Vazamento de dados e segurança da informação : como se comportar diante da LGPD?

Segurança da Informação e LGPD

1. Introdução

Em janeiro deste ano, pacotes de dados com informações pessoais de mais de 223 milhões de brasileiros, incluindo falecidos, foram expostos à venda em fóruns digitais. Ocorreram dois vazamentos, o primeiro, envolvendo dados de veículos e informações relativas a cada número de CPF, em livre circulação na internet, o segundo, mais abrangente, incluiu dados sobre escolaridade, benefícios do INSS e programas sociais, renda e score de crédito, comercializados na deep web.[1]

Apesar de uma das bases apresentar dados do Mosaic, serviço de segmentação de informações da Serasa Experian, empregado para classificação de consumidores com fins publicitários, esta última nega ter sido fonte do vazamento. Em último pronunciamento, a Serasa informou que as análises internas realizadas até o momento, concluíram que não há correspondência entre os campos das pastas disponíveis na Internet e os sistemas do Serasa Score ou do Mosaic.[2]

Desse modo, a fonte dos dados ainda permanece desconhecida, ainda, acredita-se que o pacote de dados tenha sido consolidado a partir de diversas fontes, incluindo vazamentos anteriores. Diante deste incidente, a Autoridade Nacional de Proteção de Dados (ANPD) solicitou à Polícia Federal a apuração do caso, que abriu inquérito para investigar o vazamento de dados pessoais dos cidadãos.[3]

Independentemente da ignorância quanto à fonte ou fontes dos vazamentos, este incidente apresenta implicações relevantes no contexto da privacidade e proteção de dados no Brasil, principalmente no que tange à reação das empresas e dos titulares de dados pessoais nesse cenário.

Cibersegurança e LGPD

2. Incidentes de segurança e LGPD

Os recentes eventos de megavazamento de dados pessoais, como o citado acima, revelam que todas as empresas estão sujeitas a eventuais incidentes de segurança, por isso, resta evidente a necessidade da constante gestão de riscos, desde a adoção de medidas de salvaguarda, até a consolidação de planos de contingência a fim de mitigar eventuais danos decorrentes do incidente.

Sobre o tema, a LGPD, em seu artigo 46, dispõe que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações incidentais ou ilícitas relativas a tratamento inadequado de dados pessoais. Em sequência, o §2º do referido dispositivo legal, prevê a observância de tais medias desde a concepção do produto ou serviço até sua execução, trata-se do chamado privacy by design.

Além das medidas de prevenção, a Lei Geral de Proteção de Dados Pessoais também se preocupa em apresentar diretrizes nas hipóteses de incidente de segurança com risco ou dano relevante aos titulares de dados pessoais. Em primeiro lugar, o caput do art. 48 da LGPD estabelece o dever de comunicação do controlador à Autoridade Nacional de Proteção de Dados Pessoais (ANPD), em prazo razoável, sobre o incidente de segurança. Sobre o conteúdo mínimo desta comunicação, dispõe o §1º do art.48 da Lei que o ato deverá mencionar:

  1. A descrição da natureza dos dados pessoais afetados;
  2. As informações sobre os titulares envolvidos;
  3. A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  4. Os riscos relacionados ao incidente;
  5. Os motivos da demora, no caso de a comunicação não ter sido imediata; e
  6. As medias que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A análise de tais dispositivos da LGPD evidencia lacunas a respeito do significado das expressões, “risco ou dano relevante aos titulares” e “prazo razoável”, que deverão ser preenchidas com a estruturação e atuação da ANPD na mediação destes incidentes.

Nesse ponto, cumpre apresentar o paralelo das disposições citadas na LGPD com o regramento do Regulamento Geral Europeu, o GDPR. De acordo com o artigo 33 do GDPR, em caso de violação de dados pessoais, o controlador deverá notificar o fato à autoridade competente sem demora injustificada e, sempre que possível, até 72 horas após o conhecimento do incidente.[4] Observa-se, que a Regulamento fixou prazo específico para a comunicação, entretanto, admite a possibilidade de notificação posterior desde que acompanhada da justificativa do atraso, evitando assim, o engessamento da atuação das partes nesses casos, o que parece ser uma saída razoável.

