A lei brasileira sobre tratamento de dados pessoais —a LGPD (Lei Geral de Proteção de Dados)— só começa a vigorar em agosto do ano que vem. Ela traz as punições para quem deixa vazar, sem querer ou não, informações sensíveis sem o consentimento dos usuários. Mas nesse meio tempo, o que acontece com quem cai neste erro?
Não
precisa imaginar muito, pois na semana passada surgiram duas grandes
denúncias de vazamentos de dados pessoais de cidadãos brasileiros.
O
primeiro foi uma vulnerabilidade no sistema do Detran do Rio Grande do
Norte, que permitiu acesso a dados de cerca de 70 milhões de pessoas
—supostamente são de todos os brasileiros com carteira de motorista ou
veículo registrado.
O segundo vazamento é uma base de dados que conteria perfis de 92 milhões de brasileiros que foi posta em leilão na deep web.
A
brecha do Detran-RN, descoberta por um pesquisador de segurança da
informação, foi confirmada pelo órgão. Dados pessoais como RG, CPF,
dados da CNH, data de nascimento, foto e endereço residencial completo
teriam ficado acessíveis em uma busca que podia ser feita usando apenas o
CPF da pessoa.
A
assessoria de comunicação do Detran-RN disse que a falha foi corrigida
na terça-feira passada (8). Um processo administrativo também foi
aberto. A direção do órgão está apurando o alcance da falha e
averiguando quais dados foram expostos, por quanto tempo, e se houve
acessos em série à página.
O segundo vazamento veio à tona por conta de uma denúncia que apareceu na conta de Twitter Breach Radar, que analisa casos de cibersegurança. O banco de dados de 92 milhões de brasileiros estaria em um arquivo de 16 GB com telefones, endereços físicos, endereços de email, profissão, grau de instrução e outras informações.
A
origem dos dados ainda não está clara, apesar de os anunciantes dizerem
que é uma base de dados "do governo". Uma reportagem do portal "Bleeping
Computer" comparou uma amostra do arquivo com a checagem de CPF do
portal da Receita Federal e garantiu que os dados batem. O preço inicial
do leilão pelo banco de dados é de US$ 15 mil, com acréscimo de US$ 1
mil dólares por cada lance adicional.
A mineração e revenda de dados pessoais já se estabeleceu na deep
web como um modelo de negócios rentável e destrutivo: estima-se que o
cibercrime deverá gerar em 2021 um prejuízo de US$ 6 trilhões, segundo a
Herjavec Group, consultoria de segurança cibernética.
Isso é muito sério?
Apesar
dos dois vazamentos terem ocorrido em um intervalo de poucos dias, o
especialista Daniel Barbosa, da empresa de segurança digital Eset, crê que não se pode relacioná-las. Mas não deixam de ser muito sérias.
"Ambas
as falhas expuseram dados como nome, RG, data de nascimento e endereço
de usuários de várias partes do país. Estas informações são extremamente
sensíveis, o que mostra a seriedade das duas situações", explica.
Atualmente o órgão do governo federal mais importante sobre ciberameaças é o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), subordinado ao Gabinete de Segurança Institucional (GSI).
Dos
variados problemas cibernéticos que páginas do governo sofrem (de abuso
de site a ataques com malware) os vazamentos de dados cresceram 19
vezes nos últimos seis anos e se tornaram o segundo problema mais comum
da segurança digital do governo.
A culpa é de quem?
O
caso do Detran-RN poderia ser enquadrado na Lei Geral de Proteção de
Dados pois se trata de dado pessoal "tratado por pessoa física ou
jurídica pública (governo) ou privada (empresa)". O problema é que, como
dissemos, a LGPD só entra em vigor em agosto de 2020. E aí?
Já
há leis que responsabilizam quem vazou e repara os cidadãos que se
sentirem lesados. Quando a LGPD passar a valer, multas e sanções poderão
ser aplicadas diretamente a entidades municipais, estaduais ou
federais. Um órgão novo chamado ANPD (Autoridade Nacional de Proteção de
Dados) ficará a cargo disso.
Segundo Gisele Truzzi, advogada de direito digital da Truzzi
Advogados, a privacidade já é garantida hoje pela Constituição Federal
(art. 5º, inciso X). O Marco Civil da internet (Lei 12.965/14) também
coloca a privacidade e a proteção dos dados pessoais como um dos
princípios norteadores no uso da internet no Brasil (art. 3º, incisos II
e III).
Se
a LGPD estivesse em vigor, seria preciso entender uma série de fatores
para aplicar as penas. "Se a prevenção era adequada, com políticas de
segurança e protocolos de respostas a incidentes, e mesmo assim houve a
violação, a responsabilidade da entidade seria bem menor", pontuou o
advogado Diego Borba, consultor de segurança digital da Nielsen.
Assim
que a LGPD estiver em vigência, a futura vítima de um incidente desse
tipo poderá denunciar o fato à ANPD e ao setor responsável pelo
tratamento de dados do órgão público.
Não
foi o caso aqui, mas lembramos ainda que empresas privadas responsáveis
por vazamentos de dados sensíveis receberão, pela LGPD, multas de até
2% do seu faturamento até o limite de R$ 50 milhões.
O que faço se fui vítima desses atuais vazamentos?
Os conselhos da especialista Gisele Truzzi são os seguintes:
1)
Coletar todas as provas do incidente (capturas de tela do site
governamental onde seus dados estão expostos, ou de sites que efetuam
essa consulta; matérias jornalísticas que relataram o fato) e apresentar
documentos pessoais e informações próprias relacionadas à ocorrência,
para comprovar que os dados são autênticos (por exemplo: CNH, documento
do veículo, RG, CPF, comprovante de residência, etc.)
2)
Criar uma ata notarial em qualquer cartório. Basta informar os links da
internet que possuem os dados expostos publicamente. O Tabelião irá
descrever o que pode ser visualizado naquele site e inserirá um print de
imagem do conteúdo exposto. A ata é uma prova 100% válida em processos
judiciais
3) Obter uma prova de conteúdo digital, extraído diretamente pelo cidadão em sites que oferecem esse serviço usando tecnologia blockchain, como por exemplo o Pacweb. Esse tipo de prova acaba sendo mais barata e mais rápida do que a ata notarial, e também é válida juridicamente.
De
posse de toda essa documentação, o cidadão poderá procurar o Ministério
Público ou Defensoria Pública em seu município, ou também buscar um
advogado particular para entrar com uma ação judicial contra o órgão
federal.
O que eu poderia ter feito para evitar?
Os
vazamentos provavelmente ocorreram por erro ou falha de segurança do
Detran e do governo federal, e nós, usuários, não podíamos ter evitado
isso a princípio. De qualquer forma, o especialista da Eset Daniel Barbosa deu algumas recomendações gerais de segurança aos usuários, que não custa serem seguidas:
- Manter aplicativos, sistemas operacionais e programas sempre atualizados,
- Instalar uma boa solução de segurança da informação no aparelho
- Redobrar a atenção com quais dados são compartilhados virtualmente
- Verificar as configurações de privacidade de seus aplicativos e utilizar senhas longas e complexas
- Caso seja vítima de um ataque, nunca negocie com cibercriminosos e busque ajuda
Fonte: UOL Tecnologia
Nenhum comentário:
Postar um comentário