1

Proteção de Dados Pessoais-RECIFE/PE!

Ultimas 4 vagas!

A contagem regressiva para a Lei de Proteção de Dados (LGPD) já começou! Como está a adequação de sua empresa, startup ou órgão público?

Ultimas 4 vagas para o evento da CyberExperts Academy, Lei Geral de Proteção de Dados: Como adequar empresas, negócios e órgãos públicos, que ocorrerá em Recife/PE, no dia 16/12/2019, no auditório do Impact Hub, no Shopping do Paço da Alfândega.

Participe deste exclusivo evento de suporte aos negócios e conheça os passos para se preparar para norma, com a concepção de uma prática de governança em privacidade da informação, em um conteúdo ministrado de forma direta e objetiva.

Então participe, e dê um importante passo rumo a adequação à norma e comece 2020 preparado!

Vai fechar hoje!

👉👉👉 https://www.sympla.com.br/lei-de-protecao-de-dados-pessoais-como-preparar-empresas-e-orgaos-publicos—recifepe__700867?fbclid=IwAR3eycTTn7yDyULlSnHonwShx3rc2v6EQHkhUNtS5IZpw3hBunMo7O6RUAI




O que é ISO 27701 e como entender a aplicação da norma para gestão da privacidade da informação em 5 passos

A norma ISO
27701 especifica os requisitos e fornece diretrizes para o estabelecimento,
implementação, manutenção e melhoria contínua de um sistema de gestão de
privacidade da informação (SGPI).

Assim como
as demais normas da família 27000, em especial 27001 e 27002, a ISO 27701
apresenta requisitos relacionados ao SGPI (Sistema de Gestão da Privacidade da
Informação) e também diretrizes para os controladores e operadores de dados
pessoais, atores com grandes responsabilidades nas atividades de
tratamento. 

É aplicável a todos os tipos de
organizações, tanto públicas quanto privadas e também se relaciona com outras
normas técnicas que lhe dão suporte para a implementação da conformidade.

A norma
nasce como uma extensão de requisitos da ISO 27001 e de diretrizes da 27002,
todos focados em privacidade da informação e não em um sistema de gestão
próprio. A norma complementa as demais normas de segurança da informação com
seus requisitos específicos. 

Para
compreensão da ISO 27701 é preciso ter em mente que ela se relaciona a todo
instante com as normas de segurança da informação, ora ampliando diretrizes e
requisitos, ora criando novas e específicas, até mesmo mantendo as diretrizes
já disciplinadas nas normas de segurança da informação.

Dentre os 5
passos para entender a norma, rapidamente citamos:

  1. Compreender que a seção 5 traz requisitos
    específicos de um sistema de gestão de privacidade da informação, em momentos
    ratificando os da 27001, em outros promovendo acréscimos e atualizações.
  2. Compreender que a seção 6 traz diretrizes
    específicas de um sistema de gestão de privacidade da informação, em parte
    ratificando os da 27002, ora promovendo acréscimos e atualizações. Aqui, aliás,
    temos muitos acréscimos em comparação com a seção 5.
  3. Compreender que a seção 7 traz o que chamamos de diretrizes
    adicionais à ISO 27002 para controladores e que também tem relação com o Anexo
    A da norma, que trata dos controles e objetivos de controle específicos
    para controladores.
  4. Compreender que a seção 8 traz o que chamamos de diretrizes
    adicionais à ISO 27002 para operadores e que também tem relação com o Anexo
    B da norma, que trata dos controles e objetivos de controle específicos
    para operadores de DP.
  5. Compreender os anexos da norma,
    sendo o “A” destinado a
    controladores e “B” a operadores (atualizando
    os controles e objetivos de controle da ISO 27001), o “C” traz um mapeamento da norma com os princípios de privacidade, o
    “D” e “N/A” fazem o mapeamento entre
    as exigências da GDPR e LGPD e os controles trazidos pela norma, que ajudam na
    conformidade, e o “E” uma relação da
    norma com outras ISOs não menos importantes, 27018 (Cloud) e 29151 (diretrizes
    e controles adicionais). Não se pode tirar de vista o anexo “F”, que justamente nos ensina como
    aplicar a ISO/IEC 27701 com as normas “base”, 27001 e 27002.

Deste modo,
a ISO 27701 tem como objetivo contribuir para que empresas demonstrem a
agências, órgãos públicos, investidores e sociedade que a organização está
empenhada em adotar controles eficazes e que são considerados melhores práticas
internacionais em proteção de dados.

Estes 5 (cinco) passos apresentam de forma clara e simples como compreender a aplicação e utilizar as seções da norma na adequação de empresas e negócios.  Após esta atividade, é momento de iniciar o plano de implementação, que envolve avaliação, priorização de pontos críticos, implementações e auditoria periódica. Não há tempo a perder e quanto mais ágil for a resposta corporativa a esta importante fase que inaugura a ISO 27701, melhor para o avanço rumo à conformidade com um padrão internacional envolvendo a privacidade da informação.

Preparamos um e-book,
denominado 5 PASSOS PARA ENTENDER A ABNT
NBR ISO/IEC 27701:2019,
onde fornecemos instruções detalhadas sobre o
processo de compreensão da norma, os passos, e sua relação com demais normas de
segurança da informação e privacidade. É gratuito. Baixe já o seu e deixe seu
comentário.  

Acesse: http://ebookiso27701.pagina.rocks/




Especialista em Direito Digital participa do lançamento da Norma ISO 27701 na ABNT.

Dia histórico!

Diretor do escritório José Milagre & Associados, participa do lançamento da Norma ISO 27701 na ABNT e recebe a norma do Líder da Delegação do Comitê ISO, Ariosto Farias Jr , responsável pela elaboração da norma no Brasil.

Importante norma para as empresas avançarem na adequação às regras da Lei Geral de Proteção de Dados e comprovarem conformidade com um Sistema de Gerenciamento da Privacidade da Informação.

Preparamos empresas e órgãos públicos para conformidade com os requisitos e diretrizes da nova norma. Em breve também o curso @cyberexpertsbr sobre a ISO 27701.

Saia na frente!




A Blockchain e o reconhecimento do TSE sobre a assinatura digital para criação de Partidos Políticos

Por 4 votos a 3 o TSE definiu nesta semana
que as assinaturas digitais podem ser usadas para criar um partido político.
Estima-se que sejam necessárias 500 mil assinaturas (valor arredondado) para a
criação de um partido.

Dentre os benefícios da medida estaria, em
tese, a maior facilidade para coleta de assinaturas, tendo em vista a
“informatização” da população e a natural atualização tecnológica de um dos
instrumentos de participação popular nos destinos da nação. Em sentido
contrário, a segurança da informação fica prejudicada, considerando a ausência
de critérios, estes que servem para garantir autenticidade, integridade e não o
repúdio das assinaturas, sem citar a necessária “confidencialidade”.