É fato que o plano de contingência em incidentes de segurança dependerá das circunstâncias do vazamento, por exemplo, tipos de dados pessoais e volume da exposição. Dessa forma, é essencial o respeito à razoabilidade de acordo com o contexto da empresa e o modelo de negócio.

Portanto, é evidente que a constante adequação à LGPD e à cultura de privacidade e proteção de dados depende da gestão continuada de riscos que envolvem desde adoção de medidas internas de salvaguardas até a consolidação de planos de ação em casos de eventuais incidentes de segurança. 

3. Boas Práticas e Compliance na Segurança dos Dados

As boas práticas e governança dos dados pressupõem a orientação das ações da empresa aos princípios e diretrizes previstos na LGPD. Desse modo, o responsável pelo tratamento deve tomar medidas necessárias para preservar os direitos dos titulares e fornecer informações legais e transparentes sobre o tratamento dos dados pessoais. Trata-se de um dos pilares para construção da Cultura de Privacidade e Proteção de Dados nas empresas.

Sabe-se que a Lei Geral de Proteção de Dados Pessoais, assim como os demais regramentos sobre privacidade e proteção de dados, também apresenta facetas relativas aos riscos de mercado, notadamente, os riscos de incidentes de segurança. Por isso, o programa de governança de dados é fundamental para gestão de riscos, devendo abranger a adoção de medidas de segurança preventivas e prever planos de respostas a incidentes e remediação, destinados a preparar todos os envolvidos para eventuais casos de incidentes de segurança. [5]

Ressalta-se a necessidade da contínua atualização e constante monitoramento de tal programa de governança de dados, além de ser submetido a avaliações periódicas.

4. Aos titulares de dados pessoais: como proceder em situações de vazamento de dados?

Assim como os controladores e operadores de dados pessoais, os titulares também devem adotar medidas de prevenção e remediação no que tange à segurança, pois a cultura de privacidade e proteção de dados abrange a todos.

Em primeiro lugar, é importante tomar pequenos cuidados e mudanças de comportamento para manter as informações pessoais mais seguras, por exemplo:

  • Crie senha seguras: evite senhas óbvias, como aquelas com a indicação da data de nascimento, nome dos pais etc. O ideal é misturar letras e números e caracteres especiais, além de criar senhas diferentes evitando que a senha do banco seja usada em outros serviços na internet, por exemplo.
  • Ative a verificação de duas etapas: além da senha tradicional, é possível optar por outra forma de verificação para garantir a sua identidade e segurança. Atualmente existem diversos aplicativos que permitem a realização da verificação em duas etapas.
  • Não clique em links suspeitos: uma das formas de ataque cibernético bastante comum é o phishing que corresponde à captação da identidade digital da vítima por meio de link enviado por mensagens, por exemplo. Quando a vítima clica no link, este infecta o dispositivo coletando seus dados e informações.[6]

Em segundo lugar, caso você tenha ciência de que seus dados foram vazados, algumas medidas podem ser tomadas. O primeiro passo é registrar um Boletim de Ocorrência (B.O.) online para se prevenir de fraudes, em seguida, o B.O. deve ser encaminhado para todos os dados e órgãos de proteção ao crédito, como Serasa, Quod, Boa Vista e SPC, e para bancos que se relacione.

Por fim, cabe encaminhar um e-mail ao responsável pela proteção de dados da empresa (geralmente, os sites institucionais das empresas apresentam formulário online ou e-mail para comunicação com o Encarregado) solicitando informações sobre as medidas de mitigação de dados.

Para obter maiores informações sobre medidas de segurança dos seus dados pessoais, recomendamos acessar o site do Instituto Brasileiro de Defesa do Consumidor (Idec) e da Autoridade Nacional de Proteção de Dados (ANPD).

