Vazamentos de dados aumentaram 493% no Brasil, segundo MIT.

Dados talvez sejam, hoje, o commodity mais desejado na era digital; o efeito prático decorrente deste fato é que, quanto maior o volume de dados “controlados” por determinada pessoa ou empresa, maior o poder que ela exercerá em uma economia movida a dados. Por conta disso, os vazamentos de dados decorrentes de incidentes de segurança e de usos ilegais desses dados na deep web têm se tornado cada vez mais frequentes, principalmente no Brasil.

Foto por ThisIsEngineering em Pexels.com

Uma pesquisa recente do Massachusetts Institute of Technology (“MIT”) publicada no Journal of Data and Information Quality da ACM (Association for Computing Machinery) aponta que vazamentos de dados aumentaram 493% no Brasil, sendo que mais de 205 milhões de dados de brasileiros vazaram de forma criminosa em 2019. Em número de incidentes relevantes, o país saltou de 3, em 2018, para 16 em 2019, de acordo com a pesquisa.

Esses dados contemplam os dois megavazamentos noticiados recentemente pela empresa de segurança cibernética PSafe, ocorridos no Brasil: (i) um envolvendo 223 milhões de CPFs, contendo dados de pessoas vivas e falecidas, como identidades e datas de nascimento, bem como informações de 104 milhões de veículos e de 40 milhões de empresas, como CNPJ, razão social, nome fantasia e data de constituição; e (ii) outro que revelou informações detalhadas de 140 milhões de pessoas, como telefone, formação acadêmica, salário, endereços, se a pessoa mudou de cidade e fotos. As informações ficaram expostas durante meses ou anos, e não é possível saber quantas vezes foram compartilhadas e vendidas.

O que se sabe até agora é que esses dados faziam parte de esquemas de venda de dados para trocas de informação na deep web e uso para fins criminosos; inclusive, a Psafe aponta que os criminosos podem usar os dados para vender bens, contrair dívidas, fazer saques indevidos de FGTS e cometer crimes, sem que o prejudicado saiba. Outro golpe que se tornou bastante frequente foi o do boleto fictício (de internet, telefone, IPVA ou IPTU, por exemplo), que é enviado aos consumidores com seus CPF, nomes e demais dados, sem que haja qualquer compra ou débito a ser quitado vinculado ao documento.

Outro fator de preocupação é que as empresas têm levado muito tempo para saber que tiveram seus bancos de dados comprometidos, o chamado “dwell time” ou tempo de exposição. Segundo o estudo do MIT, a média desse intervalo de tempo gira em torno de 250 dias, o que significa que o megavazamento de dados de 223 milhões de CPFs poderia ter acontecido, na verdade, em 2019.

Vale destacar que, ainda que o ponto focal da discussão sejam as pessoas físicas lesadas em razão dos vazamentos e como identificar os responsáveis, as empresas são igualmente vítimas dos hackers, de forma que sofrem sequestros de dados, phishing direcionado, ou spear phishing, e navegações de serviço com a geração de milhares de tentativas simultâneas de acesso para invasão do website ou da rede corporativa. Tais eventos impactam não somente a reputação das empresas, mas também a continuidade dos seus negócios e a confiança dos consumidores nas marcas.

Diante disso, a pergunta que se coloca é: considerando a multiplicidade de reflexos negativos para a sociedade decorrentes desses eventos, quem será responsável pelos danos causados aos titulares desses dados pessoais vazados?

O Brasil possui um arcabouço legislativo suficiente em matéria de segurança em ambientes cibernéticos, a despeito do fato de a Autoridade Nacional de Proteção de Dados ainda não ter regulamentações específicas atreladas a eventos como vazamentos de dados. Estamos caminhando no sentido de haver mais normas a respeito. O Decreto n° 9.936/2019, que regulamenta a Lei do Cadastro Positivo (Lei n° 12.414/2011), traz a necessidade de observância de aspectos técnico-operacionais, como a utilização de certificações de adequação de segurança dos sistemas e a elaboração de uma política de segurança da informação; no mesmo sentido, o Decreto n° 8.771/2016, que regulamentou o Marco Civil da Internet (Lei n° 12.965/2014), prevê o estabelecimento de controle escrito sobre o acesso aos dados, a previsão de mecanismos de autenticação, a criação de inventário detalhado dos acessos aos registos e o uso de solução de gestão dos registros. Ainda, vale observar que o Decreto n° 10.222/2020, que aprova a Estratégia Nacional de Segurança Cibernética (“E-Ciber”), se propõe a ser uma orientação do Governo Federal na área de segurança cibernética, cujas diretrizes deverão ser implementadas por parte dos órgãos e entidades da administração pública federal e poderão ser utilizadas como indicador de segurança informacional a ser adotado pela ANPD.

Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/2018 ou “LGPD”), que está em vigor desde 18 de setembro de 2020, reconhece a segurança como um dos princípios a serem observados por aqueles que exercem atividades de tratamento de dados pessoais; assim, de acordo com a LGPD, o princípio da segurança significa a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

No intuito de concretizar o princípio da segurança, a LGPD condiciona a responsabilidade e o ressarcimento de danos ao tratamento irregular de dados, assim compreendido como aquele que deixar de observar a legislação ou que não garantir os parâmetros de segurança que o titular pode esperar. Partindo dessas premissas, a LGPD determina que responderá pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no artigo 46 da LGPD, der causa ao dano.

Note-se, ainda, que a LGPD estabelece que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Nessa hipótese, os controladores diretamente envolvidos no tratamento do qual decorre o dano causado ao titular e o operador, se descumpriu as obrigações da legislação de proteção de dados ou não tiver seguido as instruções válidas do controlador, responderão solidariamente.

Publicado por Fábio Luciano (DS)

Sócio Fundador, CISO Analista de Sistemas Membro efetivo do IBRASPD (Instituto Brasileiro de Proteção de Dados) Membro público da ANPPD® (Associação Nacional dos Profissionais de Privacidade de Dados) Certificações: Penn - University Of Pennsylvania / Privacy Law and Data Protection IBM -Cibersecurity Tools & Ciber Attacks ISO/IEC 27001Dynamic of Information Security Management System (ISMS) General Data Protection Regulation for Businesses and Individuals

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: