Recentemente, foi revelado um dos maiores vazamentos de dados registrado no Brasil. Informações pessoais de 220 milhões de brasileiros, como CPFs, endereços, dados financeiros e até fotos, foram expostos. Sobre o assunto, o DJ conversou com especialistas na área, como a advogada Bárbara Breda Faber, que integra a Comissão de Direito Digital da 35ª Subseção da OAB em Limeira, e Jefferson Penteado, CEO da BluePex, empresa referência na área de segurança digital. O advogado Enrico Gutierres, da Greve Pejon Sociedade de Advogados, também escreveu artigo onde aborda o vazamento de dados.
No âmbito policial, o caso é investigado pela Polícia Civil de São Paulo, que recebeu demanda da Fundação de Proteção e Defesa do Consumidor (Procon). De acordo com Bárbara, medidas legais podem ser aplicadas contra a instituição responsável pelo armazenamento dos dados, com base na Lei Geral de Proteção de Dados (LGPD). “A responsabilidade decorre da violação da Lei Geral de Proteção de Dados e não pelo próprio vazamento em si, então se for constatado que um cracker conseguiu invadir o sistema pela empresa não adotar as medidas previstas em lei, ela poderá ser responsabilizada na esfera cível, criminal ou administrativa, conforme os danos causados. As penalidades previstas na Lei 13.709/2018, a LGPD, a serem aplicadas pela Autoridade Nacional de Proteção de Dados [ANPD] são as seguintes: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu 7 último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração; multa diária; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Nos termos da lei, a aplicação de sanções requer, ainda, criteriosa apreciação e ponderação de inúmeras circunstâncias, dentre as quais a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas de governança e a pronta adoção de medidas corretivas”, detalhou.
Porém, até que se descubra os responsáveis pelo vazamento das informações, o impacto para as pessoas que tiveram dados compartilhados pode ser “brutal”, como a própria advogada menciona. Entre os prejuízos, Bárbara cita que os dados podem ser vendidos na internet para roubo de identidade e criminosos podem realizar compras online ou cometer crimes virtuais. “Ainda, os titulares dos dados podem sofrer ataques de engenharia social, ou seja, usam informações sobre você para te enganar, como por exemplo, o envio por e-mail ou SMS de faturas falsas, parecendo muito verdadeiras pela grande quantidade de informações que os criminosos possuem, como o seu nome completo, seu CPF, endereço, telefone ou e-mail”, completou.
Mesmo com volume altíssimo de informações vazadas, é possível que as vítimas apenas descubram que seus dados foram compartilhados quando se tornam vítimas de outros crimes que surgem em consequência do vazamento. Bárbara dá uma dica para quem deseja saber se foi vítima. “Existe o site https://fuivazado.com.br/ que declara ter como única e exclusiva finalidade servir de consulta para que todos afetados pelo vazamento saibam se seus dados foram vazados e quais foram. No entanto, o site informa armazenar CPF, nome completo, data de nascimento, sexo/gênero e uma lista de 37 itens onde somente informam se o dado vazou ou não, declarando que o site não possui nenhum outro dado sobre nenhum desses 37 itens. O uso do site ainda é polêmico, pois o usuário estaria deixando mais informações no site por curiosidade de saber quais dos seus dados foram vazados”, orientou.
Caso você suspeite que suas informações pessoais estão na lista dos dados compartilhados, a orientação é que procure um advogado. “O ideal é redobrar a atenção e desconfiar de todos os links e faturas recebidos no e-mail, SMS ou Correios. Busque-as pelo aplicativo ou site oficial. Caso você seja vítima de roubo de identidade, perceba movimentações estranhas nas suas contas ou sofra outros danos decorrentes do vazamento de dados, procure um advogado para auxiliá-lo”, finalizou Bárbara.
“Maior parte dos ataques é porque as pessoas não fazem o básico”, diz CEO da BluePex
“Por incrível que pareça, a maior parte dos ataques é porque as pessoas ou empresas não fazem o básico, o ‘bê-á-bá’, o ‘feijão com arroz’”. A frase é de Jefferson Penteado, CEO da BluePex, empresa sediada em Limeira e referência na área de segurança digital.
Para o empresário, se todos fizerem o mínimo, a situação para os criminosos virtuais se tornará mais difícil. E o básico, conforme ele, envolve situações como:
Sistema operacional atualizado;
Antivírus instalado, configurado e ativado – “muitas pessoas têm o péssimo costume de desabilitar a verificação em tempo real dos antivírus”;
Dupla autenticação em dispositivos como celulares, tablets, desktops e também nos softwares como WhatsApp.
“Isso é o mínimo do mínimo. Você não vai para sua casa e deixa a porta aberta. Você a encosta e fecha com a chave, não é isso? Na sua casa, você recebe quem não conhece? E por que na internet você aceita qualquer um?”, ilustrou Jefferson.