5. Conclusão

O risco de vazamento de informações pessoais é concreto e evidente no mundo conectado, e os recentes incidentes de segurança demonstram a vulnerabilidade dos titulares de dados e, também, dos agentes de tratamento nesse contexto.

Desse modo, a efetiva adequação e implementação à LGPD, acompanhada da postura ativa dos órgãos regulatórios, especialmente, a ANPD, se mostram medidas imprescindíveis e urgentes. Ainda com a adoção de todas as medidas necessárias, é fato que incidentes poderão ocorrer, a questão é a mitigação da extensão dos danos causados.


[1] Rohr, Altieres. Megavazamentos de dados expõem informações de 223 milhões de números de CPF. G1 – Portal de Notícias da Globo, 25 jan. 2021. Disponível em: https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2021/01/25/vazamentos-de-dados-expoem-informacoes-de-223-milhoes-de-numeros-de-cpf.ghtml . Acesso em: 08 fev. 2021.

[2] VENTURA, Felipe. Exclusivo: vazamento que expôs 220 milhões de brasileiros é pior do que se pensava. Tecnoblog, 22 jan. 2021. Disponível em: https://tecnoblog.net/404838/exclusivo-vazamento-que-expos-220-milhoes-de-brasileiros-e-pior-do-que-se-pensava/ . Acesso em: 08 fev. 2021

[3] BOMFIM, Camila; BONTEMPO, Cláudia. PF abre inquérito para investigar megavazamento de dados de cidadãos e autoridades. G1 – Portal de Notícias da Globo, 03 fev. 2021. Disponível em: https://g1.globo.com/politica/noticia/2021/02/03/pf-abre-inquerito-para-investigar-megavazamento-de-dados-de-cidadaos-e-autoridades.ghtml . Acesso em: 08 fev. 2021.

[4] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679 . Acesso em: 08 fev. 2021.

[5] FILHO, Adalberto Simão. A Governança Corporativa Aplicada às Boas Práticas e Compliance na Segurança dos Dados. In: LIMA, Cíntia Rosa Pereira de. (coord.) Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alteração da Lei n. 13.853/2019. São Paulo: Almedina, 2020.

[6] HIRATA, Alessandro; OLIVEIRA, Cristina Godoy Bernardo de. 39 dias após o ataque cibernético ao STJ: reflexões e desafios. Migalhas de Proteção de Dados, 11 set. 2020. Disponível em: https://migalhas.uol.com.br/coluna/migalhas-de-protecao-de-dados/337701/39-dias-apos-o-ataque-cibernetico-ao-stj–reflexoes-e-desafios . Acesso em: 09 fev. 2021.  

+ posts

Graduanda em Direito pela Faculdade de Direito da USP Ribeirão Preto – FDRP. Integrante dos Grupos de Pesquisa “Tutela Jurídica dos Dados Pessoais dos Usuários da Internet” e “Observatório do Marco Civil da Internet” (CNPq) e do Grupo de Pesquisa “Tech Law” do Instituto de Estudos Avançados (IEA/USP). Associada Fundadora do Instituto Avançado de Proteção de Dados – IAPD (www.iapd.org.br). Bolsista FAPESP em Iniciação Científica (“Disseminação de informações falaciosas referentes ao processo eleitoral presidencial brasileiro de 2018: análise casuística e perspectivas de regulação”), orientado pela professora Dra. Cíntia Rosa Pereira de Lima.

Artigos relacionados

Dever de Notificação dos Incidentes de Segurança com Dados Pessoais – Parte 1

Neste artigo, você compreenderá o que são incidentes de segurança à proteção de dados e como se efetivam as notificações dos incidentes de segurança. Assim, você verá os principais aspectos do dever de notificação dos incidentes de segurança com dados pessoais. Além disso, serão analisados os principais dispositivos do ISO 29.134/2017.

Respostas