1

FAKE NEWS! Vulnerabilidades do armazenamento da cadeia de contatos dos serviços de mensageria (PL 2630)

O Especialista e Perito em crimes cibernéticos, José Milagre, fala à Folha SP sobre os malefícios da medida e a importância dos provedores na contribuição para identificar os criminosos.

Acompanhe em: https://www1.folha.uol.com.br/poder/2020/07/regra-para-armazenar-cadeia-de-mensagens-do-whatsapp-pode-ser-ineficaz-em-projeto-de-fake-news-no-congresso.shtml?fbclid=IwAR3KjFnigHxi3nmZPjVDwgAiKYfFTj5QpaQdRNQdUqRILfcCR58TJ80TPMY 




O Especialista em Crimes Cibernéticos e Perito Digital, José Milagre, fala à CNN Brasil sobre o vazamento de dados no MS.

Em um bate papo com a Jornalista Monalisa Perrone, para o “E tem mais”, o Especialista em Crimes Cibernéticos e Perito Digital, José Milagre, fala sobre o vazamento de dados no Ministério da Saúde.

No mesmo ano em que entra em vigor a Lei Geral de Proteção de Dados, o Ministério da Saúde protagonizou dois grandes vazamentos de informações pessoais de pacientes. O primeiro deles revelou os dados de 16 milhões de pessoas que tiveram Covid-19, entre eles o presidente Jair Bolsonaro e o governador do Estado de São Paulo, João Doria. O segundo foi ainda maior, e tornou públicas informações como nome, endereço e até RG de mais de 200 milhões de brasileiros cadastrados no SUS.

Afinal de contas, como instituições públicas e privadas podem ser responsabilizadas pelo vazamento de dados? Elas já respondem à lei de proteção de dados?

Para saber como agir, caso tenha seus dados vazados, acesse:

https://www.cnnbrasil.com.br/tecnologia/2020/12/10/nova-lei-de-protecao-de-dados-e-a-vulnerabilidade-das-informacoes-na-rede?fbclid=IwAR1j8nffcT-1k3L86O35x_z4bMsWQSLUkCx6mNW2_m4Mm1kefMjcPIQ6wJY




LGPD e novo programa de certificação ABNT: Quais os passos e como a certificação apoia a comprovação da conformidade?

Como os regulamentos tratam o estabelecimento de programas de certificação e quais os passos para iniciar uma certificação ABNT.

Introdução

Como garantir que uma empresa que se autodeclara em conformidade com a LGPD efetivamente mantém controles mínimos para tanto? Este é um dos desafios envolvendo o cenário de conformidade com Sistemas de Gestão da Privacidade da Informação. Conquanto a certificação não seja o “único” meio previsto para demonstração da conformidade, são consideradas como instrumentos válidos de comprovação. Neste artigo, sem pretensão de esgotar o tema, apresentamos como a legislação nacional e internacional trata da temática, bem como detalhes do programa de “certificação” apresentado pela ABNT para conformidade e atendimento das disposições da Lei Geral de Proteção de Dados.

A necessidade de critérios e meios para comprovação da conformidade

A ABNT apresentou em 09/12/2020 o que foi considerado um “novo programa de certificação”, sob o fundamento de que é preciso criar meios para que empresas possam comprovar sua conformidade com a LGPD. Trata-se de um procedimento baseado nas disposições das normas ISO IEC 27001 e 27701, que em tese, se implementados atenderiam parte da Lei Brasileira.

Foi informado, igualmente, que a ANPD, recém constituída, enfrentará desafios de regulamentar e dar completude para o sistema, sendo destacado que o legislador prevê a possibilidade da organização de agentes de tratamento para elaboração de normas de conduta que digam respeito à conformidade, e foi neste sentido que a ABNT apresentou seu programa.

Como a GDPR enxerga as certificações?