Poderia um “bot” simular códigos de assinaturas válidas e rapidamente ir preenchendo
o quantum necessário para criação de mais uma das dezenas de agremiações do
Brasil? Neste caso, quem investigaria ou realizaria a perícia em informática e
em dados e quem apuraria a fraude digital nos resultados de uma votação
eletrônica ou de uma lista para constituição de um partido?

A decisão da corte eleitoral, no entanto,
depende de regulamentação. A questão é: O próprio TSE demonstra não estar
familiarizado com a diferença entre assinatura digital e eletrônica. A Ministra
Rosa Weber entendeu que atualmente o Tribunal não tem condições de validar e verificar
assinaturas digitais, votando contra o avanço, talvez imaginando se tratar de
uma assinatura eletrônica.

A assinatura eletrônica é descrita, via de
regra, como aquela gerada a partir da grafia de uma assinatura na tela de um
dispositivo computacional ou ainda por meio de aplicativos e sistemas, confirmando
assim a sua relativa fragilidade, pois tem sua eficácia avaliada por meio de
outros elementos e metadados, como geolocalização e número IP, que nem sempre
são identificáveis e não mascaráveis.

Por outro lado, a assinatura digital é
comumente usada pra designar o ato firmado por meio de Certificação Digital,
vinculada a ICP Brasil, conforme previsão na Medida Provisória 2-200/2001. É
gerado um par de chaves (privada e pública) e a partir deste formato de
criptografia, assim ética, é possível assinar documentos com validade, autenticidade
e integridade, reconhecidas como uma assinatura de papel, com validade legal.

Tudo perfeito, se não fosse outro problema:
Apenas 2,58% do eleitorado tem certificado digital, conforme a ANCD (Associação
Nacional de Certificação Digital) e mais, um certificado digital hoje tem custo
para aquisição e renovação anual ou trienal, dependendo do modelo.  

Talvez fosse hora de inovar e reconhecer
que a Tecnologia Blockchain reúne elementos importantes em sua concepção,
capazes de garantir integridade, confidencialidade, imutabilidade,
autenticidade e o principal, descentralização e capilaridade, além de ser
auditável e rastreável, em casos de suspeitas de fraudes.

Esta preciosa tecnologia, descrita por
Satoshi Nakamoto em 2008 para suportar de forma distribuída e indelével as
transações de bitcoins, hoje é refletida como base para inúmeros avanços,
incluindo participações populares nos desígnios das cidades, com eliminação de
intermediário e redução de custos. Iniciativas como o Democracy.Earth (https://democracy.earth/), já demonstram que
possuímos iniciativas de democracia descentralizada que podem transformar a
participação das pessoas no futuro dos governos e poderes.

A Blockchain possui código aberto, permitindo
a codificação (como na Ethereum) e vem sendo estudada também como uma
plataforma segura e de baixo custo para votações, bastando ao cidadão apenas o
acesso à Internet. Inúmeras iniciativas já existem no mundo e o próprio e-cidadania
já conta com abaixo-assinados neste sentido.

A tecnologia poderia, sem dúvida, suportar
não só votações, mas também decisões conjuntas e até projetos de lei de
iniciativa popular. Mais uma vez, resta claro que não se trata de tecnologia,
mas sobretudo, de gestores que conheçam os potenciais da mesma e
principalmente, que possuam a coragem de promover as alterações legislativas
necessárias para que o progresso aconteça.




ISO 27701: Como a norma se harmoniza com a LGPD e como adequar e certificar sua empresa?

Embora a GDPR esteja em vigor há
mais de um ano, é fato que não havia um padrão de certificação definido para a
norma ou referenciado pela mesma. Em outras palavras, não existia um padrão ou
método endossado.

Este cenário pode ser modificado
com o estabelecimento de um importante marco na gestão da proteção de dados ou
da privacidade da informação: A edição da norma ISO 27701, publicada em 06 de
agosto de 2019. Esta norma é considerada uma baliza para o gerenciamento
contínuo dos riscos envolvendo privacidade. Ela estabelece os requisitos e
orientações para implantação e manutenção de um PIMS, ou Privacy Information
Management System (Sistema de gerenciamento da privacidade da informação),
complementando e integrando (ou estendendo) os objetivos e controles da já
conhecida ISO 27001.

Para tanto, a nova norma amplia os
controles preexistentes, apresentando pontos específicos em relação a
privacidade e proteção de dados. Trata-se de uma norma específica para ajudar
empresas a gerirem a privacidade da informação, termo este também trazido pela
ISO.

Com efeito, é sabido que a ISO
27001 trata do chamado SGSI (Sistema de gerenciamento de segurança da informação),
de modo que tal certificação é condição para que a empresa possa ampliar seu
escopo de controles por meio da extensão trazida pela ISO 27701,
certificando-se também nesta nova norma. Assim, é necessário ter a certificação
ISO 27001 para buscar a nova certificação na extensão em privacidade da
informação, nada impedindo que já se reúna esforços para tal no conjunto de
normas.

A norma 27701 amplia ou estende os
requisitos e orientações trazidas pela ISO 27001 (requisitos) e 27002 (códigos
de prática) e é de boa prática a implementação conjunta caso a empresa não
tenha avançado em um sistema de gerenciamento de segurança da informação.

Todos os agentes de tratamento,
controladores e processadores precisam estar atentos às diretrizes da nova ISO
27701, que estabelece requisitos para um sistema de gerenciamento de
informações de privacidade. É de se destacar, que além de estender os controles
das normas envolvendo segurança da informação, a ISO também traz anexos que
fazem o mapeamento de seus requisitos em comparação com os requisitos de outras
documentações, como as ISO 29100, ISO 29151, ISO 27018 e com a própria GDPR.

De acordo com relatório divulgado
pelo Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR
Gov), subordinado ao Gabinete de Segurança Institucional (GSI), em 2018 foram
detectados 20.566 eventos que comprometiam a segurança digital de órgãos
federais, sendo que o vazamento de dados corresponde a mais de 20% dos casos
apresentados. Considerando o contexto envolvendo a violação de dados, inclusive na
área pública, a aplicação da ISO 27701 pode ser considerada um importante passo
de adequação e satisfação das diretrizes da GDPR e da LGPD.

Neste panorama, vem sendo anunciada
como o “guia do que fazer” para que as empresas se mantenham em conformidade
com a GDPR – General Data Protection Regulation e LGPD – Lei Geral de Proteção
de Dados.

