Para as empresas que ainda acham que a LGPD não está ativa, é importante começar a observar o que está acontecendo com outras empresas e organizações.

É comum as pessoas pensarem que a única preocupação com a LGPD seja somente com relação às fiscalizações da ANPD, órgão fiscalizador dessa Lei, e suas consequências.

Mas hoje, mais do que nunca, os próprios titulares de dados estão preocupados com a segurança dos seus dados. Eles entendem os seus direitos e, quando violados, acionam a justiça e ingressam com ações contra a empresa envolvida.

E um desses casos foi o que acabou de acontecer em recente decisão, onde a 12ª turma Recursal da SJ/SP confirmou que determinou ao INSS (Instituto Nacional de Seguridade Social) o pagamento de R$ 2,5 mil em danos morais a uma segurada por compartilhamento ilegal de seus dados. 

Segundo a decisão, provas juntadas aos autos comprovaram vazamento de informações pela autarquia federal, contrariando o previsto na LGPD - Lei Geral de Proteção de Dados:

"No que tange ao poder público, a LGPD estabelece que é vedado a este transferir a entidades privadas dados pessoais constantes de base de dados a que tenha acesso (art. 26, § 1, Lei 13.709/2018), sem o consentimento do segurado", destacou a juíza federal relatora Janaína Rodrigues Valle Gomes.  

No processo, a autora relatou que depois de obter pensão por morte, em junho de 2021, passou a receber, diariamente, ligações, mensagens via SMS e WhatsApp de instituições financeiras oferecendo crédito. Ela decidiu, então, acionar o Judiciário solicitando indenização por danos morais pelo vazamento dos seus dados pela autarquia previdenciária. 

A 1ª vara do Juizado Especial Federal da cidade de Marília/SP julgou o pedido procedente, o órgão recorreu, sustentando ausência de conduta, por não ter ocorrido falha na guarda das informações, e de nexo de causalidade entre o dano argumentado e o ato omissivo ou comissivo da autarquia. Mas, ao analisar o recurso, a relatora alegou que ficou confirmado o compartilhamento ilegal. 

"A legislação estabelece que dados pessoais de pessoa natural contidos em bancos de dados devem ser protegidos, sendo utilizados apenas para propósitos legítimos, específicos e informados ao titular, cabendo, aos agentes de tratamento, a utilização de medidas de segurança eficazes e aptas a impossibilitar o acesso não autorizado por terceiros."

A juíza acrescentou que, no caso apreciado, as instituições financeiras receberam as informações relativas à pensão por morte da beneficiária de forma rápida, por meio da transferência de dados do sistema da autarquia.

Portanto, a magistrada reconheceu o dano moral, visto que as abordagens sofridas pela titular de dados ultrapassaram o comum.

O vazamento de dados de segurados do INSS é um problema estrutural e a LGPD traz uma alternativa para o problema, principalmente porque ela prevê a aplicação de punições mais severas aos órgãos públicos que descumprirem as regras de sigilo das informações pessoais, e essas punições estão acontecendo cada vez mais.

O INSS já responde na justiça por vazamento de dados de seus segurados, além disso, já existem indicadores econômicos que revelaram que os aposentados e pensionistas da previdência social federal estão com um alto índice de endividamento bancário. Parte significativa se deu mediante ao assédio na venda de empréstimos.

Uma ação civil pública de 2021 da 17ª Vara da Justiça Federal de Minas Gerais vem questionando a eficiência dos órgãos na hora de garantir a confidencialidade dos contatos da população, a ação ajuizada pelo Instituto de Defesa Coletiva revela que cerca de quatro milhões de aposentados e pensionistas tiveram seus informes expostos na internet.

Ou seja, os titulares de dados estão cada vez mais preocupados com a segurança de seus dados, o que deve deixar em alerta os órgãos públicos e empresas privadas.