A GDPR estabelece em sua consideranda 77 as formas pelas quais a conformidade pode ser comprovada: “As orientações sobre a execução de medidas adequadas e sobre a comprovação de conformidade pelos responsáveis pelo tratamento ou subcontratantes, em especial no que diz respeito à identificação dos riscos relacionados com o tratamento, à sua avaliação em termos de origem, natureza, probabilidade e gravidade, bem como à identificação das melhores práticas para a atenuação dos riscos, poderão ser obtidas nomeadamente recorrendo a códigos de conduta aprovados, a certificações aprovadas, às orientações fornecidas pelo Comité ou às indicações fornecidas por um encarregado da proteção de dados. O Comité poderá emitir igualmente orientações sobre operações de tratamento de dados que não sejam suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares e indicar quais as medidas adequadas em tais casos para diminuir esse risco”

Do mesmo modo, estabelece em sua considerada 81 que, quando o controlador confiar atividades de tratamento a um subcontratante, deverá considerar garantias suficientes e que um procedimento de certificação aprovado poderá ser utilizado como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento. Encoraja ainda a GPDR, na considerando 100, as autoridades de controle à criação de procedimentos de certificação e selos e marcas de proteção de dados, que permitam aos titulares avaliar rapidamente o nível de proteção de dados proporcionado pelos produtos e serviços em causa.

A norma ainda estabelece que procedimentos de certificação poderão ser usados para comprovação de cumprimento de obrigações, conforme arts. 24 e 42. Estabelece que as autoridades de controle promoverão a criação de procedimentos de certificação em matéria de proteção de dados, o que se dará pela própria Autoridade ou por organizamos de certificação, nos termos do art. 43 do GDPR.

Como se tornar um organismo de certificação na Europa?

Organismos de certificação poderão ser acreditados pela autoridade de controle ou por organismo nacional de acreditação e devem demonstrar independência e conhecimentos necessário sobre objeto da certificação, comprometimento em respeitar as disposições legais e terem procedimentos claros de emissão, revisão e retirada de certificações.  Além disso, é necessário demonstrar estrutura para receber reclamações sobre possíveis violações à certificação.

Assim, os critérios para acreditação de organismos serão aprovados pela autoridade de controle.  Conforme a GDPR, a certificação poderá se dar por um período máximo de 5 anos e pode ser renovada. As autoridades de controle serão comunicadas dos motivos da concessão ou revogação de certificação pelos organizamos de certificação. Destaque-se que a certificação é voluntária e deverá se dar por um processo transparente.

A LGPD e as certificações

A Lei, ao abordar a transferência internacional de dados pessoais, em seu art. 33, informa que esta só é permitida quando o controlador comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados, também por meio de certificados.

Do mesmo modo, está, entre as atribuições da ANPD, estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis.

Não bastasse, o art. 50 da LGPD estabelece que:

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Neste sentido, conquanto a certificação não seja uma obrigatoriedade prevista em Lei, tal como na Europa, não existem vedações à criação de programas, sobretudo realizados por entidades sérias e que possam vir a ser considerados.   Ao que se verifica, a questão ainda poderá passar por regulamentação e maiores detalhamentos na ANPD.

Leis e suas doses de subjetividades

É neste contexto que a ABNT apresentou o que nominou de um procedimento “simples e crível”, ou “produto objetivo”. O grande desafio motivador do programa é que, quando se trabalha com “lei” e suas doses de subjetividades, temos várias interpretações não só para empresas, mas para consultores e demais envolvidos em Sistemas de Gestão da Privacidade da Informação e atividades de adequação. Assim, ter critérios claros e transparentes podem ajudar a reduzir esta dificuldade de subjetivismos.

No que consiste o programa de certificação ABNT?

Foi-se então criado um grupo de trabalho na ABNT, especificamente para complementação de diretrizes já existentes, que oferecem alguns pontos mais genéricos. A partir das normas que atendem a lei 13.709/2018, ISO 27701 e ISO 27001 (na nossa visão, parcialmente), foi criado um “checklist” (na fala dos organizadores do programa), que servirá não apenas para autoavaliação, onde empresas poderão verificar a maturidade da implantação do seu processo, mas para avaliação por auditores da ABNT.

Este questionário, então, servirá de roteiro de certificação, permitindo que não haja surpresas ou distanciamento entre a implementação na empresa e a execução presencial de uma auditoria de certificação.  Deste modo, o programa anunciado pela ABNT, reflete não só critérios objetivos para que as empresas considerem, mas também expõe com transparência como será o processo de certificação, representados nas seguintes fases:

FASE A: Fase de Definição do Programa

1) A partir das normas que atendem parcialmente a LGPD, um grupo de trabalho elaborou um Checklist, que servirá para autoavaliação e também será usado pelos auditores para Certificação;

3) Serão previstas “auditorias piloto” para corrigir eventuais erros no programa;

4) O Programa de certificação fica então concebido.

FASE B: Fase de Planejamento

As empresas que desejarem certificar enviarão previamente o “checklist preenchido”, o que seria equivalente ao kickoff do processo de certificação, onde será feita a avaliação documental. Na sequência, se define a equipe auditoria na ABNT. A ABNT informou que treinou auditores na implementação da Lei e técnicas de auditoria. Superada esta etapa, a empresa receberá um retorno sobre as informações prestadas e uma avaliação preliminar, podendo receber data e horário da auditoria e dados da equipe auditora.

FASE C:  Auditoria e certificação presencial

Nesta fase ocorre a avaliação técnica na empresa, onde se verificará se os itens do checklist estão implementados adequadamente. É feita então a verificação do que era necessário, do que foi implantado e como o sistema está ocorrendo no dia-a-dia da organização. Nesta fase, os auditores também poderão considerar regulamentos e normas específicas do negócio.

FASE D: Emissão do certificado

Superadas as auditorias, os auditores da ABNT emitirão um parecer conclusivo, sendo que a empresa poderá ser recomendada para certificação (se não tiver nenhuma desconformidade – com base no ckecklist) ou não, caso em que ela deverá ajustar a conformidade, momento em que será fixado um prazo para ações corretivas.

FASE E Auditorias de manutenção

Após a certificação, é importante ficar atento às auditorias de manutenção. A certificação terá validade de 3 (três) anos, com auditorias de manutenção a cada intervalo de 12 (doze) meses. As auditorias ditas de “manutenção” seguem os mesmos critérios da auditoria inicial, onde o escopo é verificar se o Sistema de Gestão continua ativo.

O programa é “aprovado pela ANPD”?

Como claramente informado no lançamento do programa, a certificação é voluntária, não se tendo, até o momento, uma “aprovação formal da ANPD”, o que poderá ocorrer no futuro, com o avanço das deliberações e atuação da Autoridade. Tal como na Europa, no Brasil a certificação é voluntária, e não exclui demais meios de comprovação ou o dever de atendimento a outros preceitos previstos na Lei.

Como requerer o início da certificação na ABNT?

Segundo a ABNT, o órgão já está à disposição das empresas para concretizar a certificação a nível nacional. Ou seja, em síntese, empresas interessadas já podem ter acesso ao checklist e inicialmente conduzir uma auditoria interna para avaliação e posteriormente, iniciar o processo de certificação. Na exposição de lançamento, não ficou claro se o programa terá uma identificação, mas ao que parece, consiste em uma metodologia clara e objetiva de itens que serão considerados em uma auditoria para conformidade.

Conclusões

Por mais que a certificação já esteja à disposição, recomenda-se, logicamente, antes de qualquer chamada de auditores da ABNT, que a empresa tenha consciência de seu estágio de implementação, já que uma das premissas de se certificar é que a empresa candidata tenha implementado um Sistema de Gestão. Caso efetivamente entenda existir maturidade suficiente, após avaliação criteriosa, é importante que realize um assessment do seu estágio atual em relação aos requisitos e diretrizes da ISO 27701, conduza uma auditoria independente ou interna já considerando os itens do checklist do programa de certificação ABNT e não inicie o processo de certificação sem garantir que itens não conformes, apontados na auditoria interna/externa, foram devidamente corrigidos. As certificações, como visto, são importantes meios para comprovação de conformidade. Embora sejam não obrigatórias, é inegável que se constituem em importantes mecanismos de melhora da qualidade dos processos e transparência na demonstração de controles envolvendo proteção de dados pessoais.

Referências

ABNT. LGPD – Conheça o novo programa de certificação da ABNT. Disponível em:< https://www.youtube.com/watch?v=jw1wENxcwX0> Acesso em: 09. Dez.2020

MILAGRE, José Antonio. ISO 27701: Como a norma se harmoniza com a LGPD e como adequar e certificar sua empresa?  Disponível em:< https://josemilagre.com.br/blog/2019/11/21/iso-27701-como-a-norma-se-harmoniza-com-a-lgpd-e-como-adequar-e-certificar-sua-empresa/> Acesso em: 09. Dez.2020

MILAGRE, José Antonio.  O que é ISO 27701 e como entender a aplicação da norma para gestão da privacidade da informação em 5 passos. Disponível em:< https://josemilagre.jusbrasil.com.br/artigos/791257034/o-que-e-iso-27701-e-como-entender-a-aplicacao-da-norma-para-gestao-da-privacidade-da-informacao-em-5-passos?ref=serp> Acesso em: 09. Dez.2020

MILAGRE, José Antonio.  ISO 27701 e LGPD: 10 pontos para entender e adotar um Sistema de Gestão da Privacidade da Informação. Disponível em:< https://youtu.be/vrGcG3do0-s> Acesso em: 09. dez.2020

Sobre o Autor

José Antonio Milagre, Advogado especialista em Direito Digital e Proteção de Dados, Analista de Sistemas, Diretor da consultoria CyberExperts, atuando na adequação e auditoria em negócios de variados segmentos à LGPD, Mestre e Doutorando em Ciência da Informação pela UNESP, DPO EXIN, Presidente da Comissão de Direito Digital Regional Vila Prudente da OAB/SP e Membro da Diretoria do Instituto de Defesa do Cidadão na Internet – IDCI Brasil. http://www.direitodigital.adv.br  – http://www.cyberexperts.com.br




Home Office causa aumento de crimes digitais no Brasil

Com a pandemia muitas empresas migraram de seus ambientes corporativos para os chamados Home Office, ou Teletrabalho, no entanto, esta nova realidade trás vulnerabilidade aos dados empresariais que ficam a mercê dos criminosos.

Saiba os detalhes para proteger sua empresa acessando: https://www.gazetasp.com.br/brasil/2020/12/1080963-brasil-sofreu-mais-de-34-bilhoes-de-tentativas-de-ataques-ciberneticos-em-2020.html




Vendas pela internet podem facilitar fraudes na Black Friday; veja como evitar

Você costuma fazer compras pela internet? Sabe como conferir a autenticidade dos sites? Como se proteger para não cair em golpes? O Especialista em Direito Digital e Crimes cibernéticos, José Antonio Milagre, fala sobre os cuidados que devem ser adotados durante as compras e o cenário atrativo para os criminosos durante o período de grandes descontos, como a Black Fryday.

Saiba mais em: https://jovempan.com.br/noticias/brasil/vendas-pela-internet-podem-facilitar-fraudes-na-black-friday-veja-como-evitar.html




O novo sistema de transferência bancária está dando o que falar! Já cadastrou a sua chave Pix? O Especialista, José Milagre da dicas para faze-lo com tranquilidade

O Especialista em Crimes Digitais e Perito em Informática falou ao Gazeta do Povo sobre o novo sistema de transferência bancário, o Pix, você já está por dentro desta nova tecnologia? O Especialista fala sobre a segurança da ferramenta e como se proteger dos golpes que podem surgir.

Para saber mais detalhes acesse: https://www.gazetadopovo.com.br/economia/chave-pix-armadilhas-no-uso-de-dados/




Como os “hackers” agiram no ataque ao Superior Tribunal de Justiça do Brasil?

Investigação, lições e como se proteger do ransomware

José Antonio Milagre*

Um dos maiores ataques cibernéticos do país indisponibilizou serviços do Superior Tribunal de Justiça Brasileiro (STJ). Estima-se que o Ministério da Saúde também tenha sido atingido. Após ter dados críticos criptografados, os técnicos da corte encontraram um pedido de resgate.

Ao que identificado, o STJ foi vitimado por uma ameaça conhecidíssima, nada de “alta tecnologia”, mas um ataque de ransomware, “sequestro de dados”, códigos automatizados que ao infectarem máquinas, criptografam arquivos com diversas extensões, ou mesmo cifram o disco todo, exigindo o pagamento em bitcoins.

No caso do STJ, o ataque criptografou os arquivos, renomeando as extensões, aparentemente, para *. Sth888. Como prova de que podem reverter o conteúdo, pedem que a vítima envie qualquer arquivo menor que 900 KB e devolverão descriptografados.

Assim, bases de dados críticas, sistemas, servidores web e softwares são paralisados, causando indisponibilidade de serviços e grandes transtornos. No caso, até audiências foram paralisadas.  Trata-se de uma ameaça onde o que não se falta são medidas “preventivas” para evitar que criminosos tenham sucesso com o golpe digital. (Já tratei inclusive deste tema no meu canal em:  Ransomware: Como evitar, remover, descriptografar e descobrir como foi infectado? 2020 José Milagre https://www.youtube.com/watch?v=EPJwP1rRsq8).

Muitos poderiam pensar que um Tribunal estruturado e com um grande orçamento, jamais seria vítima de uma ameaça tão conhecida, para qual existem recursos preventivos diversos. Porém, a invasão ao STJ e a outros órgãos públicos nos faz refletir sobre alguns pontos:

a) Não importa o quão a empresa invista em infra-estrutura em seu ambiente, na nova forma de trabalho, home office, a vulnerabilidade pode estar no elo mais fraco da corrente, ou seja, as máquinas vulneráveis dos trabalhadores, que acessam a VPN ou rede da empresa;

b) Até mesmo ameaças conhecidas, se não tratadas com medidas técnicas e organizativas, podem impactar grandemente em dados e na disponibilidade de sistemas; Um exemplo de boa prática é a adoção de backups e o estabelecimento de um disaster recovery plan.

c) Uma estrutura de resposta a incidentes jamais será eficaz se não estiver formalmente constituída e preparada com antecedência, com processos claros para compreensão do incidente, se evolve dados pessoais ou se há a necessidade da perícia em informática, para que se possa identificar e apurar o modus operandi e a possível autoria.

Os criminosos podem responder, de acordo com a situação, dentre outros delitos, por invasão de dispositivo informático e também pelo delito de interrupção ou perturbação de serviço informático, ou de informação de utilidade pública, crimes previstos no Código Penal Brasileiro e Lei 12.737/2012 (Carolina Dieckman).

No entanto, no caso do ataque de ransomware, tão dificultoso quanto descriptografar os dados sem a chave de reversão (o que demandaria muito poder de processamento, diante da complexidade dos algoritmos), é a apuração da autoria ou dos responsáveis. A perícia digital e em informática lidará com origem incerta, além da dificuldade de apurar a conta de destino do resgate, considerando que os criminosos recebem em criptomoedas e as transações na Blockchain podem não indicar muito sobre o recebedor.

Importante destacar, igualmente, que de acordo com a Lei Geral de Proteção de Dados, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, ou ilícito.

Mais que isso, deverão comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, em prazo razoável, indicando a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial, os riscos relacionados ao incidente e as medidas que foram ou que serão adotadas para reverter, ou mitigar os efeitos do prejuízo.

Logo, é dever do órgão apurar se existiu ofensa a dados pessoais e ser transparente a respeito, nos termos da legislação nacional de proteção de dados.

Ferramentas e kits que permitem que qualquer pessoa aplique o ransomware e se torne um criminoso, com alguns cliques, são facilmente encontradas na rede. Pacotes efetivos e “atualizados” são vendidos na deep web, inclusive com disparos de e-mails “pishing” e outras formas mais sofisticadas de infecção, como o carregamento do código a partir do navegador, com o acesso a um site infectado. Em sentido oposto, as técnicas de perícia em informática para rastreio da Blockchain em busca do destino do dinheiro produto de crime engatinham e as transações em criptomoedas para fins ilícitos constituem um grande desafio para peritos de informática e investigadores digitais.

Deste modo, o ransomware, conquanto ameaça conhecida, continua em alta e muito efetiva, lesando de pequenos empresários e grandes cortes, sobretudo diante dos descuidos com proteção de dados e cópias de segurança, e como visto, a prevenção continua sendo a melhor forma de proteção contra este problema.

Prof. MSc. José Antonio Milagre, é perito em informática, advogado especialista em crimes cibernéticos e direito digital, Mestre e Doutorando em Ciência da Informação pela UNESP, Pesquisador do Nucleo de Estudos em Web Semântica e Análise de dados –  NEWSDA-BR da Universidade de São Paulo (USP), Diretor do Instituto de Defesa do Cidadão na Internet – IDCI. Autor pela Editora Saraiva em co-autoria com o Professor Damásio de Jesus, dos livros e “Marco Civil da Internet: Comentários à Lei 12.965/2014” e “Manual de Crimes Informáticos”. É colunista da Rádio Justiça/STF.

consultor@josemilare.com.br




Como hackers tiveram acesso a conversas privadas de Sergio Moro?

O Especialista e Perito Digital, José Milagre, esclareceu ao Uol algumas dúvidas sobre o acesso às conversas do Ex Juíz e falou sobre a criptografia de ponta a ponta que protege o Chat Secreto do Telegram.

Para saber mais acesse: https://www.uol.com.br/tilt/noticias/redacao/2019/06/10/como-hackers-tiveram-acesso-a-conversas-privadas-de-sergio-moro.htm




Lições para aprender rápido com o vazamento de senhas envolvendo sistemas do Ministério da Saúde.

16 milhões de pessoas teriam sido comprometidas. Cidadãos podem requerer informações e mais transparência sobre o incidente envolvendo dados pessoais. 