Estar em conformidade com a norma 27701 é inovar e garantir atendimento aos requisitos de privacidade das principais regulamentações de proteção de dados.

Destaque para o art. 42 da GDPR que
trata da questão dos mecanismos de certificação de proteção de dados, como os
selos. No entanto, os mecanismos não haviam sido apresentados claramente. Do
mesmo modo, no Brasil, a LGPD trata os certificados, selos e códigos de conduta
como necessários para a transferência internacional de dados. Além disso,
estabelece que compete a ANPD realizar auditorias ou determinar sua relação no
âmbito da atividade de fiscalização sobre o tratamento de dados pessoais
efetuados pelos agentes de tratamento, incluindo o poder público.

Assim, certificar-se na ISO 27001 e de forma estendida na ISO 27701 poderá ensejar o reconhecimento por parte dos atores interessados e pela própria Autoridade, de que a empresa adota e se preocupa com as melhores práticas no que diz respeito a privacidade da informação.

Estruturar um Privacy Management System é assegurar observância aos controles no
tratamento de PII (Personally Identifiable Information). Deste modo, as empresas devem
iniciar um plano de ação, incluindo, mas não se limitando a:

  1. Assessment: Avaliação e revisão do programa de
    privacidade confrontado com o framework 27701;
  2. Priorização: Após avaliação, um mapeamento dos
    pontos prioritários a serem implementados;
  3. Plano de implementação: Criação do plano de gerenciamento
    eficiente da privacidade da informação;
  4. Implementação: Conscientização, análise dos
    riscos, benchmarkings, concordância com plano de implementação e ação para
    criação prática dos controles;
  5. Auditoria: Revisão da norma em cotejo com os
    controles implementados.

Como visto, a recente publicação da
norma ISO 27701 abrirá uma importante oportunidade de certificação não só de
empresas que buscam um mecanismo de renome e consolidação para demonstrarem a
adesão às regras das normas de proteção de dados, como também de profissionais,
que cientes das diretrizes das Leis, saibam utilizar a ISO como instrumento de
certificação e em prestígio da “accountability”,
demonstrando que a empresa já possui a dinâmica de um plano de governança em
proteção de dados, em que pese não existir um framework definido por leis e
autoridades, já segue os controles de uma importante norma reconhecida
internacionalmente, fato que pode se tornar 
uma tendência.  

Em síntese, a ISO 27701 oferece
então, processos e orientações para proteção de dados pessoais, em um sistema
de gestão que envolve melhoria contínua, com possibilidade de ser utilizada
como padrão de certificação, não só por autoridades europeias, mas também no
Brasil. Se a norma vai se tornar sinônimo de certificação LGPD, veremos com o
tempo, o que não impede, como visto, as empresas e profissionais já se
adiantarem à conformidade com o padrão.

A CyberExperts Inteligência Cibernética atua em todas as fases do preparo de empresas e negócios para adequação as extensões da ISO 27701. Igualmente a CyberExperts Academy está com inscrições abertas para o seu treinamento ISSO 27701. Acesse: www.cyberexperts.com.br 




Como não ser mais uma vítima do Black Friday no E-commerce de 2019?

O Black Friday, febre no Brasil, atrai milhares de pessoas para os sites de e-commerce, em busca de grandes descontos. É nesta época, porém, que muitos golpistas e fraudadores digitais lucram muito com a ganância e inocência de algumas pessoas. Saiba como não se tornar mais uma das milhares de vítimas do Black Friday, adotando 7 (sete) medidas simples.

Anualmente os brasileiros contam
os dias e as horas para que as lojas anunciem o Black Friday, que faz sucesso
por aqui desde 2010, ocorrendo na quarta sexta-feira do mês de novembro,
inspirado pela tradição Norte Americana.

Como vínhamos falando há algum
tempo, o crime digital brasileiro é muito mais criativo do que técnico, e tem
hoje recursos de hospedagem anônima e registro de domínios protegidos por
proxies, além de outras técnicas e recursos simplificados que lhes permitem subir
um site com uma facilidade extrema. Assim, nesta época, todo o cuidado é pouco
com as lojas virtuais “fakes”, falsas ou “anônimas” e é nesta última aonde
existe muita dificuldade em identificar seus criadores.

Observamos que os criminosos digitais inovam constantemente e hoje dominam técnicas de SEO (Search Engine Optimization), analisam sites parecidos com os que vão subir em analisadores de tráfego e logo posicionam seus sites nos buscadores como uma das primeiras opções locais, regionais ou nacionais.

Sem contar que as redes sociais e
buscadores não fazem distinção de criminosos que impulsionam seus sites em
períodos de fortes vendas no e-commerce, o que faz com que as vítimas continuem
expostas cada vez mais a sites falsos, cujo escopo é roubar o dinheiro do
comprador.

Para evitar ser vítima de golpes na época do Black Friday, apontamos 7 (sete) pontos focais que se adotados, minimizam as chances de um dissabor na hora da compra de produtos com descontos:

  1. Pesquise antes: Faça uma análise minuciosa da loja, site, endereço físico, sócios, reclamações, telefones, se possível faça um contato telefônico, busque referências; Acesse o histórico de reclamações no procon ou mesmo no consumidor.gov.br; Utilize um site de WHOIS (Como http://whois.domaintools.com/) para verificar dados do registro do domínio;
  2. Fuja de transferência bancária: Bandidos querem seu dinheiro rápido e não querem trabalho. Não vão oferecer opções que você possa cancelar no futuro. Portanto, desconfie de sites que só aceitam boletos ou transferências bancárias, prefira sempre meios seguros de pagamento onde o dinheiro só é liberado após a entrega da mercadoria;
  3. Visite o site de interesse agora: Isso mesmo, antes do Black Friday. Veja se ele já está no ar, os produtos, os preços, faça prints de tudo, de preferência utilize até mesmo o Original.My para registrar algo de interesse. No BlackFriday, compare para verificar se houve um “aumento para baixar posteriormente”;
  4. Não compre por links: Recebeu um link por e-mail, Messenger, WhatsApp e está pensando em clicar nele e comprar? Não seja tolo! Você vai ser enganado, perderá seu dinheiro e seus dados. Acesse sempre diretamente o site da loja e verifique se a mesma é segura e se o certificado digital está expedido para ela mesma e não para outra empresa.
  5. Proteção de dados e políticas: Avalie se o site está em conformidade com a Lei de Proteção de Dados, se cumpre as entregas, garantias, se está auditado e reconhecido com selos e certificados (Como o Legal2you da CyberExperts, que comprova o compliance do site) e desconfie de dados em excesso solicitados para uma simples compra.
  6. Cuidado com selos falsos: Os bandidos vão tentar passar credibilidade do site para roubar seu dinheiro e para isso, vão usar falsos selos de sites seguros ou que estão em conformidade com a Lei. Desconfie, vá até o site do selo e confirme se a loja realmente é certificada ou não.
  7. Registre as provas: Desde o momento de iniciar a transação, fornecendo dados até a conclusão da compra, registre tudo, telas, confirmações, e-mails recebidos. Hoje existem vários programas “secreen recorders”, alguns até nativos do sistema operacional, que registram com metadados atividades no computador. Todos estes dados serão úteis para comprovação da compra e até mesmo para se apurar a autoria.