Por Vitória Ribeiro 

Estagiária de Direito

Fonte

As tecnologias e recursos da segurança da informação não somente evitam ataques virtuais contra o acesso não autorizado dos dados, mas também previnem a divulgação, modificação, interrupção, roubo, destruição e venda dos mesmos. Para garantir isso, é importante pesquisar as ações desses criminosos e buscar orientações para se o serviço no qual você deseja contratar possui a solução para o problema em questão.

Para se ter uma noção da evolução deste meio hacker aqui vão alguns dados de estudos recentes sobre como está afetando grandes empresas nos últimos anos:

• Somente em 2021, o Brasil sofreu mais de 88 bilhões de tentativas de ataques, sendo o principal alvo de um dos maiores ataques de DDoS (Negação Distribuída de Serviço, em português) da história, sem contar o aumento constante de ataques durante o ano, que foi 950% maior do que em 2020;
• Segundo os entrevistados de uma importante pesquisa sobre ciberataques, pelo menos 85% das organizações sofrem com um ataque Ransomware por ano, no mínimo. Durante o mesmo período, 74% sofrem com ameaças recorrentes;
• Em dezembro de 2020, hackers acessaram dados sigilosos referentes à vacina contra a COVID-19, mais precisamente aquela desenvolvida através da união entre Pfizer e BioNtech. A somatória de informações acessadas atinge a marca de 55 documentos, entre eles, e-mails e apresentações de Powerpoint.

Assim, chega-se à conclusão de que a era digital tornou simples a coleta e o armazenamento de dados, o que também facilitou consideravelmente o acesso ilegal e o roubo/ sequestro de dados de qualquer lugar do mundo. Por isso, as empresas de segurança da informação trabalham constantemente para acompanhar a crescente demanda por proteção contra hackers e golpistas.

Para esse texto ser mais informativo, separamos os 5 maiores ataques hackers para ilustrar a necessidade de criação de políticas de privacidade nas empresas:

• 1 - Yahoo: O ataque aconteceu em 2013 e comprometeu 3 bilhões de contas. Dados como nomes, endereços de e-mail e senhas foram vazados; e a situação se repetiu em 2014, com 500 milhões de contas afetadas.
• 2 - Sony: Em 2011, a empresa sofreu um ataque através de DDoS e, em seguida, aconteceu o vazamento de dados de 77 milhões de usuários da Playstation Network. Já em 2014, 100 terabytes de dados foram invadidos, contendo informações como dados de funcionários, filmes, entre outros. 
• 3 - Ebay: Ainda em 2014, a Ebay sofreu um ciberataque que comprometeu dados de 140 milhões de contas. Os hackers tiveram acesso a endereços de e-mail e senhas criptografadas dos usuários da plataforma. 
• 4 - Comitê Nacional Democrata: Em 2016, o Partido Democrata americano sofreu um ataque hacker que foi responsável pelo roubo de 20 mil e-mails e 8 mil anexos de informações sigilosas sobre os membros do alto escalão do partido. Não à toa, o ataque teve um impacto significativo nas eleições americanas daquele ano. 
• 5 - Equifax: A empresa de gestão de crédito americana sofreu um ataque hacker em 2017, comprometendo cerca de 143 milhões de dados de clientes. As informações confidenciais como nome, data de nascimento, números da previdência social e carteira de habilitação foram vazadas.

A Segurança da Informação é muito mais que ter um software antivírus instalado ou utilizar um firewall que impeça o ataque de agentes indevidos a sua rede corporativa. Segurança da Informação está relacionada a proteção de dados, a segurança física, a segurança ambiental, o alinhamento da Tecnologia da Informação com os objetivos e a missão da empresa, dentre outras funções essenciais para a continuidade dos negócios.

A informação é o bem mais precioso para uma empresa/indivíduo, sendo a principal fonte para as tomadas de decisão. Qualquer conteúdo que seja gerado pela empresa por meio de suas operações diárias, seja pelas transações de compra e venda, os registros de atividades dos funcionários ou qualquer outro conteúdo que necessite ser armazenado.

Com isso, podemos afirmar que a SI é importante porque protege todas as categorias de dados contra roubo e danos. Isso inclui dados confidenciais, informações de identificação pessoal, de saúde, propriedade intelectual e muito mais.