José Antonio Milagre

Repercutiu no país o vazamento de senhas de sistemas eletrônicos do Ministério de Saúde e que teria permitido o acesso a dados pessoais de pelo menos 16 milhões de pessoas, sendo considerado o maior vazamento de dados sensíveis do Brasil. O problema ocorreu a partir da publicação das credenciais em uma plataforma aberta na internet, comumente utilizada para compartilhamento de códigos.

Os dados publicados poderiam ser usados para acessar dados como CPF, endereço, telefone e dados pessoais sensíveis como doenças pré-existentes. Dados sensíveis são aqueles cuja exposição podem causar danos a direitos e liberdades dos indivíduos, ou que possam ensejar discriminação do titular e incluem as informações e dados referentes à saúde.

As senhas foram disponibilizadas em uma planilha, sem proteção, que por sua vez fora disponibilizada no site GITHUB, comumente usado por programadores para compartilhamento de códigos. A questão se traduz em uma nítida falha humana, de colaborador que, sem observar requisitos e diretrizes de segurança da informação, bem como inconsciente de princípios fundacionais de privacidade por design, publicou o conteúdo crítico em uma área pública, com intenção temporária, como se fosse uma “área de transferência”, mas esqueceu de apagar. O colaborador foi demitido.

Importante destacar que os controladores de dados pessoais são considerados pela Lei como pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. Neste sentido, o fato apenas expõe a previsão da Lei Geral de Proteção de Dados, sobretudo, a responsabilidade de controladores em relação a atos de seus colaboradores e prestadores de serviços.

O fato de publicar uma nota de que “não houve publicação de dados” pelo colaborador não afasta o risco, pois, a partir das credenciais, pessoas mal intencionadas poderiam acessar os referidos dados, por meio de acesso a sistemas do Governo Federal.

A denúncia de quem encontrou a vulnerabilidade foi a um Jornal, o que pode ser um indício de que os agentes de tratamento tomaram conhecimento a partir da notícia publicada. Seja como for, o fato escancara a necessidade de empresas estabelecerem procedimentos claros e de desenvolverem processos para tratar incidentes com dados, que possam ocorrer, atendendo a LGPD. Canais acessíveis para se receber comunicados sobre supostas violações são fundamentais.

A norma informa em seu artigo 42 que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a reparar. Do mesmo modo, informa que estes agentes de tratamento serão responsáveis pelos danos decorrentes da violação da segurança dos dados, quando não adotarem as medidas de segurança previstas no art. 46, e assim, dando causa aos danos.

O art. 46 da norma prevê a necessidade de agentes de tratamentos adotarem medidas técnicas e organizativas para protegerem os dados pessoais, sobretudo de acessos não autorizados. Em complemento, a ISO/IEC 27701 estabelece controles, requisitos e diretrizes que podem ser adotados por agentes de tratamento de dados, de modo a comprovar ou atender parte das necessidades regulatórias.

Em caso de incidentes como o ocorrido, no entanto, deve a empresa comunicar à Autoridade Nacional e ao titular sobre a ocorrência, que possa lhe acarretar risco ou dano. Embora a Autoridade Nacional de Proteção de Dados ainda deva definir detalhes sobre esta comunicação, a Lei já traz o que uma comunicação de violação de dados pessoais deverá conter:

A descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial, os riscos relacionados ao incidente, os motivos da demora, no caso de a comunicação não ter sido imediata, as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Neste sentido, o fato de lançar mão de “notas públicas” genéricas, em nossa visão, não pode ser considerado o mais efetivo e transparente de cientificar pessoas possivelmente afetadas, inclusive em seus dados sensíveis. Deste modo, não é demais dizer que os cidadãos e titulares de dados podem requerer aos agentes envolvidos informações sobre o ocorrido, em detalhes, até para que possam se proteger, caso seus dados constem do possível vazamento.

Como visto, um Sistema de Gestão da Proteção de Dados, considerando um Time de Resposta a Incidentes devidamente constituído, preparado e com processos claros para responder a notificações de violação de dados é fundamental, sobretudo porque no juízo de gravidade do incidente, a comprovação de medidas técnicas adequadas, não só reativas, mas preventivas, serão consideradas, como, por exemplo, medidas para tornar os dados ininteligíveis.

