*Imagem: Gerd Altmann ; CC BY.
Por Martha Leal *
A sociedade brasileira, recentemente, foi surpreendida com a notícia de um mega vazamento de mais de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos, além de dados de algumas das maiores autoridades públicas do país.
Até o presente momento desconhecemos maiores detalhes acerca da origem dessas informações e segundo uma das empresas que identificou o vazamento, os dados se referem ao nome, sexo, data de nascimento, CPF, salário, escore de crédito consultado por ocasião de compras em lojas de clientes cujos dados foram vazados, benefícios do INSS e programas sociais, a exemplo do Bolsa Família, imagens de rostos, endereços, imposto de renda de pessoas físicas, dados relativos a servidores públicos e até mesmo informações do LinkedIn, além de uma tabela com dados de veículos.
A origem do vazamento até então é desconhecida, entretanto, é incontroverso que o mesmo tenha ocorrido, pois os arquivos foram ofertados pelo criminoso na Internet, sendo que conforme a empresa de Segurança da Informação Syhunt, um dos arquivos seria um catálogo de todas as informações que estão em poder do hacker.
A Autoridade Nacional de Proteção de Dados (ANPD) responsável pela aplicação da Lei Geral de Proteção de Dados (LGPD) manifestou-se no sentido de que está apurando tecnicamente informações sobre o incidente, comprometendo-se a atuar de forma cooperativa com os órgãos de investigação competentes para apuração da origem e forma em que se deu o vazamento, as medidas de contenção e de mitigação adotadas no plano de contingência.
Esclarece-se que invasão em sistemas pode ocorrer de forma variada e entende-se que no caso específico tenha ocorrido a partir de mais de uma fonte, já que dados relacionados ao imposto de renda são restritos e estão vinculados a órgãos governamentais, por exemplo.
Não há dúvida de que cada vez mais os titulares de dados estarão no alvo deste tipo de ataque, sem esquecer dos agentes de tratamento de dados, levando-se em consideração que vivemos numa economia na qual os dados possuem elevado valor e o avanço das Tecnologias da Informação e Comunicação (TICs) nos impõe desafios sem precedentes.
Dadas essas considerações, a premissa de qual partimos é: quando ocorrerá o próximo vazamento? E, sob a ótica da organização que for vítima da invasão aos dados pessoais que estão sob sua responsabilidade, quais medidas iniciais devem ser tomadas para mitigar o possível dano tanto reputacional quanto financeiro.
Não há dúvida de que quanto maior o amadurecimento da organização com relação ao processo de adequação à Lei Geral de Proteção de Dados, maior facilidade terá nas etapas subsequentes à determinação do incidente de segurança, tal qual a LGPD exige.
No que se refere à Segurança da Informação, qualquer empresa ou órgão público que detenha informações pessoais está obrigada por força do art. 46 da LGPD a garantir a integridade, adotando medidas de segurança a fim de evitar acessos inadequados e qualquer outro tratamento ilícito.
O controlador, portanto, deve comunicar à ANPD e ao titular a ocorrência do incidente de segurança, devendo esta comunicação conter informações mínimas, tais como a descrição da natureza dos dados afetados, informações sobre os titulares envolvidos, a indicação de medidas técnicas e de segurança utilizadas, os riscos relacionados ao incidente e as medidas que foram ou serão tomadas para mitigar o prejuízo.
A capacidade do controlador em demonstrar o comprometimento na adoção dos cuidados técnicos (jurídico e tecnológico), documentais e organizacionais, tanto para a ANPD quanto para os titulares envolvidos, será de suma importância na apuração das sanções administrativas e na percepção do titular de dados com relação ao cuidado ou descuido do controlador para com seus dados.
Dados são um ativo valioso na nossa economia e como tal demandam cuidado e investimento sob pena de se tornarem um passivo para as organizações públicas ou privadas.
*Martha Leal, advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD)
Comments