1

Vazamento de dados pessoais de 100 milhões de contas de celular. O que você precisa saber?

Quais dados vazados?

O vazamento expõe contas telefônicas e segundo a Psafe estavam disponíveis na Dark Web desde o dia 03 de fevereiro e envolvem informações como CPF, número de celular, tipo de conta telefônica, minutos gastos em ligação e demais dados pessoais. São 102.828.814 mil registros. Ao que parece pertencem as operadoras Claro e Vivo, mas é preciso investigação para se confirmar pois as empresas negam a responsabilidade.

Qual a motivação?

A motivação ao que identificado é financeira. Já que as informações estão sendo vendidas individualmente ou em pacotes, no valor de U$$ 1 cada.

As pessoas devem se preocupar?

As pessoas precisam se preocupar com vazamentos desta natureza, pois eles podem ser utilizados para criação de cadastros, falsa identidade, compras, aplicações de golpes e fraudes e até por tentativas de acessar contas bancárias e ativos das vítimas. É muito importante ficar atento a mensagens não solicitadas recebidas e caso receba abordagens de pessoas ou empresas que desconhece, questionar como o agente obteve os dados. Lembrando que nos termos da LGPD é direito do titular de dados confirmar a existência de tratamento, acessar os dados e até mesmo a eliminação dos dados tratados em desconformidade com a Lei.

Os cidadãos tem culpa?

Não. Os usuários não têm culpa alguma. Um dataset gigante com 100 milhões de registros, certamente veio de um agente de tratamento, este que pode ter negligenciado com seus deveres relativos à segurança da informação e proteção de dados. Lembrando que pela LGPD o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes. Assim, a ANPD precisa investigar adequadamente o caso. Conforme dispõe a LGPD, responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que deixa de adotar as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Como a Autoridade Nacional de Proteção de Dados (ANP) pode agir?

Compete à ANPD fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. Neste caso, a ANPD poderá instaurar um procedimento administrativo para apurar a responsabilidade dos agentes de tratamento que seriam responsáveis pela base de dados. Embora as penas só possam ser aplicadas em agosto de 2021, nada impede, no entanto, que outras entidades atuem, como Procon, Senacon e até mesmo o Ministério Público, que tem se mostrado muito ativo nas questões envolvendo vazamento de dados pessoais.

Se comprovado, as empresas de telefonia respondem pelos danos?

Conforme dispõe a LGPD, responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Assim, as responsáveis poderão ser processadas por entidades de defesa do consumidor, associações de representação e Ministério Público, caso comprovada a negligência que permitiu o vazamento de dados. A ANPD também divulgou nota informando que oficiou outros órgãos, já que ainda não pode aplicar suas penalidades, e que promoverá, com estes órgãos competentes, a responsabilização e punição dos envolvidos. Procon e Anatel também estariam habilitadas a atuar nestes casos. O Procon poderia inclusive aplicar multa com base no Código de Defesa do Consumidor. Acreditamos que nestes casos a prova pericial em dados será fundamental para apurar se realmente os dados se originaram de vazamentos das operadoras de telefonia ou não.

Em síntese

Com a LGPD e o aumento da maturidade e consciência em relação à privacidade e proteção de dados, ganha relevância maior notícias de vazamento de dados. Por outro lado, nos últimos dois casos grandes no Brasil, os suspeitos negaram o envolvimento. Assim, a questão será probatória e técnica, sendo necessárias auditorias e perícias em informática para que, no processo administrativo, fique comprovado ou não o envolvimento.

José Antonio Milagre, advogado e perito em segurança da informação e dados pessoais, especialista em crimes cibernéticos e Presidente do Instituto de Defesa do Cidadão na Internet (IDCI Brasil).




Rede Social ClubHouse, privacidade, riscos e cuidados: Tudo que você precisa saber sobre a rede de conversas por voz.