O caso em tela nos exemplifica situações corriqueiras que muitos hoje ainda praticam e que podem causar danos terríveis aos titulares. A falta de treinamentos e conscientização corporativa pode custar muito caro. Mais grave que isso, pesquisas e strings repassados aos buscadores podem revelar repositórios de dados pessoais, mantidos por empresas a órgãos públicos, expostos e esquecidos em diretórios não protegidos e indexados pelos buscadores, onde sequer senha é necessária para acesso. Muito ainda será exposto. A negligência ainda persiste, mesmo com o advento da LGPD e, francamente, não há previsão de que este cenário de consciência de privacidade mude em um curto lapso temporal, sobretudo, enquanto as penas à altura dos danos praticados não comecem a ser aplicadas.

José Antonio Milagre é advogado especialista em segurança da informação e crimes cibernéticos, Mestre e Doutorando em Ciência da Informação pela UNESP, Data Protection Officer (EXIN), e Diretor-Presidente do Instituto de Defesa do Cidadão na Internet (IDCI-Brasil). consultor@josemilagre.com.br




Black Friday 2020: Especialista em crimes digitais, José Antonio Milagre, orienta como evitar golpes virtuais e como agir caso tenha sido vítima.

Mais uma BlackFriday se aproxima e com ela o oportunismo de criminosos cibernéticos, que usam de técnicas variadas para aplicação de golpes, explorando muitas vulnerabilidades dos consumidores virtuais, que desatentos, acabam fornecendo dados pessoais ou comprando em páginas falsas, que são criadas apenas pelo período necessário para tirar o dinheiro do consumidor. Esta edição, porém, promete ser maior por conta do isolamento social diante da COVID-19. Segundo a Ebit Nielsen, as vendas devem crescer 27% em comparação com a edição de 2019.

Os criminosos digitais têm criado “lojas iscas”, normalmente hospedadas em servidores no exterior. Do mesmo modo, ocultam os dados do registrante, por meio de registros “domain by proxy”, tudo para dificultar a investigação de quem está por trás do e-commerce “simulado”.

Rapidamente investem em anúncios nos buscadores e outros métodos de impulsionamento, incluindo redes sociais e rapidamente ficam bem ranqueados na rede. A vítima então se depara com o anúncio, normalmente com preço fora do comum. Se não se atentar para elementos visuais da página ou dados de contato da loja, acaba acreditando que está fazendo um bom negócio, e nunca mais verá seu dinheiro.

As lojas falsas, normalmente se valem de depósito bancário ou boletos, que dificultam o cancelamento das compras ou o rastreio do dinheiro. Assim, todo o cuidado é pouco no período de promoções, já que o crime digital brasileiro explora momentos de grande mobilização digital para auferir lucro, lesando pessoas.

O advogado e perito especialista em crimes cibernéticos, José Antonio Milagre, CEO da CyberExperts e Diretor do Instituto de Defesa do Cidadão na Internet (IDCI) apresenta estratégias para se proteger de golpes digitais e dá dicas sobre como agir, caso tenha sido vítima de fraudes e crimes cibernéticos na BlackFriday.

Dez estratégias para que não que seja vítima de golpes digitais na BlackFriday:

1) Cuidado com descontos absurdos. Embora seja Blackfriday, 90% de desconto é algo estranho de se ver. Cuidado, confira a média de preço dos produtos. O criminoso vai usar este gatilho para chamar sua atenção;

2) Avalie a reputação da Loja. Em um universo de aproximadamente 1 milhão de lojas virtuais, muitas delas podem ser “lojas iscas”, criadas para ficar no ar por pouco tempo, fazer centenas de vítimas e desaparecer. Portanto, pesquise se a loja tem “histórico”, comentários, outras compras, etc. O Google está aí para isso;

3) Avalie as formas de pagamento. Desconfie de lojas que só oferecem depósito bancário, boleto ou criptomoedas. Estas modalidades podem dificultar o cancelamento da compra ou a investigação dos destinatários. Opte sempre por meios de pagamento seguros, onde o dinheiro é liberado quando o consumidor declara que recebeu a mercadoria;

4) Busque contatos da loja. Faça contatos prévios com a loja, mas não só por e-mail, busque um contato telefônico, verifique onde está a sede e desconfie de lojas onde o único contato é um telefone celular;

5) Cuidado com ofertas em comunicadores, e-mails e redes sociais. Jamais clique ou acesse lojas virtuais a partir de links, ou ofertas que receber em comunicadores, WhatsApp e redes sociais;

6) Não acesse lojas pelo buscador. Acesse diretamente o site da loja evitando também pesquisar pela loja no buscador. Cuidado com pequenas mudanças no nome do site e avalie se possui certificado digital expedido para o próprio site. Os criminosos digitais podem falsear um link direcionando a vítima para o site errado. Ataque de pishing são muito comuns, com a falsificação de marcas e identidade visual de sites com ofertas de descontos, dentre outras chamadas para pescar consumidores desatentos;

