas e modelos de negócio;
  4. Funcionalidade Total – Soma Positiva, não Soma Zero (Full Functionality — Positive-Sum, not Zero-Sum): devem ser incorporados todos os interesses envolvidos, de forma a evitar falsas dicotomias, como privacidade vs. segurança, demonstrando-se que a coexistência é possível;
  5. Segurança de Ponta a Ponta – Proteção Completa do Ciclo de Vida (End-to-End Security — Full Lifecycle Protection): incorporando-se a privacidade ao sistema de TI antes do primeiro elemento de informação ser coletado, esta é estendida para todo o ciclo de vida da informação;
  6. Visibilidade e Transparência – Mantê-lo Aberto (Visibility and Transparency — Keep it Open): um dos princípios mais importantes, pois deve ser assegurado a todos os envolvidos que as práticas negociais e as tecnologias são operacionalizadas de acordo com as premissas e objetivos definidos para o tratamento, estando sujeitos à verificação independente;
  7. Respeito pela Privacidade do Usuário – Mantenha o Foco no Usuário (Respect for User Privacy — Keep it User-Centric): exige que os desenvolvedores e operadores dos sistemas priorizem os interesses dos indivíduos, oferecendo altos padrões de privacidade, notificações adequadas e opções fáceis de serem compreendidas pelos usuários.

Desse modo, desenvolvedores/fabricantes de soluções tecnológicas devem assumir uma posição no sentido de que o compliance com a privacidade não é somente um problema de seu cliente (BRANCHER; BEPPU, 2019, p. 287). Acrescente-se que ao seguir tais premissas, além de cumprir uma função social, as empresas estarão mitigando risco de incidentes.

 

  • Governança e plano de resposta a incidentes de segurança

O termo “incidente de segurança” pode ter uma definição ampla, em resumo, o acesso não autorizado, a destruição de dados, a perda de dados, a alteração de dados e qualquer forma de tratamento inadequado ou ilícito são alguns tipos de incidentes de segurança.

Conforme estabelece o art. 48, da LGPD, o controlador terá o dever de comunicar à autoridade nacional e ao titular a ocorrência de incidente que possa acarretar risco ou dano relevante aos titulares e mencionará: (I) a descrição da natureza dos dados pessoais afetados; (II) as informações sobre os titulares envolvidos; (III) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; (IV) os riscos relacionados ao incidente; (V) os motivos da demora, no caso de a comunicação não ter sido imediata; e (VI) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Ao receber a comunicação, a autoridade nacional verificará a gravidade do incidente e, caso necessário, determinará ao controlador a adoção de algumas providências, como: (I) ampla divulgação do fato em meios de comunicação; e (II) medidas para reverter os efeitos do incidente.

Os incisos I e II, do art. 50, estabelecem os requisitos que um programa de governança em privacidade deve conter. Ana Frazão, Milena Oliva e Viviane Abilio (FRAZÃO; TEPEDINO; OLIVA, 2019, p. 707) destacam que “a LGPD orienta os controladores a inserirem as políticas de governança em privacidade em sua estrutura geral de compliance, com a previsão de mecanismos de supervisão internos e externos”.

Rafael Maciel (MACIEL, 2019, p. 74) explica que a adoção de boas práticas e um programa de governança em privacidade são fatores considerados na aplicação das sanções. O autor acrescenta que o programa deverá ser compatível com o porte da organização e com o tipo e volume de dados tratados.

Um dos pontos de grande relevância para este trabalho está na elaboração de um plano de segurança em caso de incidentes que envolvam vazamento de dados pessoais. Em que pesem todas as medidas preventivas técnicas e de Governança adotadas, a possibilidade de um incidente não pode ser descartada em nenhum momento, a importância de um plano contra incidentes pode ser encontrada no art. 50, §2º, I, g, da própria LGPD, o qual integra uma das boas práticas elencadas na Lei Geral de Proteção de Dados.