Sobre o ataque que resultou o vazamento de milhões de dados, o empresário informou que trata-se de uma ação direcionada e sofisticada. “Foi um ataque direcionado e, com isso, bem mais sofisticado. Não é algo tão trivial e deve ter levado dias ou mesmo semanas para que fosse executado e não foi feito por amadores. Diferente dos ataques mais tradicionais que podem ser evitados com ações simples e acessíveis, o ataque mencionado demanda investimentos e atenções em segurança bem maiores. Como qualquer outro item de valor, quanto maior é o valor dos seus dados, maior é o custo necessário para protegê-lo. isso é fato”, pontuou.
Com o advento do home office, Jefferson explica ainda que muitas empresas fizeram a migração de funcionários para suas residências. “Mas não tendo o mesmo tipo de controle que possuía na empresa, então é necessário que ela dê atenção para isso. A equipe de TI das empresas deve avaliar como estes profissionais estão utilizando o computador em sua residência, ao menos o básico tem que ser monitorado, como mencionei anteriormente, ou seja, sistema operacional atualizado e antivírus, por exemplo. Outro grande ponto de entrada de ransomwares – criptografia de dados com pedido de resgate para liberação – é através de e-mail corporativo. Deve-se avaliar se a empresa possui um bom sistema antispam ajudando nesse papel. Implementação de VPN [túneis] que façam que os acessos à internet dos profissionais em home office passem pela rede da empresa, também ajuda no controle e proteção. Não existe uma ‘bala de prata’ em segurança da informação. O ataque mais comum hoje é a clonagem de celular, no qual o hacker não usa nenhuma ferramenta além de engenharia social, ou seja, ele induz a própria vítima ao erro pedindo pra ela passar o código. A conscientização do usuário e o uso das ferramentas básicas ainda é o melhor caminho para a proteção”, finalizou.
O vazamento de dados pessoais, suas consequências e seus perigos
Por Enrico Gutierres
Em janeiro, o vazamento de dados pessoais de 220 milhões de brasileiros, de 104 milhões de veículos e de 40 milhões de empresas, levou entidades como a Secretaria Nacional do Consumidor (SENACON) e o PROCON-SP a iniciarem uma investigação prévia para apurar a empresa que teve o banco de dados vazado.
Resultados preliminares apontam que os vazamentos contêm, entre outras informações, o “score de crédito” dos titulares, um ranking criado e mantido pela Serasa Experian. Por este motivo, o PROCON-SP questionou a empresa sobre a ocorrência ou não do vazamento de seu banco de dados. Em caso de resposta positiva, a Serasa Experian deverá informar as falhas que ocasionaram o incidente, as medidas para reparar os danos decorrentes do vazamento e o que fará para evitar novos casos.
Além do PROCON e da SENACON, passaram a investigar o caso o Ministério Público e a Autoridade Nacional de Proteção de Dados (ANPD).
A Lei Geral de Proteção de Dados (LGPD), embora esteja em vigor desde 18 de setembro de 2020, prevê a aplicação de sanções administrativas (multas) em casos de incidentes envolvendo dados pessoais somente a partir de agosto. Portanto, caso seja comprovado que o vazamento dos dados foi proveniente da Serasa Experian, a empresa não poderá ser multada. Devido a este cenário, o PROCON já indicou que poderá aplicar multa com base no Código de Defesa do Consumidor.
Tendo em visto do ocorrido, ainda aguardamos muitas respostas. Se multas forem aplicadas, estas serão revertidas em forma de indenizações aos mais de 220 milhões de brasileiros que tiveram seus dados pessoais expostos indevidamente? Os titulares dos dados terão que criar uma avalanche de novas demandas judiciais para se verem ressarcidos pelos prejuízos experimentados?
E mais. Se for comprovado que os dados vazados não forem provenientes dos arquivos da Serasa Experian, quem irá reparar os danos da empresa? Ela foi “lançada aos leões” perante a mídia em geral, sem que se tivesse a conclusão da investigação e que pudesse se defender.
Falemos ainda da ANPD, criada justamente para regular a proteção de dados no Brasil. Será extremamente eficiente como foi nesse caso, se pronunciando somente mais de 10 dias após o ocorrido, para informar que ainda irá apurar a questão?
Certamente até o final da apuração, a empresa apontada como responsável pelo incidente já terá prejuízos astronômicos de imagem perante a sociedade. Se for a culpada, menos pior. Mas e se a conclusão da investigação for de que a empresa não teve qualquer relação com o incidente de segurança? Foi justo e legal o que ocorreu?
Infelizmente o que nos parece é que a Proteção de Dados, tutelada pela LGPD, trata-se de uma legislação extremamente importante, atual e que veio para mudar paradigmas e a forma de pensar de pessoas física e jurídicas no Brasil. Mas, que até o momento, vem sendo tratada por entidades e pessoas totalmente despreparadas para lidarem com a proteção de dados e todas as consequências que envolvem a aplicação de suas regras.
Enrico Gutierres é advogado do escritório Greve • Pejon Sociedade de Advogados
Deixe uma resposta