Menu
A Autoridade Nacional de Proteção de Dados (ANPD) anunciou em 18 de outubro, uma sanção contra a Secretaria de Saúde do Estado de Santa Catarina (SES-SC) em decorrência de várias infrações à Lei Geral de Proteção de Dados Pessoais (LGPD). A decisão da ANPD foi resultado de uma investigação conduzida pela Coordenação-Geral de Fiscalização (CGF) em um processo administrativo sancionador contra o órgão público.
A SES-SC foi considerada culpada por violar os artigos 48 e 49 da LGPD, além do artigo 5º, I, do Regulamento de Fiscalização. Três dessas infrações foram classificadas como graves. A infração mais séria ocorreu quando a SES-SC negligenciou a segurança dos sistemas de armazenamento e tratamento de dados pessoais de milhões de cidadãos do estado de Santa Catarina que são atendidos pelo sistema estadual público de saúde. Isso claramente compromete a proteção dos dados sensíveis dos pacientes.
Além disso, a ANPD concluiu que a SES-SC sofreu um incidente de segurança, mas não comunicou de forma adequada e oportuna quais dados pessoais poderiam ter sido comprometidos. Isso afetou cerca de 300 mil titulares de dados que não foram notificados pela Secretaria. A falta de clareza e a demora na comunicação violaram o artigo 48 da LGPD, que exige que o controlador de dados pessoais informe prontamente a ocorrência de incidentes de segurança relevantes às autoridades e aos titulares.
Além disso, a SES-SC também foi penalizada por não apresentar o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) solicitado pela ANPD e por não disponibilizar outras informações requisitadas pela Autoridade, infringindo o artigo 38 da LGPD e o artigo 5º do Regulamento de Fiscalização.
A ANPD optou por aplicar quatro sanções de advertência, uma para cada infração. Além disso, a SES-SC deve tomar medidas corretivas, incluindo a manutenção de um comunicado geral de incidente de segurança (CIS) em seu site por 90 dias e a comunicação direta aos titulares de dados pessoais que foram afetados pelo incidente.
A Secretaria de Saúde de Santa Catarina tem um prazo de 10 dias úteis, a partir do recebimento da intimação, para recorrer da decisão. Qualquer recurso será avaliado pelo Conselho Diretor da ANPD.
Esse caso serve como um lembrete de que o órgão regulador da LGPD, a ANPD, está ativa e da importância de cumprir estritamente as exigências da Lei, garantindo a segurança e a privacidade dos dados pessoais dos cidadãos, bem como a tomada de ações apropriadas em caso de incidentes de segurança.
Fonte: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-sanciona-mais-um-orgao-publico
Ferramentas como o ChatGPT e Google Bard certamente estão entre as tecnologias mais disruptivas do nosso tempo. Graças à sua capacidade de automatizar tarefas complexas, elas devem ser um grande impulso para diversas inovações nos próximos anos. Contudo, além de seus benefícios, os perigos da inteligência artificial (IA) também estão em debate.
Empresas e governos estão cada vez mais conscientes dos desafios para a aplicação desse recurso, especialmente no que diz respeito à privacidade e à segurança das informações pessoais dos indivíduos. Neste artigo, você verá:
Um dos maiores perigos da inteligência artificial para a proteção de dados é a possibilidade de violação da privacidade. Essas ferramentas dependem de grandes volumes de dados para treinamento e aprendizado e, muitas vezes, seus usuários não têm consciência de como eles são aplicados.
Isso levanta preocupações éticas sobre a falta de consentimento adequado para coleta e uso de informações pessoais. Por ser uma tecnologia muito recente, ainda falta clareza sobre como os dados são obtidos e de que forma os indivíduos podem ter o controle desse processo.
Outro perigo significativo é a presença de vieses nos dados de treinamento que podem ser refletidos pelos modelos de IA. Se os dados históricos utilizados para treinar a ferramenta contiverem preconceitos ou discriminação, ela pode aprender e perpetuá-los e tomar decisões discriminatórias em várias áreas.
