Nos últimos dias 23, 24 e 26 de janeiro de 2020 a Unicamp - Universidade Estadual de Campinas - emitiu três notas oficiais à comunidade sobre violações em seus sistemas computacionais. Na primeira nota, do dia 23 de janeiro, a reitoria comunica ter identificado violações em alguns de seus sistemas computacionais, com consequente vazamento de dados privados.
O problema foi detectado pela Diretoria Acadêmica (DAC), mas no primeiro momento já se admitia que o vazamento pudesse ter afetado outros sistemas da Universidade. A Coordenadoria Geral de Tecnologia de Informação e Comunicação (CITIC) da Unicamp, então, designou equipe para identificar as causas do incidente e a extensão dos danos. Ainda de acordo com a reitoria, o evento foi reportado às autoridades competentes, sendo tomadas as medidas de contingência.
No dia seguinte, nova nota fora divulgada, desta feita para informar que os sistemas computacionais da Diretoria Acadêmica (DAC), do Serviço de Apoio ao Estudante (SAE), do Grupo Gestor de Tecnologias Educacionais (GGTE) e do Centro de Computação (CCUEC) estariam operando temporariamente de forma limitada.
Nesta ocasião a Unicamp informou que alguns sistemas estariam inoperantes e que voltariam a funcionar apenas no início da próxima semana, podendo ser acessados por computadores conectados à rede cabeada da Unicamp ou, remotamente, por meio de rede privada virtual (VPN). Como medida de segurança, dispositivos conectados à rede sem fio não tiveram acesso aos sistemas.
A terceira nota foi publicada no site da Unicamp ontem, dia 26 de janeiro, e deu conta de que, por motivos de segurança, todos os usuários dos sistemas corporativos da universidade deverão trocar sua senha (@unicamp.br), sendo que alguns docentes e funcionários terão suas contas bloqueadas e deverão procurar o representante de usuários local de sua unidade/órgão para restaurar o acesso.
A nota também alerta os coordenadores de cursos de graduação que já estão trabalhando no sistema acadêmico de que suas contas foram bloqueadas e que terão que procurar seus representantes de unidade para obter fisicamente uma nova senha. Não há previsão de quando os sistemas voltarão a operar normalmente.
Volume e qualidade dos dados vazados
A Universidade Estadual de Campinas (Unicamp) é uma universidade pública do estado de São Paulo, considerada uma das melhores universidades do país. Possui aproximadamente 8400 funcionários técnico-administrativos, 2150 docentes e mais de 35 mil estudantes. Ou seja, estamos diante de um vazamento de dados privados de mais de 45 mil pessoas, entre estudantes e funcionários.
Ainda não houve discriminação de quais informações caíram em mãos alheias, mas basta uma breve análise da página da Diretoria de Recursos Humanos da universidade para termos uma ideia de quão amplos e privados podem ser os dados vazados.
No caso, o setor gerencia toda a vida do funcionário, desde o seu ingresso via concurso público, como todos os demais dados sobre carreira, pagamentos, benefícios, licenças, afastamentos, aposentadoria e desligamentos. Toda a rotina administrativa de pessoal, jornada de trabalho, dados cadastrais pessoais, demonstrativos de pagamentos, IR, contagem de tempo de trabalho e avaliações médicas. No caso, toda a trajetória profissional na Unicamp.
Em relação ao aluno, sua vida acadêmica está nas mãos da universidade, o que inclui, dentre outros, dados coletados quando da matrícula, como nome completo, números de documentos pessoais, endereço, números de contatos telefônicos.
A quantidade e a qualidade dos dados, portanto, não pode ser menosprezada e, no caso, estavam na posse do poder público.
O poder público e a LGPD
O setor público, em seus diversos poderes e entes federativos, tratam dados pessoais dos cidadãos para a execução de políticas públicas e fornecimento de serviços. O aprimoramento da tecnologia faz com que o volume destes dados aumente vertiginosamente. Só isso já justificaria que as informações recebessem atenção diferenciada e sob uma perspectiva distinta.
A LGPD, no caso, abrange empresas públicas que atuam em regime de mercado ou no processo de execução de políticas públicas, incluindo as IES. Em se tratando de órgãos públicos a nova lei ainda precisa estar integrada à Lei de Acesso à informação (LAI) que trata, entre outros assuntos, da divulgação de informações de interesse público, independentemente de solicitações, como difusão da cultura de transparência na administração pública.
De acordo com o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov.), até outubro de 2019 ocorreram mais de 9 mil incidentes de vazamentos de informações provenientes de órgãos ou entidades públicas, demonstrando que o setor público - assim como o privado – ainda tem muito o que aprender em relação aos vazamentos de dados.
Vale ressaltar que órgãos públicos não estarão sujeitos às sanções de multas da LGPD, apenas a advertências e a eliminação de dados, o que não impede a punição de servidores comprometidos e as penalidades previstas na Lei de Acesso à Informação.
Leia também sobre a Lei Geral de Proteção de Dados:
Retornando ao vazamento de dados privados na Unicamp, a universidade montou equipe para identificar o que provocou o incidente, mas até agora não deu maiores informações a respeito de quais tipos de dados foram parar nas mãos dos responsáveis pelo ataque.
Afirmou, por fim, que manterá a comunidade informada sobre as novidades na investigação do caso e na tarefa de contenção dos danos.
Gostou desta notícia? Faça parte de nossa lista de e-mail para receber regularmente notícias como esta e artigos de seu interesse.
Fazendo seu cadastro você também pode receber mais informações sobre nossos cursos: em março de 2020 teremos o curso de Direito de Informação e Proteção de Dados nas Instituições de Ensino. Em breve também faremos nossos encontros sobre Direito Educacional.