Recentemente um acordo entre o Ministério da Economia e a Associação Brasileira de Bancos (ABBC) foi motivo de uma nota do Idec (do Instituto Brasileiro de Defesa do Consumidor) enviada à ANPD. A parceria permite o uso da ICN (Identidade Civil Nacional), uma espécie de carteira de identificação biométrica a partir do CPF, pelas instituições financeiras. Segundo o instituto pró-consumidor, o acordo pode violar a LGPD.

O Acordo de Cooperação foi firmado pela Secretaria de Governo Digital, vinculada ao Ministério da Economia, que reúne empresas como Banco BMG, C6 Bank e a XP Investimentos. O documento do acordo prevê uma “degustação experimental” das APIs usadas pelo governo para validar a identidade de usuários que acessam a plataforma Gov. A base de dados contém informações consideradas sensíveis de acordo com a LGPD, como a biometria para validação em apps como e-Título.

O uso seria para aperfeiçoamento de seus aplicativos. O usuário poderia fazer login usando as informações do Gov.br, como já é feito por algumas instituições. Além disso, ações ligadas ao aplicativo podem usar APIs do governo federal, desde que levem a logomarca da Gov. A equipe do Idec, em ofício enviado ao Ministério da Economia, acredita que o Acordo de Cooperação pode violar a LGPD, porque não há provas de que a parceria segue critérios estabelecidos pela lei. No documento, fica explícito que os “aspectos técnicos” de uso das APIs do governo “serão tratados diretamente entre a Secretaria e os bancos".

         Na nota enviada à ANPD, o Idec pede justificativas sobre os seguintes pontos:

·         A delimitação de base legal para o tratamento desses dados;

·         As justificativas para interesses públicos;

·         O direito à autodeterminação informativa dos titulares de dados;

·         E as garantias quanto à segurança dos dados.

         A falta de transparência pública para realizar o acordo, sem consulta pública, atesta a falta de controle dos titulares sobre seus próprios dados, tanto sensíveis quanto não-sensíveis, diz o Ide. A ANPD afirmou que instaurou de ofício um procedimento preparatório de fiscalização para averiguar a regularidade do compartilhamento de dados com os bancos, mas não há prazo para que todos os esclarecimentos necessários sejam prestados e, enquanto isso, o acordo segue vigente.  

         O que se discute na LGPD é a obrigatoriedade de que os titulares de direito tenham poder de anuência sobre o uso e disposição de seus próprios dados, o que, claramente, não está sendo respeitado na situação. E o que é mais grave é que essa violação legal venha do próprio governo brasileiro, eis que os dados estão nas plataformas de serviços públicos.

         O Estado busca, ou deveria buscar, segundo artigo 5º da Constituição Federal, a proteção dos bens de seus cidadãos, sejam patrimoniais ou personalíssimos, e não atuar num mercado de negócios contrariando tais interesses, assim, nesse sentido, não há base legal que sustente o agir do governo federal, privilegiando o acesso dos bancos aos dados de seus cidadãos. Em outras palavras, o acordo representa verdadeira comercialização de dados pessoais, o que desvia completamente a finalidade para a qual os dados pessoais foram inicialmente fornecidos ao governo federal.

         É claro que os titulares de dados não foram consultados sobre seu consentimento para o compartilhamento, o que infere em ausência de transparência e privilegia o interesse privado corporativo ao interesse público ou interesse pessoal de cada um dos indivíduos envolvidos.

         Podemos concluir que a existência de uma economia da intrusão e da interceptação de dados pessoais clama pela transparência completa do consentimento das pessoas no uso desses dados, diante do interesse econômico das forças do mercado. É muito grave que o próprio governo federal entregue a terceiros os dados de seus cidadãos. Hoje, às corporações; amanhã, a quem interessar.

         É preciso se discutir se seria o caso de um desvio de finalidade que não encontra guarida em nenhum fundamento legal, expondo e desprotegendo informações de todos os níveis, em verdadeira violação dos princípios fundamentais do cidadão, assim, é preciso substituir os interesses envolvidos.