Por exemplo, o uso da IA em processos de seleção para empregos pode ser influenciado por viés de gênero ou raça. Existe a preocupação de que essa parcialidade prejudique ações de inclusão e diversidade nas organizações.
A anonimização de dados é frequentemente usada para proteger a privacidade ao remover informações identificáveis dos dados. Contudo, a combinação de conjuntos de dados e técnicas avançadas de análise com aplicação da IA pode reverter esse processo e vincular os dados a indivíduos específicos.
Esse ponto é particularmente preocupante quando se tratam de dados sensíveis, como informações médicas ou financeiras. Nessas situações, a reidentificação pode gerar vulnerabilidades a práticas indesejadas.
A complexidade dos algoritmos, como redes neurais profundas, pode dar origem a ferramentas consideradas caixas-pretas. Ou seja, modelos capazes de fornecer respostas extremamente precisas, mas que nem mesmo seus criadores podem entender, prever ou controlar. Essa preocupação levou grandes líderes da indústria a pedirem uma pausa nos projetos de IA.
A falta de transparência pode ser um dos principais perigos da inteligência artificial, pois dificultaria a responsabilização e a justificação de decisões tomadas por esses sistemas, especialmente em casos que afetam significativamente a vida das pessoas.
O direito de entender como uma decisão foi tomada, especialmente quando envolve dados pessoais, é um aspecto fundamental da proteção de dados.
À medida em que os modelos de IA se tornam mais precisos em muitas tarefas, pode-se presumir que eles são infalíveis. Porém, a segurança desses sistemas é uma preocupação crítica, especialmente devido à possibilidade de ciberataques. Criminosos podem explorar vulnerabilidades para introduzir perturbações imperceptíveis nos dados de entrada e gerar resultados errôneos.
É importante ter em mente que mesmo os modelos mais sofisticados não são invulneráveis e podem ser enganados, resultando em consequências graves para a proteção de dados e a segurança das informações.
De acordo com a Lei Geral de Proteção de Dados (LGPD), o consentimento é uma das bases legais para autorizar o tratamento de dados pessoais. Isso significa que, para usar ferramentas de IA nesse processo, as empresas precisam fornecer explicações claras sobre seu funcionamento e finalidade.
Além disso, os desenvolvedores de IA devem aderir aos princípios de minimização de dados. Ou seja, só devem coletar e usar os dados pessoais estritamente necessários para um propósito específico, e apenas pelo tempo necessário. Os dados coletados para um propósito não podem ser usados para outro sem consentimento adicional.
A legislação também chama a atenção para a necessidade de transparência sobre o funcionamento desses algoritmos, visto que os indivíduos têm o direito de acessar seus dados, retificar imprecisões e até mesmo apagá-los em certas situações. Isso pode ser um grande desafio para sistemas que dependem de dados históricos para treinamento.
Para entender melhor como se prevenir contra esses perigos da inteligência artificial na sua empresa, conheça as cinco atitudes essenciais para a adequação à LGPD!
No dia 28 de janeiro comemora-se o Dia Internacional da Proteção de Dados Pessoais. E este ano, esta data tão importante contou com um evento de comemoração especial, o DPOday. Foi o início de um grande legado para o tema no Brasil!
Realizado em São Paulo, no dia 27 de janeiro de 2023, no Blue Tree Premium Morumbi, o DPOday, foi o primeiro evento presencial da DPOnet, empresa que fornece uma solução saas de adequação e gestão da LGPD.
Em um momento em que a proteção de dados pessoais se torna uma das principais preocupações da sociedade, o DPOday mostrou ser um evento fundamental para a discussão do tema. Ao reunir especialistas e profissionais de diversos segmentos, por meio de palestras e painéis, o evento possibilitou ampla discussão e deu impulso à implementação de soluções eficazes para garantir a privacidade e a segurança dos dados pessoais.
A programação do DPOday foi rica em conteúdo e marcada pela presença de autoridades. Representantes de órgãos reguladores, especialistas em privacidade e profissionais da área compartilharam suas experiências, conhecimentos e suas visões sobre o futuro da proteção de dados pessoais no Brasil. Eles trouxeram informações valiosas e atualizadas sobre a regulamentação, as oportunidades e desafios enfrentados.