7) Cuidado com códigos enviados para o celular para supostos descontos. Imagine que você recebe uma mensagem que conseguiu um cupom especial para o BlackFriday, mas para que você receba, você precisará informar um código que chegará pelo celular via SMS. Neste exato momento a vítima não ganhou o desconto, mas pode ter permitido a clonagem do WhatsApp ou até mesmo ter o reset de senhas de app’s financeiros realizados com sucesso, dando acesso ao criminoso. Não confie jamais nesta abordagem. Não informe a ninguém códigos que receber pelo celular;

8) Golpes com PIX. Muitos criminosos também poderão explorar este momento envolvendo a novidade, falsear identidade visual de lojas e oferecer produtos com “desconto” para compras com o pix, oferecendo códigos errados ou chaves que direcionarão o pagamento para o fraudador. Muita cautela no uso da nova tecnologia;

9) Desconfie de dados excessivos. Cheque a política de privacidade do site, se conecte a partir de uma conexão segura, avaliando se o site também tem SSL (https) assegurando proteção contra interceptação de dados e jamais forneça dados mais que necessários para a compra, como “senha do cartão” e outros dados. Mantenha sempre seu sistema operacional atualizado, com firewall e anti-malware ativados;

10) Faça provas de tudo. Guarde provas de toda a compra, salve os códigos, registre prints, e-mails recebidos, se necessário registre em vídeo do processo de compra. Todos estes dados podem ser uteis diante de uma fraude ou golpe, onde a perícia digital poderá identificar a autoria dos criminosos.

Avaliar aspectos de legalidade de um site nem sempre é uma tarefa fácil para o consumidor. Embora a Lei Geral de Proteção de Dados já esteja em vigor (LGPD), já esteja em vigor, muitas lojas ainda não estão em conformidade e não são totalmente transparentes em seus processos.

Outra proteção importante, mas não realizada a golpes digitais, é avaliar as chamadas “fraudes” de lojas que sobem o preço para depois baixarem. Para isso sites como buscapé, zoom e baixou agora podem auxiliar, pois, apresentam um histórico do preço.

Buscapé mostra preço do Iphone 11 em 02/11 e 14/11 de R$ 4649,07 por R$ 5383,00

Caso tenha sido vítima de um golpe digital, o especialista, José Antonio Milagre, recomenda: “Imediatamente resgate todos os dados da compra, registre um boletim de ocorrência online e procure um especialista em direito digital e crimes cibernéticos para que se incie um processo de apuração da autoria e responsabilização dos criminosos. Em casos de clonagem do chip, pode-se buscar a reparação em face da operadora de telefonia móvel.”

 Do mesmo modo é muito importante contactar o banco com informações sobre a fraude e notificar a loja que eventualmente teve a marca usada para a fraude, para se buscar uma resolução amigável. As lojas podem ser responsáveis, se não adotavam medidas de segurança da informação ou não monitoravam o uso indevido de suas marcas, permitindo que fossem usadas para fraudes e golpes. 

Porém, é importante advertir, se a loja comprovar que não deu causa ou que a despeito de todas as ostensivas demonstrações de segurança, a culpa foi exclusiva do consumidor, esta pode não se obrigada a reparar. Cada caso é um caso, e muitos deles serão apreciados pela Justiça. Por isso, prevenção é a melhor opção, sempre.

O IDCI (Instituto de Defesa do Cidadão e Consumidor na Internet) presta atendimento e apoio a vítimas de golpes e crimes cibernéticos, por seus canais, Siga @idcibrasil no Facebook e Instagram.

Prof. MSc. José Antonio Milagre, é Advogado e perito especializado em Direito Digital e Crimes Cibernéticos, Mestre e Doutorando Ciência da Informação pela UNESP, Presidente da Comissão de Direito Digital da OAB/SP Regional da Vila Prudente, Autor pela Editora Saraiva em co-autoria com o Professor Damásio de Jesus, dos livros “Marco Civil da Internet: Comentários à Lei 12.965/2014” e “Manual de Crimes Informáticos”. Fundador do Instituto de Defesa do Cidadão na Internet – IDCI.

Canais:

http://www.instragram.com/drjosemilagre
http://www.facebook.com/drjosemilagre
http://www.youtube.com/josemilagre