O escritório Opice Blum (OPICE BLUM, 2020, p. 39) destaca cinco pilares de um plano de resposta a incidentes de segurança em dados pessoais, sendo eles:

(i) Designação prévia de um comitê de crise: este pilar estabelece quais colaboradores que atuarão em caso de incidente e as suas respectivas funções;

(ii) Estruturação prévia das respostas necessárias: onde fica designado um plano de resposta, quais colaboradores serão responsáveis por redigi-las e validá-las e como essas respostas serão direcionadas aos titulares, parceiros e imprensa. Saliente-se que tudo isso deve ser pensado com antecedência;

(iii) Comunicação às autoridades competentes: a comunicação deverá ocorrer de forma imediata e completa, lembrando-se que, além de eventuais medidas técnicas adotadas, como tornar os dados pessoais ininteligíveis, o prazo da comunicação também comporá alguns dos fatores importantes em termos reputacionais e jurídicos.

(iv) Identificação, coleta e preservação de evidências: este ponto é importante, pois tratará de como a organização reagirá com relação ao episódio, seja na identificação do responsável pelo incidente, na coleta de evidências e, por fim, na preservação, as quais não deverão apresentar indícios de adulteração;

(v) Elaboração de relatório final do incidente e revisão dos procedimentos: a elaboração deste relatório tem como escopo indicar os fatos que ocorreram, as providências tomadas, medidas técnicas adotadas etc. Dessa forma, a organização poderá visualizar a evolução dos procedimentos de Governança e, por conseguinte, explorá-la.

Um estudo encomendado pela IBM (IBM, 2019), em 2019, apontou que em escala global, 77% das organizações não possuem um plano de resposta a incidentes de segurança cibernética. Por outro lado, considerando as organizações pesquisadas e que têm um plano em funcionamento, 54% não realiza testes regularmente, ou seja, tornando-as menos preparadas para gerenciar com eficácia processos complexos e a coordenação que deve ocorrer após algum incidente de segurança.

 

  1. Conclusão

Como observado, a Lei Geral de Proteção de Dados é um marco inicial para a efetivação da segurança e do sigilo de dados pessoais. Em palestra conferida no Rio de Janeiro no ano de 2003, o célebre jurista Stefano Rodotà já alertava que “nós somos os nossos dados”[24].

Nos dias atuais, somos capazes de enxergar com maior lucidez a importância dos dados pessoais e o quão valioso eles são, caso contrário, não existiriam massivas tentativas de ataques cibernéticos que, em alguns casos, quando bem sucedidos, resultam em incidentes de segurança.

Com a adoção do privacy by design, por exemplo, a Lei Geral de Proteção de Dados institui que a privacidade deve existir desde a concepção, ou seja, mudando o que muito acontece na prática quando as empresas ou governos acabam deixando o aspecto da segurança para último plano e, quando se dão conta sobre alguma violação, já é muito tarde para reverter a situação.

A adoção de um plano de resposta a incidentes é outro fator que deve ser colocado em prática, do contrário, isto pode ocasionar eventuais danos à reputação de uma empresa, seja perante à Autoridade Nacional de Proteção de Dados (ANPD), aos titulares dos dados, parceiros, dentre outros.

No Brasil, a Lei Geral de Proteção de Dados é uma mudança de paradigma e quanto mais as empresas seguirem com o propósito voltado à viabilização da segurança e sigilo de dados – levando-se em conta o porte e o volume de dados que possui -, estarão em comprometimento não somente com a lei, mas com os titulares dos dados, e como consequência estas terão muitos ganhos inerentes à sua imagem e credibilidade.

 

[1] Disponível em: <http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf> .

[2] Disponível em: <https://olhardigital.com.br/noticias/2020/01/22/vazamento-de-dados-da-microsoft-expoe-250-milhoes-de-clientes/>.

[3] Disponível em: <https://exame.com/negocios/roubo-de-dados-pode-levar-target-a-pagar-us-10-milhoes/>.

[4] Disponível em: <https://www.nytimes.com/2017/05/23/business/target-security-breach-settlement.html>.

[5] Disponível em: <https://www.ptsecurity.com/ww-en/analytics/cybersecurity-threatscape-2020-q2/#id2> .

[6] Também conhecidos por cavalos de troia, estes softwares normalmente se apresentam como ferramentas úteis ao dia a dia do usuário, que por isso os instala. No entanto, eles podem agir no sentido de abri caminho para diferentes formas de ataques cibernéticos.

[7] A engenharia social consiste na utilização da influência e da persuasão para enganar pessoas e convencê-las de que o engenheiro social é alguém que na verdade ele não é (MITNICK e SIMON, 2003)

[8] Disponível em: <https://www.proof.com.br/blog/spear-phishing/>.

[9] O spoofing de site consiste na criação de uma página falsa para enganar vítimas e atrair cliques.