Dados de cerca de 300 mil clientes do Mercado Livre foram vazados, segundo informou a própria empresa na noite desta segunda-feira (8). Apesar disso, a companhia diz que não encontrou evidências de comprometimento do seu sistema ou de que terceiros tenham obtido senhas, saldo de conta ou informações financeiras das pessoas. Ainda é cedo para dizer as consequências de tal vazamento de dados.

Ao todo, a empresa tem mais de 140 milhões de usuários, sendo a maior plataforma de comércio eletrônico da América Latina. Nos últimos anos, a grande do varejo passou por grandes transformações, oferecendo serviços financeiros (por meio do Mercado Pago) e aumentando o número de centros de distribuição, o que possibilita, em algumas localidades, entregas de compras feitas no mesmo dia. Explicado o sucesso, não é mesmo?!

Já existe suspeita de que a operação tenha sido realizada pelo mesmo grupo hacker responsável por ataques recentes à Samsung, Nvidia e Claro, assim como ao ConecteSUS — o Lapsus$ Group.

O Mercado Livre soltou uma nota sobre o ocorrido: “Recentemente, detectamos que parte do código-fonte do MercadoLibre foi objeto de acesso não autorizado. Ativamos nossos protocolos de segurança e estamos realizando uma análise exaustiva. Embora os dados de aproximadamente 300.000 usuários (dos nossos quase 140 milhões de usuários ativos únicos) tenham sido acessados, até o momento e de acordo com nossa análise inicial, não encontramos nenhuma evidência de que nossos sistemas de infraestrutura tenham sido comprometidos ou que as senhas, saldo de conta, investimentos, informações financeiras ou informações de cartão de crédito tenham sido comprometidas.. Estamos tomando medidas rigorosas para evitar novos incidentes”.

Nas últimas semanas, Itaú Unibanco e Nubank foram outras grandes empresas que também notificaram problemas com tecnologia.

Portanto, vemos que os incidentes e vazamento de dados continuam aumentando, se você, empresário, ainda não está convencido da seriedade e importância de se evitar o vazamento de dados, coloque-se no lugar do titular de dados, e considere que a lei busca garantir os direitos a você tanto como garante os dele.

Por Vitória Ribeiro

Estagiária de Direito

Após mais de um ano de vigência da Lei Geral de Proteção de Dados, apenas em outubro de 2021 foi enfim aprovado o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados ("Regulamento"), publicado no dia seguinte por meio da Resolução CD/ANPD nº 1, já em vigor.

Apesar da ANPD já poder gozar de sua autoridade sancionatória, a aprovação do Regulamento é fundamental para estabelecer segurança jurídica em termos de definição dos parâmetros e condutas que poderão ser dela esperados, no exercício do seu papel fiscalizador. Mas por que? O objetivo do documento é de estabelecer as regras e procedimentos de fiscalização no âmbito do processo administrativo sancionador, o que compreende desde as atividades de e monitoramento, atuação preventiva e orientação, até a efetiva aplicação pela ANPD das sanções previstas na legislação. 

Dentre os múltiplos papéis a serem exercidos pela Autoridade Nacional de Proteção de Dados, para além de suas atividades repressivas, destaca-se o de promoção de conscientização acerca da proteção de dados pessoais. No âmbito da Resolução, os artigos 27 a 29 dedicam-se a estabelecer as atividades de orientação da ANPD que visam a conscientização e a educação dos Agentes de Tratamento, dos titulares de dados e dos demais integrantes ou interessados no tratamento de dados pessoais, a fim de se evitar irregularidades. 

O documento prevê o reconhecimento e divulgação das regras de boas práticas e de governança, o que inclui a disponibilização de guias e modelos de documentos e ferramentas para avaliação de riscos e autoavaliação de conformidade. Ainda, a Resolução prevê que a ANPD deverá estabelecer recomendações quanto a padrões técnicos para controle dos dados pelos titulares, implementação de Programa de Governança em Privacidade e códigos de conduta e de boas práticas.