Diante do crescimento da rede social ClubHouse (https://www.joinclubhouse.com/) desenvolvida pela Alpha Eploration Co., já avaliada em 1 bilhão de dólares e com 2 milhões de usuários ativos, analisei a sua política de privacidade, atualizada em novembro de 2021, para verificar como se dá o tratamento de dados pessoais e outros aspectos de segurança. O aplicativo tem rapidamente crescido no Brasil. Em julho do ano passado, o The Verge (https://www.theverge.com/interface/2020/7/8/21316172/clubhouse-content-moderation-taylor-lorenz-harassment-abuse)  escreveu que o App não parecia ter um plano para moderar conteúdo. A política de privacidade é clara: Para usar o App você deve concordar com os termos. Quais os temos? Vamos lá.

Quais dados pessoais são coletados?

O ClubHouse coleta informação por si ou “combinada” com outras informações em sua posse e que possam identificar o titular ou constituírem dados pessoais, e são descritas na seção 1:

  • Informações que o titular provê: nome, e-mail, username, conteúdos;
  • Áudios: Os áudios gerados são mantidos enquanto a sala (quarto) estiver ativo, porém, se um usuário denunciar à plataforma por violação, enquanto a sala estiver ativa, os áudios serão mantidos pelos propósitos de investigação do incidente. Se a investigação concluir pela inexistência de violação, os dados serão deletados.

A plataforma demonstra preocupação com transparência ao prever que não coleta áudios de participantes em mute e de “audience members”, bem como que todas as gravações de áudio são encriptadas.

  • Redes e conexões: São coletados dados sobre pessoas, grupos e como elas interagem com o serviço, além da coleta dos contatos do usuário;
  • Dados sobre uso: Coletam informações sobre o uso do serviço, como por exemplo, quais conversações engajou mais, conteúdos, ações que usuário tomou, pessoas com quem interagiu, frequência, tempo, duração, etc.;
  • Dados de comunicação: Quando se faz contato com a plataforma, espontaneamente fornecendo dados;
  • Dados de mídias sociais: Dados que podem ser coletados em páginas da plataforma em outras mídias sociais;
  • Dados de atividade de internet: Cookies, logs, dados sobre o dispositivo, dados sobre uso do serviço, pixels nos e-mails enviados, etc.

Além disso são coletados dados de terceiros, como:

  • Dados derivados: Inferências feitas a partir dos dados coletados;
  • Cookies: Para manter a funcionalidade ou aprimorar a experiência do usuário;
  • Google analytics: Web Analytics provido pelo Google INC;
  • Registros Online Tracking e do not tracking: Atividades do navegador de Internet através de diversos sites e usando as informações para envio de propaganda.

Como os dados são usados?

A seção 2 da Política do ClubHouse estabelece as formas pelas quais os dados são utilizados, incluindo para a provisão do serviço, analisar como pessoas interagem com o serviço, desenvolvimento de novos produtos, atendimento às disposições dos termos de serviços, e cumprimento de obrigações legais e processuais.

Os dados são usados também para prevenir spam, fraude, abuso, atividades criminosas, mau uso dos serviços, além de garantir a segurança do sistema e rede.

Como os dados são compartilhados?

A empresa garante, na política, que não vende os dados pessoais, porém em certas circunstâncias, poderá compartilhar dados, incluindo: Provedores de serviços (operadores), novos adquirentes do negócio se ocorrer, afiliados ou empresas que controlam ou são controladas para empresa e a outros usuários, quando o próprio titular publica fotos e conteúdos na plataforma.

Tem sido prática comum às redes sociais, disporem sobre o acesso que outros usuários tem a conteúdos pessoais, também como uma forma de compartilhamento, gerando transparência e ao mesmo temo alertando o usuário sobre o seu conteúdo e cuidados com sua privacidade.

A plataforma prevê que, caso requerida por autoridade legal, poderá compartilhar dados em casos de obrigações legais, proteger direitos de propriedade, prevenir fraudes e para proteger a segurança pessoal e algumas circunstâncias.

Por quanto tempo guardam os dados?

Os dados serão mantidos pelo período necessário para atingimento dos propósitos da política ou para atender os prazos legais, como legislação tributária, por exemplo.

Existe um Data Protection Officer designado?

A política não indica um DPO, no entanto, disponibiliza apenas um contato para que usuários possam corrigir ou mudar informações pessoais ou mesmo se desejarem deletar a conta, support@alphaexplorationcom.com

A previsão de respeito aos direitos dos titulares de dados?