Deste modo, é preciso ter em
mente que descontos “fora da realidade” podem
ocultar um site falso, fraudado, uppado apenas para lesar e em seguida ser
removido do servidor web, sem qualquer rastro da fraude. Bandidos normalmente
usam registros de domínios em nome de pessoas laranjas, não possuem empresa constituída
e usam telefones celulares “chips frios” e números VOIP para contato, que após
o golpe são abandonados.

O consumidor precisa ter em mente
que o Marco Civil da Internet, Lei 12.965/2014, permite e dá a base para que
seja possível apurar os responsáveis por um golpe ou fraude digital envolvendo
sites “falsos” ou aparentemente anônimos, sendo que os provedores de hospedagem
deverão guardar os registros de acesso à aplicação por 6 (seis) meses. Para
hospedagem internacional (muito utilizada por bandidos), o consumidor deve
buscar um escritório especializado em direito digital ou advocacia envolvendo
crimes cibernéticos, para que possa adotar as medidas para apuração da autoria.

Não bastasse, o site pode ser
“oficial” e até honesto, mas maquiar o preço, o que pela lei brasileira é considerado
propaganda enganosa, razão pela qual a orientação é que pesquise sempre os
preços com antecedência. Sites como Zoom, BlackFriday, Buscapé, Já Cotei,
dentre outros disponíveis que costumam trazer comparativos e evolução de preços.
Se encontrar o “subiu para dar desconto”, muito comum também na oferta de
serviços, cursos e treinamentos, acione o Procon, Reclame Aqui e demais órgãos
de proteção ao consumidor da sua região.

Para as lojas, é preciso ficar
atento pois o Procon vem apurando lojas que fazem “sobe e desce” de preços, bem
como é preciso um cuidado especial em relação a “fakes” que surgem na época do
BlackFiday e usam a marca da loja indevidamente, lesando consumidores,
monitorando as redes sociais e principalmente, sendo transparentes para com os
clientes, alertando os riscos da época e detalhes das ofertas, nos moldes do
artigo 31 do Código de Defesa do Consumidor.

O IDCI, Instituto de Defesa do Cidadão na Internet, é um instituto que atua por meio da sua equipe em todo o país, analisando sites ligados a fraudes e divulgando aos cidadãos, inclusive, recebendo denúncias de sites “falsos” ou que estão descumprindo a Lei, sobretudo neste período crítico e que envolve muitas transações digitais, que é o Black Friday.  Do mesmo modo, em São Paulo, o PROCON organiza uma lista de sites não confiáveis, atualizada diariamente. Acesse https://sistemas.procon.sp.gov.br/evitesite/list/evitesites.php e confira se o site se encontra nesta lista. Se estiver lá, fuja!

Fique
atento, siga IDCI e receba informações em tempo real sobre golpes e fraudes no
comércio eletrônico e formas de proteção. O cidadão pode consultar o IDCI para
dúvidas e reclamações pelos seguintes canais de atendimento: pelo WhatsApp (11)
98459-7777 (de segunda a sexta das 8h às 20h e aos sábados das 8h às 14h; Ou
ainda pelo Facebook (www.facebook.com/pages/IDCIBrasil).

No meu canal no youtube
(youtube.com/josemilagre) semanalmente, eu trago muito conteúdo sobre direito e
segurança digital. Se inscreva para receber avisos sobre os vídeos gratuitos,
que são publicados semanalmente.




A relação da segurança da informação e perícia em informática com Lei Geral de Proteção de Dados (LGPD)

As imposições
trazidas pela General Data Protection Regulation e Lei Geral de Proteção de
Dados demandaram uma análise e revisão dos processos de segurança da informação
nas empresas e agentes de tratamento. Muitas empresas, no entanto, se
questionam sobre a relação da proteção de dados e segurança da informação, e é
comum que fiquem na dúvida sobre a aderência dos seus controles de segurança da
informação já existentes.

Basicamente, a
segurança da informação já é norteada por normas, requisitos e boas práticas
para proteção da confiabilidade da informação (confidencialidade, integridade, disponibilidade), antes mesmo das
normas específicas relativas a proteção de dados pessoais entrarem em vigor.
Protege-se com elas a informação na empresa e não somente dados pessoais.

Portanto, é
evidente que os controles existentes que sigam os Requisitos da ISO 27001 e
demais normas são considerados pelas leis de proteção de dados e
compatibilizam-se com elas. Estão intimamente ligados. As normas de proteção de
dados (GDPR e LGPD) enaltecem a segurança da informação a todo o instante, não
só estabelecendo a necessidade de agentes de tratamentos, controladores e
operadores, em implementarem medidas técnicas e organizativas para proteção de
dados, trazendo também exemplos de boas práticas técnicas como pseudonimização
e criptografia, mas principalmente, ambas as normas trazem a segurança (exatidão)
como princípio relativo à proteção de dados.

A relação
entre as regras de proteção de dados e a segurança da informação é tão evidente
que a própria formação do Data Protection
Officer
, encarregado de proteção de dados nas empresas, tem necessariamente
conhecimentos de fundamentos de segurança da informação, ativos, análises de
risco, continuidade de negócio, dentre outros conhecimentos inerentes a
security officers e profissionais de SI em geral.

Conquanto as
normas de proteção de dados preocupem-se com o data breaches e não com qualquer evento ou incidente de segurança
da informação, é evidente que estabelecem como um dos pontos de conformidade, o
estabelecimento por parte dos agentes de tratamento de uma gestão efetiva de
incidentes, bem como a concepção de procedimentos claros, diante de um
vazamento de dados, envolvendo notificação à autoridade de controle e em casos
específicos, comunicação aos titulares dos dados, sempre, informando a
natureza, extensão do incidente e quais medidas estão sendo tomadas ou práticas
para mitigar os riscos (lembrando que este ponto ainda carece de regulamentação
na LGPD).