O estabelecimento das atividades orientativas e o processo de fiscalização pela ANPD como um todo deverão estar alinhados com o seu planejamento estratégico, com os instrumentos de monitoramento das atividades de tratamento de dados e com a Política Nacional de Proteção de Dados Pessoais e da Privacidade, e considerar, entre outros fatores, uma atuação responsiva que estimule a promoção da cultura de proteção de dados pessoais 

O Planejamento Estratégico para o triênio (2021-20232) elenca as ações estratégicas e indicadores a serem adotados em curto, médio e longo prazo, para que a ANPD alcance três principais objetivos: (i) promover o fortalecimento da cultura de proteção de dados pessoais; (ii) estabelecer o ambiente normativo eficaz para a proteção de dados pessoais; e (iii) aprimorar as condições para o cumprimento das competências legais

A atuação preventiva e orientativa da ANPD durante as suas atividades de fiscalização está, portanto, atrelada ao seu objetivo maior de promover o fortalecimento da cultura de proteção de dados para a sociedade civil em geral.

Entretanto, apesar da importância desse viés educativo na condução de suas atividades, é aconselhável que a ANPD comece efetivamente a exercer suas competências punitivas, na medida em que situações envolvendo vazamentos de dados pessoais passaram a ser cada vez mais recorrentes no cenário atual.  

Apesar de as sanções previstas no art. 52 da LGPD já estarem vigentes desde 01/08/2021 e já ter sido publicado o Regulamento sobre o processo de fiscalização, a ANPD ainda não exerceu suas atribuições repressivas. Isso porque estão pendentes de regulamentação as questões relacionadas às metodologias que orientarão o cálculo do valor-base das sanções de multa, aspecto este que é fundamental para  garantir a segurança jurídica do processo de fiscalização.

Por Vitória Ribeiro

Estagiária de Direito.

         A internet se transformou em um dos principais meios de comunicação e troca de dados utilizados por pessoas e empresas. E essa mudança trouxe a necessidade de se criar regras e proteção dos dados. Esse é o intuito da Lei Geral de Proteção de Dados (LGPD) com relação ao novo procedimento de emissão de notas fiscais de acordo com a LGPD: proteger a liberdade e privacidade de cidadãos.

        A nova lei vem em resposta à necessidade de segurança e transparência em todos os processos envolvidos nesse contexto. Isso porque, uma das principais exigências da LGPD é a de que todo processo de tratamento de dados pessoais seja feito com o consentimento expresso, de forma clara e inequívoca, do usuário.

         Inclusive, a partir da entrada em vigor da LGPD, documentos eletrônicos, como as Notas Fiscais Eletrônicas (NF-es), somente poderão ser acessados por meio de certificado digital e apenas pelas partes envolvidas. Ou seja, emitente, destinatário, transportador e demais autorizados.

         Até então, qualquer pessoa que tivesse a chave de acesso da NF-e poderia consultar as informações do documento. Isso facilitava a ação de robôs que roubavam informações.

         Empresas que armazenam documentos fiscais eletrônicos precisarão criar e investir em sistemas seguros que evitem o vazamento das informações.  Se houver alguma infração relativa à proteção dos dados, a lei prevê punições e multa de até 2% do faturamento da instituição, fora as demandas judiciais que poderão ser ingressadas pelos titulares de dados.

          Logo, buscar ferramentas e soluções tecnológicas de gestão de documentos eletrônicos, principalmente para emissão de notas fiscais de acordo com a LGPD será fundamental.

Conclusão

         O mundo virtual é o presente e o futuro, o que ainda deve trazer à tona muitos desafios. Com isso, a sociedade precisará seguir em busca do equilíbrio entre ordem e liberdade.

         Se você, empresário, precisa de ajuda para adequar sua empresa, nossa solução é a escolha certa. Parece ótimo, não é mesmo? Entre em contato conosco e torne sua empresa mais um membro do DPOnet. 

Por Vitória Ribeiro