Direitos são previstos, para os residentes da Califórnia

A política prevê direitos expressamente para residentes da Califórnia, como o acesso a dados, direito de conhecer as empresas com quem compartilha dados, conhecer as categorias de dados coletados, deletar dados, opt-out de anúncios a partir do monitoramento de plataformas, além de outros direitos.

São direitos também previstos na Lei Geral de Proteção de Dados (Lei 13.709/2018), mas que na Política, são associados ou assegurados apenas a residentes na Califórnia, o que denota claramente uma política ainda com teor regional, a despeito do crescimento mundial da plataforma e do grande crescimento que vem encontrando no Brasil. A tendência é que disposições específicas para outras regiões sejam, com o tempo, apresentadas.

Além disso, a política, para usuários de outros países, deixa claro que estes estão cientes que haverá transferência dos dados do Brasil para o serviços e servidores nos Estados Unidos, e onde aplicável, para terceiros e parceiros de tecnologia que são usados para prover os serviços.

Tal disposição não afasta, logicamente, o disposto no parágrafo terceiros da LGPD:

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou     (Redação dada pela Lei nº 13.853, de 2019)    Vigência

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.

Embora não afaste, existem dificuldades práticas para se fazer valer lei local em face de controladores que não estão no País.

Como ficam as disposições do ClubHouse em relação à Lei local?

Em termos de proteção de dados, no Brasil, tudo é muito novo.  Ainda estamos lidando com vazamentos nacionais e como se dará a investigação. A Autoridade Nacional de Proteção de Dados está em constituição. A LGPD, no entanto, deixa claro que:

Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;

II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

a) cláusulas contratuais específicas para determinada transferência;

VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;

Mais uma das razões para acreditar que o consentimento nem sempre é a hipótese mais protetiva ao titular de dados, já que a ânsia do acesso pode fazer com que consinta sem saber a exata dimensão do contexto relativo a seus dados.

E as crianças, podem usar?

A aplicação é clara em informar que o serviço não é direcionado para menores de 18 anos. E a empresa expressamente informa que não coleta “conscientemente”, repita-se “conscientemente”, dados de crianças. Isso não impede, logicamente, que menores de 18 anos utilizem de forma irregular a plataforma. A aplicação, então, encoraja pessoas a fazerem contato, caso identifiquem que menores de 18 anos estão provendo dados pessoais ao serviço.

E se alguém gravar meus áudios?

Embora a plataforma informe que não é possível a gravação áudio, a mesma indica que o usuário a recebe no estado, e que não controla ações de outros usuários que possam usar outros dispositivo e aplicativos para armazenar ou compartilhar o conteúdo da comunicação, sem consentimento prévio, mesmo que o speaker tenha parametrizado o “off the record”.

Portanto, cuidado com o que compartilhar na “crença” de que não existem registros.  Lembre-se disso ao usar o serviço.

Cuidados e riscos

Em síntese, a rede social não trata dados pessoais de forma diferente do que as redes sociais já massificadas no país o fazem. Além disso, traz disposições claras sobre como usa os dados, com quem compartilha e por quanto tempo armazena.

Por ser uma aplicação nova e de rápido crescimento, no entanto, alguns cuidados podem ser úteis para melhor aproveitamento e minimização de riscos. Busque se familiarizar antes com as opções de privacidade, controles de áudio; Cuidado com falsos convites envolvendo o acesso a plataforma, muitos golpes podem ocorrer inclusive com SMS, onde a pessoa poderá receber mensagens para confirmar códigos (jamais faça isso).

Além disso, cuidado com o que expõe e registra em áudio, considerando que não se sabe se terceiros estão usado apps externos de gravação; Os termos de serviço deixam claro as atividades que podem gerar a inativação do usuário (https://www.notion.so/Terms-of-Service-cfbd1824d4704e1fa4a83f0312b8cf88), além disso, são proibidas propagandas não autorizadas, ou que coletem dados dos usuários do serviço ou mesmo o upload de conteúdo protegido por direitos de propriedade intelectual.