Se o
gerenciamento de incidentes de segurança da informação e resposta forense aos
incidentes era um requisito de normas de melhores práticas em si, agora, ele é
elevado a um dos itens de adequação para as normas de proteção de dados. Assim,
as equipes de resposta a incidentes são válidas, pertinentes e precisam se
adaptar aos requisitos e particularidades envolvendo proteção de dados. Vale
destacar que na consideranda 49 da GDPR a existência do CSIRT (time de resposta
a incidentes) apresenta-se como fundamental, definindo na consideranda 83 a
importância da análise de risco, disciplinando ainda a norma no seu art. 32 o
dever dos agentes de tratamento em assegurarem um nível de segurança adequado
ao risco, inclusive prevendo os testes em seus sistemas (como os pentests,
validações de programação segura, dentre outros), na sua alínea “d”, ao
estabelecer que os agentes devem adotar “Um processo para testar, apreciar e
avaliar regularmente a eficácia das medidas técnicas e organizativas para
garantir a segurança do tratamento.”

Ademais, no
Brasil, com base no art. 38 da LGPD, espera-se que a Autoridade Nacional de
Proteção de Dados passe a exigir relatório de impacto a proteção de dados dos
agentes de tratamento, que deverá indicar, pelo menos a metodologia utilizada
para coleta e segurança das informações tratadas. E o mais grave: Pela Lei
Brasileira, um tratamento de dados não será só considerado irregular quando
tratado sem uma premissa legal ou consentimento, mas principalmente, quando
“não fornecer segurança que o titular dele possa esperar”, sendo que
controladores e operadores poderão responder por danos diante do afrouxamento
de controles de segurança, previstos no artigo 46, que estabelece que os
agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e
de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Não bastasse todas
as relações acima trazidas, é importante destacar que uma empresa que se
demonstre madura em termos de segurança da informação e processos para
identificar e tratar incidentes de dados, poderá muitas vezes minimizar o
impacto da norma e sua responsabilização por incidentes. Procedimentos claros
de perícia digital em dados serão úteis para, a exemplo, demonstrar a inexistência
de violação (fakeleaks) a dados ou
mesmo a culpa exclusiva do titular dos dados, como estabelece o art. 43 da
norma brasileira. 

A perícia de
informática ou em dados também será útil nas controvérsias envolvendo a
realização ou não de um tratamento, onde o titular afirma que o controlador ou
operador fazem o tratamento, e estes negam. Além disso, será muito útil nas
questões envolvendo confirmação ou não de consentimento eletrônico (ou mediante
telas sistêmicas), onde a controvérsia está se houve ou não o referido
consentimento, dentre outras hipóteses em que se revela boa prática que as
empresas mantenham profissionais de digital e data forensics sempre por perto.

Como visto, a
segurança da informação é direito do titular, medida técnica e organizativa
indicada e elencada à princípio para as normas de proteção de dados, sendo
elemento fundamental para assegurar a conformidade de agentes de tratamento às
diretrizes das normas e principalmente, agora, para evitar responsabilizações
junto à ANPD (Autoridade Nacional Brasileira) e até judiciais, diante de danos
decorrentes de tratamento de dados. Do mesmo modo, uma resposta a incidentes
efetiva e adequada à norma, com recursos para investigação digital e em dados,
é mais que boa prática para empresas que queiram reduzir riscos de problemas
jurídicos e responsabilizações diante de incidentes envolvendo dados, aos quais
todo agente de tratamento está sujeito.  




Os Web Crawlers, Scrapping e serviços de raspagem web ficam ilegais com a GDPR e Lei Geral de Proteção de Dados?

Não é novidade que a LGPD, inspirada pela GDPR, entra em vigor em agosto de 2020. As normas mencionadas são bem claras quando o assunto é responsabilidade dos atores que recebem os dados no âmbito da expectativa do titular, com seu consentimento ou amparados por uma das premissas que permitem o tratamento.

A legislação estabelece, por exemplo, que o controlador poderá prever ou ceder dados do titular ao processador, orientando este para que siga as orientações e principalmente ofereça níveis aceitáveis de proteção de dados.

Por outro lado, nem sempre tudo é tão simétrico e os agentes de tratamento são claramente definidos. Em muitos casos, os dados chegam a terceiros de forma não autorizada pelo controlador, ou até mesmo sem que este saiba. Ferramentas que instrumentalizam técnicas de web scrapping e crawling ou mesmo automatizam pesquisas são constantemente utilizadas para tratamento (coleta) de dados de modo nem sempre convencional.

Nestas técnicas, hoje, estão assentados o núcleo de muitos negócios envolvendo empresas de marketing digital, inteligência de dados, background screening e scoring, sendo hoje também a base para inúmeros negócios digitais e startups.

Nesta modalidade, via de regra, o controlador não disponibilizou ao agente de tratamento um webservice, uma API, uma exportação ou qualquer meio “legal”, “previsto”, “dimensionado” ou “regular” para que terceiros acessem dados de seus titulares.

Uma pessoa física ou jurídica acessa alguma interface de exibição de dados do cliente e coleta os mesmos, iniciando um novo ciclo de tratamento. E que nem se argumente que estes dados “foram tornados públicos”, logo, fora do escopo das normas de proteção de dados, pois quem torna um dado público é o titular e muitos crawlers operam inclusive em ambiente logado ou contornando barreiras tecnológicas. Assim, cada caso deverá ser analisado em minúcia.

Mas as atividades seriam ilegais? Neste ponto vale destacar que o artigo 17 da GDPR é claro ao prever que o titular dos dados tem inúmeros direitos, inclusive o direito a exclusão, quando os dados forem tratados ilicitamente. A própria consideranda 39 da norma, deixa claro que os dados pessoais deverão ser tratados de modo a não serem utilizados por pessoas não autorizadas. Não bastasse, a definição de “Violação de dados pessoais” também engloba um acesso não autorizado ou ilícito.

O mesmo se repete no art. 46 da LGPD, que estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Não bastasse, na LGPD, está previsto no artigo 18 o direito do titular dos dados à eliminação de dados tratados em desconformidade com a Legislação, estabelecendo a lei nacional no seu artigo 44 o conceito de tratamento irregular de dados, incluindo quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais o modo que é realizado.

Neste sentido, a menos que exista uma relação clara com o controlador e uma premissa válida de tratamento, o crawling pode ser considerado irregular. Na maioria dos casos o consentimento será a hipótese válida para estas operações, o que se sabe não é tarefa fácil de se conseguir. A nós, parece muito temerário e forçoso tentar demonstrar que um serviço baseado em crawling opera com base em interesse legítimo, considerando que muitas vezes o titular e até mesmo o controlador não sabem da atividade (Este, que poderá detectar mediante monitoramento de requisições a seu serviço).

