Vazamentos de dados, reflexões e orientações em tempos de pandemia

Começamos o ano de 2021 com várias notícias sobre vazamento de grande volume de dados, ganhando espaço na mídia, diante do cenário da pandemia que assola o mundo e da situação que o país vive no momento.

Isso vem gerando muita preocupação e desconfiança da população em geral, pois repercute nos direitos de privacidade e proteção de suas informações e dados pessoais por parte dos agentes de tratamento, isto é, órgãos da administração pública e empresas privadas.

Relatos de mais de 223,74 milhões de informações e dados pessoais de pessoas vivas e até de pessoas mortas estarem expostas, leva a uma reflexão sobre como esses dados vazaram e foram compilados.

Hipóteses foram levantadas de como os vazamentos dos dados aconteceram e colocamos alguns aspectos para que o leitor possa refletir sobre a origem dessas informações.

Incidentes de vazamento

Os incidentes de vazamento podem resultar de vulnerabilidades existentes em sistemas das empresas que permitem acessar dados de maneira granular, mas efetiva. Com a pandemia, muitas soluções de aplicativos foram desenvolvidas para atender demandas de maneira virtual, remota, incluindo benefícios sociais. O momento atual é de digitalização dos negócios, muito acelerada pela pandemia mundial, o que implica em restrições de mobilidade, isolamento social etc. Com isso, o uso mais intenso, pode levar a evidenciar falha no sistema, que em condições de uso normal não ocorreria.

Se o sistema não foi bem projetado e desenvolvido, certas situações podem levar a manifestar a vulnerabilidade. Como em algumas situações que determinadas pessoas têm em suas células predisposição a certas doenças. Em determinadas condições, um gatilho pode disparar a manifestação da doença, e, da mesma forma, assim pode ocorrer com o aplicativo.

Ademais, com o crescente uso de soluções digitais, a criminalidade também tem um nicho muito interessante para explorar e usar a tecnologia para praticar delitos. Grande parte daqueles que atuam no cibercrime adquirem os dados pessoais dos titulares comprando de hackers, que também são cibercriminosos, pelas vias da deep web (redes de acesso paralelas à internet). De posse dos dados, os criminosos podem abrir contas em bancos digitais, criar identidades falsas para solicitar benefícios sociais do Estado, expor e destruir reputações alheias, simular relacionamentos à distância para a prática de golpes e extorsão, e o mais grave de tudo, sequestrar dados e informações sensíveis das pessoas, pedindo resgate em criptomoedas sob pena de exposição pública.

Não por acaso os crimes virtuais têm aumentado, e isso está associado à maior digitalização da sociedade, o que será uma tendência daqui por diante, mesmo no pós-pandemia. O Poder Público e a iniciativa privada (empresas) identificaram na coleta e tratamento de dados uma oportunidade de reunir informações, desenhar políticas, ações e estratégias de negócios, de maneira mais rápida, eficiente e até barata. Investir em tecnologia e, particularmente, em eficientes mecanismos de tratamento de dados, reduz custos e despesas, e mais do que isso, geram ativos economicamente valoráveis para o controlador. Dados pessoais, além de contar histórias, representam riqueza.

Assim, um aplicativo sem histórico de vulnerabilidade não é garantia de que seja totalmente seguro e, sim, que as condições e/ou estímulo não ocorreram.

Outro ponto que deve ser analisado é o vazamento de grande volume de dados por parte de colaboradores, terceiros ou parceiros de organizações, que com acesso a essas informações, boa parte offline, sem controle de rastreabilidade e replicação, podem acabar sendo expostos de maneira não intencional. Isso é possível constatar na falta de adequada configuração da base dados de empresas serem acessíveis a terceiros por política de acesso implementada de maneira errada.

Controle do acesso das informações

Neste aspecto, o controle do acesso das informações é fundamental, bem como da rastreabilidade e análise de logs de acessos. O papel da análise de logs de acessos é importante, pois garante que a política está adequada e possibilita identificar problemas de implementação de acesso, permitindo a adequação.

Em setembro de 2020 entrou em vigor no Brasil a Lei Geral de Proteção de Dados (LGPD) – Lei n. 13.709/2018. Seu objetivo, em linhas gerais, é fazer valer o direito de privacidade das pessoas naturais sobre seus dados pessoais, especialmente sobre o tratamento que é feito destes dados, muitas vezes, de forma inadvertida e não consentida pela pessoa, titular do dado. A lei empodera o titular dos dados, conferindo a ele uma série de direitos, pois é ele quem determina as condições em que seus dados pessoais serão utilizados e compartilhados por parte das empresas e até mesmo da Administração Pública. Direitos como, o acesso aos dados; a correção e atualização dos dados pessoais anteriormente fornecidos; a revogação do consentimento quanto ao uso dos dados; a oposição ao compartilhamento de seus dados pessoais; a portabilidade dos dados e, especialmente, o direito de peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD) quando tiver algum dos direitos mencionados desrespeitados por um controlador (empresa ou órgão da administração pública, basicamente).

A partir de agosto próximo, a ANPD poderá, de acordo com a LGPD, abrir procedimentos administrativos de apuração de incidentes de vazamento de dados pessoais, aplicando sanções aos agentes de tratamento que tiverem desrespeitado a própria lei, ou que forem responsabilizados pelo incidente. As sanções podem implicar desde advertência até multa de 2% do faturamento bruto da empresa até o limite de cinquenta milhões de reais.

Assim, é fundamental que todos, desde o titular dos dados até as empresas e o Poder Público adquiram uma cultura sobre proteção de dados no Brasil, a começar pelo conhecimento da LGPD. Os primeiros, conhecendo e exercendo seus direitos previstos em lei, e os segundos, na busca da implantação de programas de governança em proteção de dados e segurança da informação, preparando-se para os inevitáveis incidentes de vazamentos, pois, como visto neste texto, certamente ocorrerão.

 

*Sérgio Yoshioka, é coordenador de Graduação em Engenharia da Computação e Análise Desenvolvimento de Sistemas e Kleber Cavalcanti Stefano, é coordenador de Graduação em Direito, ambos no Centro Universitário Salesiano de São Paulo – UNISAL.