Os termos também mencionam que não admitem as pirâmides. Não se pode desconsiderar que a medida em que cresça, a rede possa se deparar com desafios sobre moderação e transparência, assim como hoje ocorre em redes como Youtube e Facebook. Em caso de possíveis crimes, fraudes, violação autoral, ofensas e mau uso, sinalize a ofensa na própria plataforma, pois ela será investigada e as provas preservadas pela Rede Social até fim da investigação.

Contatos com a rede

O e-mail indicado para contato é support@alphaexplorationco.com

O endereço da Alpha Exploration Co. é

1625 North Market Blvd., Suite N 112, Sacramento, CA 95834, Estados Unidos da América
Fone: (916) 445-1254 or (800) 952-5210

Não identificamos representação da empresa no Brasil.

A política pode ser vista em: https://www.notion.so/Privacy-Policy-cd4b415950204a46819478b31f6ce14f


José Antonio Milagre Advogado e Perito Especialista em Crimes Cibernéticos. Pesquisador em direito e dados do Núcleo de Estudos em Web Semântica e Análise de Dados da USP (Universidade de São Paulo). Mestre e Doutorando em Ciência da Informação pela UNESP. Pós Graduado em Gestão de Tecnologia da Informação. Presidente da Comissão de Direito Digital da Regional da Vila Prudente da OAB/SP. Autor de dois livros pela Editora Saraiva (Marco Civil da Internet: Comentários a Lei 12.975/2014 e Manual de Crimes Informáticos), Presidente do Instituto de Defesa do Cidadão na Internet – IDCI Brasil. www.direitodigital.adv.br Instragram: http://www.instagram.com/drjosemilagre

Se inscreva no meu canal no Youtube: www.youtube.com/josemilagre

image_pdf



Nova Política de Privacidade do WhatsApp. Trocar de aplicativo resolve o problema?

Novas Regras da Política de Privacidade do WhatsApp. Mudar de aplicativo resolve o problema?
Riscos, cuidados e critérios para selecionar um App seguro.

Introdução

Uma nova consciência? Um amadurecimento?

A alteração da política de privacidade do WhatsApp gerou uma série reações no mundo e no Brasil. Ao que parece, algumas pessoas se “assustaram” com as informações que correram a rede sobre as novas regras. No aplicativo, uma mensagem solicitava a aceitação, com a opção de “deixar para depois” por um certo tempo. O que chamou a atenção foi que não é de hoje aplicações unilateralmente alteram suas políticas, sempre com o escopo de validar suas operações de tratamento de dados pessoais e gerar lucro, mas desta vez, foi diferente. Não porque a mudança é inédita ou significativa ou ainda abusiva ao extremo, mas porque a empresa solicitou consentimento, foi um pouco mais transparente e expôs sua intenção, o que nunca foi tão comum assim. Em 2016 a empresa questionou usuários do WhatsApp sobre compartilhamento de dados com o Facebook.

LGPD é um dos motivadores?

Não há dúvida que esta “insatisfação” elucida uma maior consciência, que enaltece a proteção aos dados pessoais como direito fundamental e expõe o impacto que Leis de Proteção de Dados podem realizar em um ambiente local. Conquanto a Autoridade Nacional de Proteção de Dados tenha divulgado seu balanço e já tenha recebido mais de uma centena de reclamações, os regulamentos dão segurança jurídica a negócios, fortalecem os direitos dos cidadãos. Além disso, a massiva exposição da LGPD nas mídias também colabora para o aumento da consciência. Da farmácia aos bancos, das salas de aula às seguradoras, pessoas cada vez mais questionam sobre seus dados pessoais.

Quais dados o WhatsApp compartilha?

O WhatsApp compartilha para outras empresas do grupo número de telefone, nome, informações sobre o telefone, marca, modelo, empresa de telefonia móvel, o número de IP, que indica a localização da conexão à internet, pagamento ou transação financeira realizada através do WhatsApp, atualizações de status, números de contatos, tempo de uso, foto de perfil, etc.

A repercussão foi tamanha que o App publicou um guia resumido para as políticas de privacidade. A principal medida que gerou reação está no compartilhamento forçado de dados entre WhatsApp e Facebook. A ideia faz parte de uma estratégia comercial para que empresas que vendem produtos na rede social possam também intensificar ações no aplicativo.