Na Europa, serviços de crawling já estabelecem em seus termos em que há raspagem de dados apenas com o consentimento. Para estas empresas, recomenda-se analisar quais dados tratam e compõe sua base de dados e que foram objeto de raspagem. Após, é importante avaliar qual a premissa válida para tratar estes dados que foram empregados. Não estando abrangido por uma premissa válida e sem consentimento, a recomendação é exclusão ou anonimização dos dados. E diante de qualquer nova iniciativa que envolva raspagem, a recomendação básica para minimizar riscos é um contato com o controlador para compreender sua expectativa e a do próprio titular dos dados pessoais.

Com efeito, conquanto não possam ser considerados ilegais em todos os casos, que deverão ser cuidadosamente analisados em suas peculiaridades, é evidente que existem cautelas necessárias para empresas que fazem este tipo de tratamento de dados, considerando que controladores que tratem dados legalmente, de modo até a assegurarem os princípios e diretrizes das normas e minimizar riscos de problemas com titulares, poderão não só dificultar o acesso não convencional, mas periciar seus sistemas, identificar coletas indevidas e processar os referidos serviços.

E por falar nas medidas de controladores e operadores, as recomendações para estes, caso passem por uma ação legal ou intervenção administrativa diante de um tratamento não autorizado de dados que lhes foram confiados é, justamente, revisar não só como dados são armazenados na base, mas como são expostos em suas interfaces de acessibilidade, revisando os processos para que possam demonstrar claramente que adotaram medidas técnicas e organizativas possíveis para redução da formação de ciclos de vida indevidos e desconhecidos, estando preparados para apresentar estas medidas a qualquer momento.

Do mesmo modo, é muito importante, diante de uma violação de dados a partir de tratamentos feitos por terceiros sem relação com o controlador ou operador que estes tenham procedimentos claros para demonstrar que não realizaram o referido tratamento, considerando o disposto no art. 82 da GDPR e art. 43, I da LGPD, que é claro ao prever que os referidos agentes de tratamento são isentos de responsabilidade se provarem que não são de modo algum responsáveis ou não realizaram o tratamento indevido. Não se pode desconsiderar, em alguns casos (e cada caso, como dito, terá suas peculiaridades), controladores e operadores sejam “tão vítimas”, quanto os próprios titulares dos dados.

Não é novidade que a LGPD, inspirada pela GDPR, entra em vigor em agosto de 2020. As normas mencionadas são bem claras quando o assunto é responsabilidade dos atores que recebem os dados no âmbito da expectativa do titular, com seu consentimento ou amparados por uma das premissas que permitem o tratamento.

A legislação estabelece, por
exemplo, que o controlador poderá prever ou ceder dados do titular ao
processador, orientando este para que siga as orientações e principalmente
ofereça níveis aceitáveis de proteção de dados.

Por outro lado, nem sempre tudo é
tão simétrico e os agentes de tratamento são claramente definidos. Em muitos
casos, os dados chegam a terceiros de forma autorizada pelo controlador, ou até
mesmo sem que este saiba. Ferramentas que
instrumentalizam técnicas de web scrapping e crawling ou mesmo automatizam
pesquisas são constantemente utilizadas para tratamento (coleta) de dados de
modo nem sempre convencional.

Nestas técnicas, hoje, estão
assentados o núcleo de muitos negócios envolvendo empresas de marketing
digital, inteligência de dados, background screening e scoring, sendo hoje
também a base para inúmeros negócios digitais e startups.

Nesta modalidade, via de regra, o
controlador não disponibilizou ao agente de tratamento um webservice, uma API,
uma exportação ou qualquer meio “legal”, “previsto”, “dimensionado” ou
“regular” para que terceiros acessem dados de seus titulares.

Uma pessoa física ou jurídica
acessa alguma interface de exibição de dados do cliente e coleta os mesmos,
iniciando um novo ciclo de tratamento. E que nem se argumente que estes dados
“foram tornados públicos”, logo, fora do escopo das normas de proteção de
dados, pois quem torna um dado público é o titular e muitos crawlers operam
inclusive em ambiente logado ou contornando barreiras tecnológicas. Assim, cada
caso deverá ser analisado em minúcia.

Mas as atividades seriam ilegais?
Neste ponto vale destacar que o artigo 17 da GDPR é claro que o titular dos
dados tem inúmeros direitos, inclusive o direito a exclusão, quando os dados
forem tratados ilicitamente. A própria consideranda 39 da norma, deixa claro
que os dados pessoais deverão ser tratados de modo a não serem utilizados por
pessoas não autorizadas.  Não bastasse, a
definição de “Violação de dados pessoais” também engloba um acesso não
autorizado ou ilícito.

O mesmo se repete no art. 46 da
LGPD, que estabelece que os agentes de tratamento devem adotar medidas de
segurança, técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou
ilícito.

Não bastasse, na LGPD, está
previsto no artigo 18 o direito do titular dos dados à eliminação de dados
tratados em desconformidade com a Legislação, estabelecendo a lei nacional no
seu artigo 44 o conceito de tratamento irregular de dados, incluindo quando
deixar de observar a legislação ou quando não fornecer a segurança que o
titular dele pode esperar, consideradas as circunstâncias relevantes, entre as
quais o modo que é realizado.

Neste sentido, a menos que exista
uma relação clara com o controlador e uma premissa válida de tratamento, o
crawling pode ser considerado irregular. Na maioria dos casos o consentimento
será a hipótese válida para estas operações, o que se sabe não é tarefa fácil
de se conseguir. A nós, parece muito temerário e forçoso tentar demonstrar que
um serviço baseado em crawling opera com base em interesse legítimo,
considerando que muitas vezes o titular e até mesmo o controlador sabem da
atividade (Este, que poderá detectar mediante monitoramento de requisições a
seu serviço).

Na Europa, serviços de crawling já estabelecem em seus termos que há raspagem de dados apenas com o consentimento. Para estas empresas, recomenda-se analisar quais dados tratam e compõe sua base de dados e que foram objeto de raspagem. Após, é importante avaliar qual a premissa válida para tratar estes dados que foram empregados. Não estando abrangido por uma premissa válida e sem consentimento, a recomendação é exclusão ou anonimização dos dados. E diante de qualquer nova iniciativa que envolva raspagem, a recomendação básica para minimizar riscos é um contato com o controlador para compreender sua expectativa e a do próprio titular dos dados pessoais.

Com efeito, conquanto não possam
ser considerados ilegais em todos os casos, que deverão ser cuidadosamente
analisados em suas peculiaridades, é evidente que existem cautelas necessárias
para empresas que fazem este tipo de tratamento de dados, considerando que
controladores que tratem dados legalmente, de modo até a assegurarem os
princípios e diretrizes das normas e minimizar riscos de problemas com
titulares, poderão não só dificultar o acesso não convencional, mas periciar
seus sistemas, identificar coletas indevidas e processar os referidos serviços.