Essa troca de informações e ideias, contribui para a evolução do setor e para a conscientização da sociedade.
Além de palestras e painéis, o evento contou com oficinas de imersão prática, que foram ministradas por especialistas no tema. Elas foram uma adição valiosa ao evento, pois permitiram que os participantes pudessem ter uma compreensão mais aprofundada e concreta do tema. Além disso, contribuíram para que os participantes saíssem do evento com uma visão mais clara e completa, proporcionando aos participantes uma experiência enriquecedora e de qualidade.
O público presente no DPOday foi composto por uma ampla gama de profissionais envolvidos na proteção de dados pessoais. Advogados, profissionais de TI, DPOs (responsáveis pela proteção de dados) e empresários que estiveram presentes para conhecer as últimas tendências e soluções na área.
A DPOnet expressa também profunda gratidão aos patrocinadores do DPOday 2023 pela dedicação e comprometimento em apoiar esta iniciativa.
Com a crescente digitalização e necessidade de políticas de segurança mais eficazes para a proteção dos dados pessoais, eventos como o DPOday só tendem a crescer. Em 2024 traremos mais informações aos participantes. Este evento já tem data marcada, será dia 23 de janeiro em São Paulo. Anote em sua agenda! Será uma experiência enriquecedora!
Esperamos você em 2024!
Recentemente, publicamos em nosso blog a notícia de que a Unimed Belém havia sofrido tentativa de ataque hacker na quinta-feira (13).
E agora, foi confirmado que de fato houve uma invasão e a instituição está sofrendo com a instabilidade em seu sistema.
Na quarta-feira (19), o grupo responsável pelo ataque hacker publicou na dark web informações que teriam sido roubadas durante o ataque contra a Unimed Belém.
Com cerca de 5,6 GB, os criminosos publicaram uma amostra de 12 arquivos compactados com documentos, segundo mostra publicação de Paulo Brito, da Ciso Advisor, em seu perfil no Twitter.
Com toda essa situação ainda em andamento, o problema acabou afetando os clientes e usuários do sistema da instituição, que já estão reclamando nas redes sociais sobre as falhas no atendimento. Os relatos começaram ainda na semana passada e continuam aparecendo em redes sociais como o Twitter.
Os clientes da empresa apontam e reclamam que o sistema está apresentando problemas como site fora do ar, impossibilidade de gerar boletos e atendimento.
Imagens publicadas no Twitter apontam que até mesmo o atendimento presencial na instituição foi afetado:
Como podemos observar, a segurança de dados não é brincadeira! Infelizmente não existe nenhuma solução que garanta 100% de proteção contra situações como essa, porém, empresas que seguem as boas práticas da LGPD na área da Saúde ficam menos vulneráveis e, pra isso, você pode contar conosco.
Manter-se atualizado(a) e estar em compliance com esta Lei são algumas formas de prever riscos. Para isso, sugiro que continue acompanhando os artigos e notícias aqui do blog.
Font: Tecmundo
A DPOnet, startup que implementa e faz a gestão de forma automatizada do processo de conformidade com a Lei Geral de Proteção de Dados (LGPD), anuncia nesta quinta-feira, 29, a captação de R$ 6 milhões em uma rodada seed.
Entre os principais investidores estão a aceleradora Leavening, family offices e o LW Ventures, fundo de Corporate Venture Capital da Locaweb.
Com o objetivo de democratizar, automatizar e simplificar a jornada de conformidade com a LGPD, a DPOnet desenvolveu uma plataforma SaaS automatizada de gestão de privacidade, segurança e governança de dados pessoais, que atualmente é utilizada por mais de 1.500 empresas, e já certificou e treinou com a sua metodologia mais de 7.000 usuários.