Quem não concordar deve “apagar o app” até 08 de fevereiro. Porém, mais uma vez, a notificação de esclarecimentos do App é superficial e dá margens a subjetivismos. O documento, ainda, não está em português! Uma das garantias oferecidas é que “O WhatsApp ou o Facebook não conseguem ler suas mensagens ou ouvir suas chamadas”. Será?

Menos na Europa!

Curioso destacar que as novas regras não valem para Europa e Reino Unido, certamente por conta da força da General Data Protection Regulation e atuação incisiva de Autoridades de controle. Lá, ao que parece existe um acordo entre as partes. Do mesmo modo, multas são aplicadas a agentes de tratamento que descumprem as regras. Em https://www.enforcementtracker.com/ é possível acompanhar em tempo real a aplicação das multas pelos países da União.

Entidades se levantaram contra as mudanças.

Ministério Público Federal do Distrito Federal, IDEC, Instituto de Defesa do Cidadão na Internet (IDCI) e o próprio PROCON de São Paulo já planejam adoção de medidas em face do responsável no Brasil pelo aplicativo, o Facebook. Conquanto a alteração feita pelo App não seja ilegal, as entidades buscam maior compreensão do caso.

No País, já são inúmeros questionamentos judiciais sobre dados pessoais, contra as mais diversas empresas, propostos por associações de defesas de consumidores e titulares de dados e este movimento promete se intensificar em 2021. Não se deve desconsiderar, igualmente, que em agosto de 2021 a ANPD já poderá aplicar multas, nos termos da LGPD:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:   (Vigência)

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  (Incluído pela Lei nº 13.853, de 2019)  

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  (Incluído pela Lei nº 13.853, de 2019) 

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (Incluído pela Lei nº 13.853, de 2019)   

Signal e Telegram “explodem” de usuários

Enquanto isso, o Signal (usado pelo ex-analista da CIA Edward Snowden) e o Telegram explodiram em downloads e novos usuários. O direito de ir e vir com seus dados ao que parece está sendo exercido por alguns milhões de usuários. Elon Musk, o empresário da Tesla, chegou a indicar o App Signal.

Mas Signal e Telegram são mais seguros?

Nenhum aplicativo é 100% seguro. Tudo é questão de foco de atacantes, de mudança de controladores, de momento e oportunidade. Signal seria tão protetivo hoje se fosse um WhatsApp em termos de usuários e popularidade? Se tivesse bilhões de usuários? Ninguém pode afirmar. O Telegram, ainda, é visto com cautela por alguns, pois realiza backups automáticos de mensagens para os usuários e por padrão as mensagens não têm criptografia ponta a ponta, mas cliente servidor, o que em tese permitiria que o Telegram lesse mensagens. (Permitir não significa fazer)

Mas então, o que avaliar em um aplicativo de mensagens?

Uma estratégia para avaliar quais aplicativos de mensagem são mais seguros ou não é acompanhar o trabalho do site https://www.securemessagingapps.com/. Ele classifica vários serviços mensageiros por itens de segurança e avalia quais são os melhores. Como se verifica, Signal e Telegram são, aparentemente, mais seguros que o WhatsApp.

Alguns pontos devem ser avaliados pelos usuários. Inicialmente, me incomoda muito a ideia de que o ID usuário em um comunicador seja seu próprio telefone. Embora existam recursos para ocultar, é um dado pessoal e não sabemos quem pode ter acesso. Outro ponto a considerar é a verificação em duas etapas. Verificações que ainda usam SMS são mais inseguras e facilitam danos a partir de uma série de ataques, como o próprio Chip Swap (quem tem a posse do chip pode validar um SMS). Um terceiro ponto é a criptografia da conversação. Criptografia ponta a ponta significa que, em tese, nem o aplicativo consegue acessar seus conteúdos e conversas. Avalie estes aspectos, sem descuidar das políticas de privacidade e das garantias oferecidas de forma transparente. Na dúvida, exerça seu direito previso na LGPD e questione o aplicativo a respeito:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento;

II – acesso aos dados;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

Conclusões

A vida não é só privacidade no chat!