E por falar nas medidas de controladores e operadores, as recomendações para estes, caso passem por uma ação legal ou intervenção administrativa diante de um tratamento não autorizado de dados que lhes foram confiados é, justamente, revisar não só como dados são armazenados na base, mas como são expostos em suas interfaces de acessibilidade, revisando os processos para que possam demonstrar claramente que adotaram medidas técnicas e organizativas possíveis para redução da formação de ciclos de vida indevidos e desconhecidos, estando preparados para apresentar estas medidas a qualquer momento.

Do mesmo modo, é muito importante, diante de uma violação de dados a partir de tratamentos feitos por terceiros sem relação com o controlador ou operador que estes tenham procedimentos claros para demonstrar que não realizaram o referido tratamento, considerando o disposto no art. 82 da GDPR e art. 43, I da LGPD, que é claro a prever que os referidos agentes de tratamento são isentos de responsabilidade se provarem que não são de modo algum responsáveis ou não realizaram o tratamento indevido. Não se pode desconsiderar, em alguns casos (e cada caso, como dito, terá suas peculiaridades), controladores e operadores sejam “tão vítimas”, quanto os próprios titulares dos dados.




Tendências em litígios judiciais envolvendo Bitcoins e as provas registradas na Blockchain

Em
2017 ocorreu o “boom” das moedas virtuais que revolucionou o mercado com o
aumento da compra e venda de criptomoedas, sendo o Bitcoin a mais conhecida.
Nestes anos, as transações vêm se popularizando cada vez mais, tendo em vista suas
grandes vantagens e crescente aceitação. Proporcionalmente, é cada vez mais
comum a procura do Poder Judiciário em questões envolvendo criptomoedas.


uma constante busca por plataformas on-line, também conhecidas como Exchanges,
por aqueles que visam comprar os referidos ativos virtuais. Estas têm o
objetivo de auxiliar a compra e venda da moeda, ou seja, facilitando a
negociação. As transações são registradas na “Blockchain”, uma espécie de livro
virtual de registros das operações, considerada uma das principais responsáveis
pela segurança das transações em criptomoedas, registradas, em tese, de forma
indelével e sem a presença de um intermediário avalizador, como uma Instituição
Bancária, por exemplo.

Recentemente,
tendo em vista o Agravo de Instrumento n° 2237253-77.2018.8.26.0000, o Tribunal de
Justiça do Estado de São Paulo reconheceu a validade das provas na Blockchain na
ação referente do ex-governador de Goiás, Marconi Perillo, que alega a
existência de publicações em páginas do Facebook, Instagram e Twitter de
“conteúdos inverídicos e ofensivos, com o objetivo de produzir o descrédito do
autor junto à opinião pública”.  De
acordo com a visão da desembargadora Fernanda Gomes Camacho:

(…) não se justifica a
pretensão de abstenção de comunicação de terceiros a respeito dos requerimentos
do agravante e dos termos da demanda, inclusive porque o próprio recorrente
afirmou que “a partir do conhecimento dos fatos, o Autor providenciou a
preservação de todo o conteúdo via Blockchain, junto à plataforma OriginalMy,
hábil a comprovar a veracidade e existência dos conteúdos”.

Em
conformidade com a ACT (Autoridade Certificadora do Tempo), a utilização de
carimbo de tempo já foi regulamentada na ICP-Brasil (Infraestrutura de Chaves
Públicas Brasileira), sendo assim, cada arquivo no sistema possui um carimbo de
tempo que determina a data e o horário com precisão em que ele foi adicionado e
uma assinatura digital específica, conhecida como hash (algoritmo que
transforma um grande número de informações em uma sequência numérica
hexadecimal, para mapear dados),  contribuindo
assim para um alto grau de segurança, o que torna impossível a modificação da
prova apresentada. Em vista disso, há a possibilidade do encaminhamento do arquivo,
que contêm informações referentes ao usuário, para ser certificado em blockchain,
servindo de prova para garantir a veracidade dos conteúdos que ferem a honra e
a dignidade da vítima. Por outro lado, argumenta-se que conteúdos forjados
também poderiam ser registráveis, o conduziria a necessidade de uma prova
judicial para esclarecimento do ocorrido.

O
crescimento das transações em criptomoedas se justifica considerando que a
estrutura assegura um funcionamento contínuo, sendo possível enviar a moeda (ou
ativo digital) para qualquer pessoa independente do dia e horário; por ser
considerada uma transação rápida; ter anonimato parcial, já que os dados
contidos no blockchain são apenas códigos, com exceção de alguns casos de
transações nas quais é necessário a apresentação de um endereço vinculado a uma
identidade; é considerada uma moeda universal, ou seja, pode ser usada em todos
os países facilitando a comercialização; não há interferência de bancos e governos
para determinar seu valor ou quantidade, dentre outros benefícios que ostenta.

É
admirável as inúmeras vantagens que a compra de criptomoedas apresenta, porém deve-se
levar em conta que há um grande risco de perda, uma vez que pagamentos feitos
por meio de Bitcoins não podem ser contestados e nem devolvidos, o que atrai a
atenção de crackers. Logo, é cada vez mais corriqueiro julgados a respeito de
ilicitudes envolvendo o furto e a fraude de Bitcoins nos Tribunais brasileiros.

Não
é raro litígios envolvendo traders (responsáveis por intermediar a relação de
compra e venda), que oferecem rentabilidade fixa aos investidores e não cumprem
com o contratado. Os Tribunais em sua maioria vêm entendendo que tais hipóteses
não se enquadram nos crimes tipificados nos arts. 7, II e 11 da Lei N°
7.492/1986, que define os crimes contra o sistema financeiro nacional e os
ilícitos contra o mercado de capitais, nem o delito apresentado pelo art. 27-E
da Lei n°6.385/1976, que dispõe sobre o mercado de valores mobiliários e cria a
Comissão de Valores Mobiliários, pelo fato da operação envolvendo compra e
venda de criptomoedas não encontrar regulação no ordenamento jurídico pátrio, visto
que as moedas virtuais não são classificadas pelo Banco Central do Brasil (BCB)
como moeda em si, nem são consideradas como valor mobiliário pela Comissão de
Valores Mobiliários (CVM), portanto não caracteriza sua negociação.