Segundo pesquisa publicada em agosto pelo NIC.br, após quase dois anos de a LGPD ter entrado em vigor, os encarregados de dados (DPO), estão atuando, direta ou indiretamente, em apenas 17% das empresas do país. A Global Digital Trust Insights Survey também estima que 83% das empresas brasileiras projetam ampliar seus investimentos nesta área este ano.
“Conquistamos o primeiro cliente em agosto de 2020 e terminamos aquele ano com 80 clientes. Hoje, atendemos clientes entre indústrias, comércio, prestadores de serviços, poder público e terceiro setor. São mais de 70 segmentos atendidos, desde um pequeno e-commerce até uma operadora de saúde, que trata um grande volume de dados sensíveis”, afirma Marcelo Martins, co-fundador e CRO da startup.
Os recursos desta rodada seed permitirão ampliar a vertical do marketplace que oferece serviços especializados para a jornada da LGPD, como cyber security.
“Por meio da plataforma automatizada e dos treinamentos em EAD, comprovadamente a DPOnet reduz em até 90% os investimentos e o tempo para a adequação e gestão da proteção e privacidade de dados”, afirma Ricardo Maravalhas, co-fundador e CEO da startup.
Segundo Ricardo, a DPOnet vem atingindo por meio da educação o seu propósito de democratizar a LGPD.
“A educação transforma a cultura das organizações e da sociedade. Nossos cursos são distribuídos em parceria com universidades e com grandes empresas. Esse novo aporte ampliará a nossa atuação nessa vertical”.
O aumento dos ataques cibernéticos nas organizações é uma tendência global que aumenta a cada dia. E um dos grandes desafios é a necessidade urgente de mudança interna nas empresas com relação à conscientização da segurança da informação e adequação às Leis de proteção de dados pessoais, como a LGPD.
Para muitos, um ataque cibernético está distante da sua realidade e nunca irá acontecer. Até o dia em que começam a enfrentar problemas que podem afetar financeira e negativamente a marca.
Foi o que aconteceu na sexta-feira passada com a Unimed Belém, onde informou que sofreu tentativas de ataques cibernéticos em seus sistemas operacionais na terça-feira (11).
Em comunicado, a companhia explicou que após a identificação do incidente, as equipes de controle adotaram medidas para impedir o avanço da iniciativa maliciosa. “A cooperativa informa que ainda não possui total conhecimento sobre a extensão do ocorrido, contudo esclarece que, além da devida assessoria jurídica e técnica para conter o problema, foram adotadas medidas para manter seguros os servidores e backups”, diz nota publicada.
A companhia afirma ainda que, no momento, estão sendo executados planos de contenção com a implementação de ferramentas para evitar que a instabilidade do sistema continue a impactar a operação da Unimed em Belém.
Observe que esse tipo de ataque pode gerar impactos profundos para o negócio, como a instabilidade no sistema e até perda do banco de dados, impossibilitando a continuidade do trabalho.
Por isso, priorizar a segurança e investir em proteção, detecção e medidas de respostas é uma realidade. Em um mundo digitalmente conectado, é preciso deixar a organização devidamente em conformidade com as melhores práticas de proteção de dados e ter uma equipe especializada em ação, assim como fez a Unimed Belém.
Este não é um caso isolado!
Em setembro deste ano, a Golden Cross, outra empresa do setor de saúde suplementar no Brasil, também foi vítima dos cíbercriminosos e teve parte de seu sistema comprometido.
Neste caso, os cibercriminosos responsáveis pelo incidente até deixaram uma mensagem no site da empresa em que dizia: “Fomos nós que vazamos todos os dados da Golden Cross para nossos servidores. Sim, é verdade, o vazamento de dados não autorizado foi realizado”, diz a mensagem.
Infelizmente as empresas lidam diariamente com essas ações de criminosos. Portanto, é de extrema importância que as organizações estejam adequadas e preparadas, demonstrando que adotaram medidas de segurança cabíveis para o seu porte e segmento, principalmente quando algum incidente de dados acontecer.
Não deixe mais para depois o início da adequação à LGPD. Conte conosco!
Fonte da notícia: Security report
"*" indica campos obrigatórios