A questão, hoje, são os mensageiros (WhatsApp especificamente), mas, e seu serviço de e-mails, é seguro? Seu buscador não compartilha suas atividades? E seu provedor de acesso à Internet? Monitora o que você faz? Repassa para alguém?

Para quem sem expõe na Internet de diversas formas, trocar de app de mensagens não resolverá muito. Portanto, cuidado, privacidade envolve vários aspectos e uma consciência geral dos danos que o tratamento indevido de dados pessoais possa gerar.

Como saber se compartilhei dados do WhatsApp com o Facebook em 2016

No aplicativo WhatsApp em “Configurações”, “Conta”, “Solicitar dados da conta”, você pode requerer ao WhatsApp que apresente os dados, o que inclusive poderá indicar se você aceitou compartilhar dados em 2016 com o Facebook. Caso tenha dificuldades no exercício do seu direito, acesse https://www.gov.br/anpd/pt-br e formalize sua denúncia.

Sobre o Autor

José Antonio Milagre, Advogado especialista em Direito Digital e Proteção de Dados, Analista de Sistemas, Diretor da consultoria CyberExperts, atuando na adequação e auditoria em negócios de variados segmentos à LGPD, Mestre e Doutorando em Ciência da Informação pela UNESP, DPO EXIN, Presidente da Comissão de Direito Digital Regional Vila Prudente da OAB/SP e Membro da Diretoria do Instituto de Defesa do Cidadão na Internet – IDCI Brasil. http://www.direitodigital.adv.br  – http://www.cyberexperts.com.br




Fotos publicadas na Internet leva a suicídios o Brasil

Já estamos diante do segundo suicídio em decorrência do vazamento de fotos intimas na Internet, no Brasil, em menos de um mês. Um no Piaui e outro no Rio Grande do Sul. Mas o que leva jovens a darem cabo a suas vidas diante de um incidente como este?

Jovens, geração Y, nascidos nas tecnologias, não conhecem os riscos da superexposição e diante de um risco que se concretiza, não sabem lidar com a situação. Suicidar-se e não enfrentar o problema?

Tais fatos só reforça nosso entendimento de que não se pode tapar o sol com a peneira. Ou se investe em educação digital, nas escolas públicas e particulares e cria-se um grande programa para valorização dos direitos na Internet, ou a história irá se repetir, muito em breve.

Pais se sentem confortáveis instalando programas espiões, guarda costas digitais, e outros aplicativos que prometem proteger o filho na Internet. Filhos, se sentem os poderosos em explorar a ignorância dos seu genitores e em burlarem as proteções instaladas. Diálogo algum existe.

Ao final, diante de um incidente, os jovens sentem o peso de seus atos, e infelizmente, nos casos mencionados, quiseram deixar de “serem o problema” para suas famílias, extinguindo-se. O problema não são as jovens, vítimas.  O problema é  a falta de informação. O problema é a falta de responsabilidade para considerar esta uma questão importante, minimamente, para ser tratada diariamente.

O problema é a ignorância com que conduzem leis que poderiam sim fazer frente a tais atos com peso, mas que são retaliadas no Congresso para atender interesses diversos, tornando-se letras frias, natimortas…

Muito temos a evoluir. Quantas mais morrerão?

Dei uma entrevista a Radio Estadão ESPN sobre o tema, de 13 minutos. Convido a todos a ouvirem.

http://radio.estadao.com.br/audios/audio.php?idGuidSelect=F9258C530666493CAB0B745DDEAA178F




O que muda com a aprovação das Leis de crimes informáticos (Lei 12.735 e 12.737/2012)