Além
do mais, além dos casos envolvendo a validade das provas na Blockchain, furto
de criptomoedas e litígios com traders, há casos no Judiciário Brasileiro em
que foram constatadas falhas na prestação do serviço pelas plataformas
envolvendo saque indevido, o que demonstra a vulnerabilidade em alguns
sistemas, aplicativos, wallets e intermediários  de transações e a existência crescente de
fraudadores especializados em lesar detentores de ativos digitais. O Judiciário,
na maioria dos casos analisados, vem se posicionando no sentido de que é cabível
a restituição do valor perdido, visto que a responsabilidade civil dos
fornecedores de serviços é objetiva, fundada no risco da atividade por eles
desenvolvida, não se fazendo necessário a existência de culpa (CDC, art. 14;
CC, arts. 186 e 927). Por outro lado, resta um grande desafio vem existindo na
apuração da autoria dos fraudadores, sendo que se por um lado o Judiciário vem
se valendo do Marco Civil da Internet, de outro, a arquitetura privada da
Blockchain e classifica-la como um “provedor de aplicações”, não vem sendo tão
simples, considerado ser a estrutura distribuída.

Identificados,
analisando os recentes pleitos no Judiciário, em casos envolvendo vítimas de
fraude com bitcoins, o pedido de danos morais, considerando que para muitas delas
o desfalque afetou sua personalidade, ofendendo a moral, a honra e a dignidade
da pessoa humana (CF, art. 5º, V e X; CDC, art. 6º, VI).  Na maioria dos casos analisados nas cortes do
Brasil, no entanto, não fora deferido danos morais às vítimas, uma vez que a
Justiça entende que não passa de mero inadimplemento contratual ou danos
materiais, levando em conta os altos riscos que envolvem a compra e venda da
criptomoedas, pelo fato de não ser emitida nem garantida por qualquer autoridade
monetária no Brasil.

Por
ser considerado um tema muito recente, o Judiciário vem fundamentando decisões
com base no Código de Defesa do Consumidor (CDC) e naquilo que os órgãos
reguladores, até então, tenham emitido sobre criptomoedas, lembrando que o
BACEN não reconhece as Criptomoedas como moedas e a CVM entende no que cabe, a
aplicação da modalidade de ativos mobiliários, quando por exemplo, ocorre o
chamado “contrato de investimento coletivo” ou o chamado “fundo”, onde uma
empresa promete utilizar um algoritmo para comprar na baixa e vender na alta (com
um crescimento de denúncias ao órgão).  Já a Receita Federal, expediu normativa em que
exige inclusive que a “wallet” seja declarada ao fisco.

Destarte,
sem pretensão de esgotar o tema, apresentamos um panorama das tendências em
litígios envolvendo criptomoedas e a Blockchain como meio de prova no Brasil,
esta, que vem tendo seus registros considerados em alguns cenários. Em
conclusão, conforme análise dos litígios deduzidos no Judiciário brasileiro, resta
evidente que cabe atenção reforçada aos que pretendem investir em criptomoedas,
sobretudo um planejamento jurídico, pois apesar de ser considerado um negócio
promissor, ainda apresenta questões omissas em termos regulatórios e certa
insegurança, instabilidade financeira e vulnerabilidade quanto a garantia das
transações e integridade de alguns dos agentes envolvidos, considerando ainda
riscos envolvendo a atuação de criminosos especializados em furtar criptoativos,
que vem crescendo no País.

José Antônio Milagre

Advogado
especialista em Direito Digital, Dados e Criptomoedas. Perito em Informática. Mestre
e Doutorando pela UNESP, Sócio do José Milagre & Associados, Diretor de
Compliance da CyberExpers Brasil. www.direitodigital.adv.br

Carolina Bonfim Coelho

Especialista
em Direito Digital, Dados e Criptomoedas, membro do escritório José Milagre
& Associados. www.direitodigital.adv.br




Vítimas de WhatsApp ou Chip clonado tem direito a indenização. Como proceder?

Cada vez mais comum no Brasil o golpe envolvendo o Chip Swap, técnica que consiste em cancelar um chip junto a operadora de telefonia móvel. A partir desta clonagem do chip o atacante inicia aplicativos como WhatsApp e se passa pela vítima.

Neste momento tem acesso a inúmeras informações, como dados de e-mails, serviços que a vítima utilizava e até mesmo dados bancários, permitindo ao mesmo solicitar empréstimos a amigos ou sacar valores indevidos, até mesmo manipulando contas bancárias.

Recentemente em São Paulo, uma
mulher que teve o WhatsApp clonado teve uma decisão favorável no Tribunal de
Justiça do Estado, que condenou a operadora de telefonia móvel Claro a indenizar
em R$ 20.000,00 pelos danos causados.

No caso específico, a partir da
invasão, o fraudador conseguiu acesso ao aplicativo de mensagens, devassando a
privacidade da vítima. Ao entrar em contato com a operadora, foi orientada a
trocar de linha. No caso, alega que até a linha nova foi clonada.

Na primeira instância a
condenação foi de apenas R$ 5 mil reais, porém, em segunda instância, o
desembargador relator Roberto Mac Crackern entendeu se tratar o caso de falha
na prestação de serviço, previsto no art. 14 do Código de Defesa do Consumidor,
majorando a indenização para R$ 20 mil reais.

A condenação abre um importante
precedente para que vítimas do perigoso Golpe do Chip Swap sejam reparadas,
considerando que é impossível desconsiderar que conquanto alguns usuários não
apliquem as medidas de verificação em duas etapas em seus aplicativos, é fato comprovado
tecnicamente que o golpe é bem-sucedido diante de falha, dolosa ou culposa, da
operadora de telefonia móvel em avaliar um pedido de troca de chips, a partir
de dados obtidos da vítima. Uma simples checagem para outro telefone ou e-mail
da vítima reduziria e muito o risco a materialização do golpe. As operadoras
não se movimentam, infelizmente.

Assim, as operadoras de telefonia
normalmente alegam nos autos que também foram vítimas de fraude, porém o Judiciário
vem entendendo se tratar de negligência e falta de cautela da Ré ao não adotar
medidas eficazes para evitar a fraude.

De maneira que as vítimas devem:
a) preservar todo o histórico e prints de abordagens do criminoso e de amigos
que fizeram contato relatando o problema; b) os registros de danos e acessos
indevidos causados, c) todos os protocolos de contato com a operadora, c)
realizarem um laudo técnico no dispositivo, por meio da perícia digital, juntamente
para comprovar que a vítima não deu causa à fraude e evidenciar o golpe.

A partir daí reunir a documentação do contrato do plano e chip e buscar o apoio de um advogado especialista em direito digital para a adoção das medidas cabíveis. Lembrando que caso um novo chip tenha sido contratado com documentos da vítima, a operadora, que não terá o contrato, alegará que tem “telas sistêmicas” e que estas valem como um contrato. Desnecessário dizer que a jurisprudência majoritária não aceita a referida tese e imputa à operadora a negligência no processo de contratação, o que gera o dever de indenizar.