[10] Disponível em: <https://www.ptsecurity.com/upload/corporate/ww-en/analytics/external-pentests-2020-eng.pdf>.

[11] Cf. Ana Paula Gambogi Carvalho. “O consumidor e o direito à autodeterminação informacional”, in: Revista de Direito do Consumidor, n. 46, abril-junho 2003, pp. 77-119.

[12] Entende-se por “provedor de conexão, a pessoa jurídica que fornece serviços a fim de possibilitar o acesso de seus consumidores à Internet. Alguns exemplos são: Net Vírtua, GVT Vivo e as operadoras de telefonia celular, as quais fornecem serviços de internet móvel.

[13] Para Frederico Meinberg Ceroy (CEROY, 2014), há uma dificuldade em definir com precisão os provedores de aplicação de internet (PAI), até porque o art. 5º, do MCI, não chegou a conceituar as espécies de provedores. No entanto, o autor compreende que o conceito de PAI inclui o provedor de correio eletrônico, o provedor de hospedagem e o provedor de conteúdo – além do provedor de serviços online (PSOs).

[14] O inciso VI, do art. 5º, do MCI, estabelece que o registro de conexão é o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados.

[15] O inciso VIII, do art. 5º, do MCI, define que os registros de acesso a aplicações na internet são o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dado.

[16] Um dos pontos polêmicos na Lei Geral de Proteção de Dados, segundo a doutrina, está relacionado ao prazo de comunicação em caso de eventuais vazamentos de dados. A LGPD prevê, em seu art. 48, § 1º, que a comunicação será feita em prazo razoável. Ao contrário da GDPR (General Data Protection Regulation) que foi mais específica e impôs o tempo para notificação em 72 horas após o conhecimento do incidente (art. 33).

[17] Disponível em: <https://www.conjur.com.br/dl/mp-df-condenacao-banco-inter-vazamento.pdf>.

[18]Disponível em: <https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-por-vazamento-de-dados-de-clientes/>.

[19] pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art.5º, VI, LGPD).

[20] pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art.5º, VII, LGPD).

[21] VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

[22] VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

[23] X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

[24] Disponível em: <http://www.rio.rj.gov.br/dlstatic/10112/151613/DLFE-4314.pdf/GlobalizacaoeoDireito.pdf>.

 

Referências

 

ABRAMS, Rachel. Target to Pay $18.5 Million to 47 States in Security Breach Settlement. Disponível em: <https://www.nytimes.com/2017/05/23/business/target-security-breach-settlement.html>.

 

BELCIC, Ivan. O guia essencial sobre phishing: Como funciona e como se proteger. Disponível em: <https://www.avast.com/pt-br/c-phishing>.

 

BRANCHER, Marcos Rodrigues. BEPPU, Ana Claudia. Proteção de dados pessoais no Brasil: uma nova visão a partir da Lei nº 13.709/2018 / Paulo Marcos Rodrigues Brancher, Ana Claudia Beppu (Coord.). – Belo Horizonte, Fórum, 2019.

 

BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.

 

CAVOUKIAN, Ann. Privacy by Design: The 7 Foundational Principles. Disponível em: <https://www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf>.

 

CEROY. Frederico Meinberg. Os conceitos de provedores no Marco Civil da Internet. Disponível em: <https://migalhas.uol.com.br/depeso/211753/os-conceitos-de-provedores-no-marco-civil-da-internet>.

 

CONJUR. Disponível em: <https://www.conjur.com.br/dl/mp-df-condenacao-banco-inter-vazamento.pdf>.

 

COUGHLIN, Tom. 175 Zettabytes By 2025. Disponível em: <https://www.forbes.com/sites/tomcoughlin/2018/11/27/175-zettabytes-by-2025/#5f2cf5f95459>.

 

DANTAS, Marcus Leal. Segurança da informação: uma abordagem focada em gestão de riscos. / Marcus Leal Dantas. – Olinda: Livro Rápido, 2011.

DONEDA, Danilo. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia/ Escola Nacional de Defesa do Consumidor; elaboração Danilo Doneda. – Brasília: SDE/DPDC, 2010.

 

FRAZÃO, Ana. TEREPEDINO, Gustavo. OLIVA. Milena. Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro/Ana Frazão, Gustavo Terepedino, Milena Donato Oliva coordenação. – 1. Ed. São Paulo: Thomson Reuters, 2019.