Além das novas regras para partilha dos royalties da exploração do petróleo, a presidente da República, Dilma Rousseff, também sancionou na última sexta-feira (30) duas leis que tratam dos crimes cometidos pela internet. Ambas as leis entrarão em vigor em 120 dias, a contar da data de suas publicações no Diário Oficial da União, ocorridas nesta segunda-feira (3).
Apelidada de Lei Carolina Dieckmann, a Lei dos Crimes Cibernéticos (12.737/2012) tipifica como crimes infrações relacionadas ao meio eletrônico, como invadir computadores, violar dados de usuários ou “derrubar” sites. O projeto que deu origem à lei (PLC 35/2012) foi elaborado na época em que fotos íntimas da atriz Carolina Dieckmann foram copiadas de seu computador e espalhadas pela rede mundial de computadores. O texto era reividicado pelo sistema financeiro, dada a quantidade de golpes aplicados pela internet.
A nova lei altera o Código Penal (Decreto-Lei 2.848/1940) para tipificar como crime uma série de delitos cibernéticos. A norma tipifica como crime a violação indevida de equipamentos e sistemas conectados ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização do titular, ou ainda para instalar vulnerabilidades.
Os crimes menos graves, como “invasão de dispositivo informático”, podem ser punidos com prisão de três meses a um ano, além de multa. Condutas mais danosas, como obter pela invasão conteúdo de “comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas” podem ter pena de seis meses a dois anos de prisão, além de multa. O mesmo ocorre se o delito envolver a divulgação, comercialização ou transmissão a terceiros, por meio de venda ou repasse gratuito, do material obtido com a invasão.
A lei prevê ainda o aumento das penas de um sexto a um terço se a invasão causar prejuízo econômico e de um a dois terços “se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos”. As penas também poderão ser aumentadas de um terço à metade se o crime for praticado contra o presidente da República, presidentes do Supremo Tribunal Federal, da Câmara, do Senado, de assembleias e câmaras legislativas, de câmaras municipais ou dirigentes máximos “da administração direta e indireta federal, estadual, municipal ou do Distrito Federal”.
A disseminação de vírus de computador ou códigos maliciosos para roubo de senhas também poderá ser punida com prisão de três meses a um ano e multa.
Dilma Rousseff sancionou ainda a Lei 12.735/2012, originada do PLC 89/2003. Entretanto, a presidente da República vetou a maior parte da proposta, que era bem detalhada ao também tratar dos crimes cibernéticos. Com o veto, restou à nova norma instituir que órgãos da polícia judiciária – as polícias civis dos estados e do DF – deverão estruturar “setores e equipes especializadas no combate à ação delituosa em rede de computadores, dispositivo de comunicação ou sistema informatizado”.
Também é alterada a Lei 7.716/1989, que define os crimes resultantes de preconceito de raça ou de cor. Mudou-se inciso da lei de crimes raciais para permitir a determinação por parte do juiz de “cessação das respectivas transmissões radiofônicas, televisivas, eletrônicas, ou da publicação por qualquer meio” de símbolos ou similares com o objetivo de divulgação do nazismo, crime que prevê pena de dois a cinco anos e multa.
Fonte: http://www12.senado.gov.br/noticias/materias/2012/12/03/presidente-dilma-sanciona-lei-dos-crimes-ciberneticos 



O que muda com a aprovação pelo senado do PLC 35/2012 de Crimes Informáticos

Como de conhecimento de todos, em 31/10/2012, o SENADO aprovou o PLC 35/2012, que altera o Código Penal. Ao que nos parece, este é como noticiado, o PL “Dieckmann” sendo importante esclarecer que não se trata da reforma do Código Penal. (logicamente)

Para acessar a redação original, clique aqui.  Outras notícias sobre o tema, acesse.

Pelo Projeto de Lei (revisado),

“Art. 154-A. Invadir dispositivo informático alheio, conectado ou não a rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades:

Não vou me manifestar neste momento sobre o projeto, porém é importante que se esclareça que ao contrário do que dizem, “isso não vai pacificar o setor” bem como que, “vulnerabilidades não se instalam”. Como um projeto com erros grosseiros pode passar imune à análise do Senado e suas Comissões?

Convido também os leitores a conhecerem a opinião de um respeitado profissional de segurança e pentester sobre o precitado Projeto de Lei: http://www.facebook.com/photo.php?fbid=276537839134527&set=a.145846618870317.28097.100003349403444&type=1&theater

 O Projeto ainda volta pra revisão da Câmara e após segue para a Presidenta Dilma sancionar ou vetar.