Notícias sobre vazamento de dados têm sido corriqueiras. Considerando este cenário, a Lei Geral de Proteção de Dados exige que o controlador, em caso de incidente de segurança, especialmente com potencial de risco ou lesivo aos titulares de dados, comunique a estes titulares e à autoridade nacional a respeito.
Tal comunicação, conforme exigência legal, deve ser realizada em prazo razoável e deverá conter, no mínimo, a natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação de medidas mitigadoras e de segurança utilizadas para a proteção dos dados, os riscos envolvidos no acidente e, caso a comunicação não seja imediata, as razões da demora.
A LGPD, porém, não define o que seria considerado um “incidente de segurança” e não delimita o que seria um incidente com potencial de risco, deixando tais parâmetros para a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
Como ainda não há regulamentação adequada, seguimos as direções do Regulamento Geral Europeu de Proteção de Dados Pessoais (GDPR), que define “violação de dados pessoais” - ou incidente de segurança - como:
“(...) uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento (...)”.
Até agora a fiscalização dos incidentes de segurança tem sido realizada pelo Comitê de Proteção dos Dados Pessoais do MP do DF justamente em razão da demora na criação da ANPD. Este Comitê editou, inclusive, um formulário de Comunicação de Incidente, sendo que há inúmeros casos sob investigação.
Incidentes de segurança ou violações de dados pessoais
Um ótimo exemplo de incidente de segurança foi o que ocorreu na UEESP, expondo milhares de universitários paulistas, tendo sido reportado pela publicação The Hack em novembro de 2019.
No caso, a União Estadual de Estudantes de São Paulo (UEESP) havia encomendado de um terceiro a plataforma para que os estudantes pudessem requerer a carteira que dá direito a descontos e benefícios. Ocorre que, por uma configuração inapropriada, qualquer usuário do serviço que soubesse o endereço específico do servidor teria acesso aos arquivos armazenados.
O Documento do Estudante, que era solicitado pelo site, hoje possui dupla função: serve como comprovação de matrícula universitária e também como cartão de crédito pré-pago, que pode ser recarregado pela internet e utilizado para realizar pagamentos em máquinas de cartão tradicionais. No caso, o estudante, para obtê-la, faz um registro, paga a taxa respectiva e prova que está matriculado em curso superior.
A plataforma possuía uma imensa quantidade de dados dos usuários, já que possibilitava pedido de novos cartões e recargas, dentre eles, segundo a informação do The Hack, cópias digitalizadas de RGs, CNHs, Documentos digitais de Estudante (com nome, foto, instituição de ensino, CPF e data de nascimento), boletos de mensalidades escolares e atestados de matrículas. Informações pessoais, como endereço completo, e-mail e telefone do universitário estavam todas disponíveis.
A vulnerabilidade, no caso, não foi sanada tão imediatamente e provavelmente foi fruto de falta de especialização dos profissionais do mercado de cloud que prestaram serviço para a entidade estudantil.
Outro exemplo de falha na proteção a dados pessoais alheios deu-se com a Consiga Cred, que representa 50 bancos e oferece serviços financeiros. A empresa expôs informações bancárias de mais de 1,4 milhão de brasileiros, conforme apurado também pelo site The Hack.
Neste caso o erro foi ainda mais básico, pois o sistema de gestão da companhia possuía um diretório público que armazenava planilhas no formato CSV, repleta de dados de clientes. Bastava ter em mãos o endereço do diretório e fazer download dos documentos. A URL ainda era indexada pelos mecanismos de busca e poderia ser encontrada por uma simples pesquisa no Google.
Segundo a The Hack quase 1 milhão e meio de brasileiros foram afetados pelo vazamento e tiveram dados pessoais e bancários expostos, possibilitando que criminosos se passassem pela empresa e pudessem aplicar golpes com facilidade.
Mais um caso de exposição de dados denunciado foi o da concessionária responsável pela administração da Linha 4-Amarela do Metrô de São Paulo, a ViaQuatro: mais de 10 mil usuários da Linha 4 do Metrô de SP tiveram seus dados revelados. Investigações sobre a falha mostraram que os dados pessoais estavam sendo desvelados durante três anos.
Nome completo, RG, CPF, e-mail, data de nascimento, número do telefone, endereço completo com CEP e, em alguns casos, senha, o que permitiria campanhas de phishing bastante elaboradas, estavam sendo captados.
O phishing, interessante definir, é o termo que designa as tentativas de obtenção de informação pessoalmente identificável através de uma ofuscação de identidade por parte de criminosos em contextos informáticos. A palavra é um neologismo a partir do inglês fishing (pesca) devido à semelhança entre as duas técnicas, servindo-se de uma isca para apanhar uma vítima.
Normalmente ocorre via falsificação de comunicação eletrônica – e-mail ou mensagens, na qual o criminoso se faz passar pelo remetente original, incitando a vítima a preencher campos de dados como nomes, chaves de acesso ou detalhes bancários. O usuário crê navegar nos portais de instituições bancárias, por exemplo, que podem também conter ligações com sites infectados e que instalam softwares maliciosos no seu sistema, servindo de plataforma para outros tipos de ataques.
A criação de legislação, educação e sensibilização do público e a implementação de melhorias nas técnicas de segurança são opções para contornar o phishing, golpe relativamente simples e barato, popular por sua simplicidade e eficácia.
Infelizmente o Brasil ocupa a posição de líder mundial em ataques de phishing. Em 2017 quase 30% dos usuários brasileiros sofreram ao menos uma tentativa de golpe; o índice caiu para 23% em 2018, mas a posição brasileira continua intacta.
Esse tipo de exposição indevida causa prejuízos financeiros e morais incalculáveis. Com a iminente chegada da Lei Geral de Proteção de Dados (LGPD), em vigor no próximo agosto, as penalidades para quem descuidar dos dados de seus clientes ficarão mais pesadas.
Enfim, neste artigo apresentamos resumidamente três exemplos atuais de exposições ilícitas de dados. Inúmeros outros casos têm ocorrido no país e já são de amplo conhecimento do público. Essa profusão de vazamentos demonstra que ainda há brechas críticas nas empresas em relação ao acesso e armazenamento de informações. Demostra também que a LGPD é realmente importante para minimizar novas falhas, já que prevê multas (algumas bastante altas) às empresas que não tomarem as devidas precauções com a privacidade de seus clientes.
A par da vigência da lei, precisamos da implementação da agência que será responsável por essa gestão, de forma a regular todo o processo com o devido caráter técnico e fiscalizar o cumprimento da norma. A boa notícia é a previsão de que o governo antecipe a criação da ANPD. O decreto que estrutura o órgão já foi enviado pelo Ministério da Economia à Casa Civil.
Apesar de a matéria estar fora das preocupações de algumas empresas, o Brasil precisa da Lei Geral de Proteção de Dados. Aos gestores, cabe compreender a importância deste passo e adequar seus ambientes para o novo cenário regulatório.
Gostou deste texto? Faça parte de nossa lista de email para receber regularmente artigos como esse e notícias de seu interesse. Fazendo seu cadastro você também pode receber mais informações sobre nossos cursos: em março de 2020 teremos o curso de Direito de Informação e Proteção de Dados nas Instituições de Ensino. Em abril faremos nossos encontros sobre Direito Educacional.