 

IBM. Estudo global da IBM aponta que 77% das organizações não têm um plano de resposta a incidentes de segurança cibernética. Disponível em: <https://www.ibm.com/blogs/ibm-comunica/estudo-global-da-ibm-aponta-que-77-das-organizacoes-nao-tem-um-plano-de-resposta-a-incidentes-de-seguranca-cibernetica/>.

 

IBM. Estudo mostra que ataques cibernéticos custam US$ 1,35 milhão em média para empresas no Brasil. Disponível em: <https://www.ibm.com/blogs/ibm-comunica/estudo-mostra-que-ataques-ciberneticos-custam-us-135-milhao-em-media-para-empresas-no-brasil/#:~:text=Security-,Estudo%20mostra%20que%20ataques%20cibern%C3%A9ticos%20custam%20US%24%201%2C35%20milh%C3%A3o,m%C3%A9dia%20para%20empresas%20no%20Brasil&text=Compartilhe%3A&text=Segundo%20o%20relat%C3%B3rio%2C%20encomendado%20pela,%2C%20em%20m%C3%A9dia%20%5B1%5D%20>.

 

KEIZER, Gregg. Sony hackers targeted employees with fake Apple ID e-mails. Disponível em: <https://www.computerworld.com/article/2913805/sony-hackers-targeted-employees-with-fake-apple-id-emails.html> Acessado dia: 05.10.2020.

 

LISKA, Allan. GALLO, Timothy. Ransomware: defendendo-se da extorsão digital. Novatec Editora, 2017.

 

LUQUE, Matheus. Vazamento de dados da Microsoft expõe 250 milhões de clientes. Disponível em: https://olhardigital.com.br/noticias/2020/01/22/vazamento-de-dados-da-microsoft-expoe-250-milhoes-de-clientes/>.

 

MAGRANI, Eduardo Entre dados e robôs: ética e privacidade na era da hiperconectividade / Eduardo Magrani. — 2. ed. — Porto Alegre: Arquipélago Editorial, 2019.

 

MELO, Luísa. Roubo de dados pode levar Target a pagar US$ 10 milhões. Disponível em: <https://exame.com/negocios/roubo-de-dados-pode-levar-target-a-pagar-us-10-milhoes/>.

 

MITNICK, Kevin D., (1963) A arte de enganar/ Kevin D. Mitnick; William L. Simon; Tradução: Kátia Aparecida Roque; revisão técnica: Olavo José Anchieschi Gomes. Pearson Education do Brasil LTDA, 2003.

 

OPICE BLUM. E-book Melhores práticas de Governança e Conformidade com a LGPD. Disponível em: <https://opiceblumacademy.com.br/wp-content/uploads/2020/02/lgpd-governanca-melhores-praticas.pdf>.

 

Palestra Professor Stefeno Rodotà. Disponível em: <http://www.rio.rj.gov.br/dlstatic/10112/151613/DLFE-4314.pdf/GlobalizacaoeoDireito.pdf>.

 

PINHEIRO, Patricia Peck. Direito Digital / Patricia Peck Pinheiro. – 5. ed. rev. atual. e ampl. de acordo com as Leis n. 12.735 e 12.737, de 2012 – São Paulo : Saraiva, 2013.

 

POSITIVE TECHNOLOGIES. Cybersecurity threatscape: Q2 2020. Disponível em: <https://www.ptsecurity.com/ww-en/analytics/cybersecurity-threatscape-2020-q2/#id2>.

 

POSITIVE TECHNOLOGIES Penetration testing of corporate information systems. Disponível em: <https://www.ptsecurity.com/upload/corporate/ww-en/analytics/external-pentests-2020-eng.pdf>.

 

PROOF. Spear Phishing: uma das ameaças mais efetivas. Disponível em: <https://www.proof.com.br/blog/spear-phishing/>.

 

UNISYS. 2020 Unisys Segurity Index. Disponível em: <https://assets.unisys.com/Documents/Microsites/USI2020/UnisysSecurityIndexReport2020.pdf?v=2>.

 

VEJA. Banco Inter vai pagar R$ 1,5 milhão por vazamento de dados de clientes. Disponível em: <https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-por-vazamento-de-dados-de-clientes/>.

 

WORLD ECONOMIC FORUM. The Global Risks Report 2020. Disponível em: <http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf>.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *