Por mais segurança cibernética
A partir do ano que vem, são esperadas mudanças contundentes na área da segurança da informação, com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), principalmente no que diz respeito ao uso e manipulação de informações. Especialistas dão dicas sobre o assunto em tempos de ataques a bancos e rede sociais
Já se foi o tempo em que empresas e órgãos públicos guardavam dados apenas em fichas de papel, dentro daqueles grandes arquivos de aço. Com um mundo interligado, o controle desse armazenamento depende, cada vez mais, da internet. A cada página de navegação, um formulário onde se compartilham informações, principalmente pessoais. Nome completo, endereço, telefone e CPF são apenas alguns dos exemplos. E, geralmente, o titular desses dados não tem conhecimento sobre a forma de manipulação e de manutenção deles por terceiros.
A Lei Geral de Proteção de Dados (LGPD), nº 13.853, aprovada em 2018, promete mudar essa realidade. Ela começa a valer em 2020 e com a entrada em vigor dessas novas regras, associadas à atuação de uma espécie de agência reguladora, a chamada Autoridade Nacional, o que se espera, segundo especialistas, é uma legitimação no uso, no manuseio e na aquisição dessas informações. Isso exigirá tanto do poder público como das empresas privadas sobretudo o conhecimento da legislação. Por isso, é esperado um movimento no mercado no que diz respeito à busca por assistência jurídica e por empresas de consultoria especializadas na área de segurança da informação.
Brasília não foge a esse cenário. O professor de direito empresarial e digital do UniCEUB, Paulo Henrique Franco Palhares, esclarece que o pilar da nova legislação é o consentimento. “A partir da vigência plena da LGPD será necessário obter a autorização do usuário para o tratamento de quaisquer dados pessoais, com exceções bastante pontuais”, afirma. “Outro ponto importante é a necessidade de rever os contratos com fornecedores que tenham acesso direto ou indireto a dados pessoais de usuários e consumidores”, completa.
As advogadas do escritório Loeser, Blanchet e Hadad Advogados, especializadas na área de privacidade e proteção de dados, Bibiana Peres e Denise Tavares, ponderam que essa é a fase de diagnóstico e de adequação. “É a hora de as empresas dividirem as tarefas. E esse não é um projeto que tem começo e fim, é uma jornada”, argumenta Denise Tavares. “Aqui, no DF, as empresas que estão já pensando na adequação são as de maior porte. As menores estão esperando, inseguras sem saber se vão precisar se adequar, mas a verdade é que vão, sim”, diz Bibiana Peres.
Segundo as especialistas, muitas empresas pecam em achar que são proprietárias de determinados dados – o que pode levar muitas delas a serem responsabilizadas pelo uso indevido. “Além de tratar as informações de forma segura, agora vai ser necessário mais transparência. Várias questões terão de ser observadas, como a gestão de acesso, arquitetura e governança de dados pessoais, exclusão de dados”, afirma Denise. Segundo ela, nesse último caso, será preciso apagar certas informações para cumprir a lei e não apenas quando o cliente pedir. “No caso de um vazamento, a retenção de dados indevidos pode gerar punições à empresa.”
Segundo as especialistas, muitas empresas pecam em achar que são proprietárias de determinados dados – o que pode levar muitas delas a serem responsabilizadas pelo uso indevido. “Além de tratar as informações de forma segura, agora vai ser necessário mais transparência. Várias questões terão de ser observadas, como a gestão de acesso, arquitetura e governança de dados pessoais, exclusão de dados”, afirma Denise. Segundo ela, nesse último caso, será preciso apagar certas informações para cumprir a lei e não apenas quando o cliente pedir. “No caso de um vazamento, a retenção de dados indevidos pode gerar punições à empresa.”
Com o empoderamento do titular, qualquer violação de informação deverá ser comunicada à Autoridade Nacional e, inclusive, ao dono da informação. O caso do vazamento de dados de clientes de um e-commerce ilustra bem isso. Entre 2017 e 2018, vários compradores tiveram informações pessoais compartilhadas na internet, como nome completo, CPF, e-mail e número de celular. Assim, o Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou um inquérito civil público recomendando que a empresa avisasse os quase dois milhões de clientes afetados. Bibiana diz que situações como essa podem e devem ser evitadas, uma vez que geram grande custo operacional à empresa.
Diante das mudanças, as instituições terão de nomear um encarregado pela gestão dos dados. Os advogados Sérgio Palomares e Roger de Souza Vieira, sócios do escritório Palomares Advogados, reforçam que a coleta das informações não poderá ser banalizada. Por isso, a definição de funções é algo fundamental. “Pela nova legislação, esse encarregado terá de ser uma pessoa física e não jurídica, e isso aumenta e muito a responsabilidade e a responsabilização em casos de, por exemplo, vazamentos de dados”, afirma Sérgio Palomares.
Mas, qual será o real impacto da lei no dia a dia das pessoas? Para Roger de Souza Vieira ainda não dá para dimensionar: “O rigor das autoridades envolvidas na fiscalização e na punição das empresas é que vai definir qual o comportamento que elas terão na gestão dos dados. Com relação ao poder público, enquanto coletor e gestor de dados de terceiros, embora haja expressa vedação de aplicação de multas decorrentes da não observação das regras da LGPD, é possível acreditar que, diante do fato de os cidadãos passarem a ter mais consciência do real valor dos seus dados, os entes públicos acabarão sendo induzidos a adotar melhores práticas e maior transparência”, diz Vieira.
O professor Francisco Marcelo Marques Lima, coordenador do curso de segurança da informação do Iesb, também acredita que poucas empresas estão se movimentando. De acordo com ele, elas ainda não entenderam o quanto será complicado fazer valer a lei, que exige organização. “A legislação cria alguns perfis que devem compor o quadro profissional: controlador, operador e encarregado. Sendo assim, ou elas estão se organizando internamente ou não estão fazendo”, diz. Marques Lima explica que, “uma vez que é instituído um comitê de segurança da informação na empresa, o usuário terá de entender quem manipula os dados da informação, qual é o caminho dos dados dele nessa empresa, quais são as pessoas, as áreas que têm acesso aos dados, entre outros”.
E, em tempos em que a invasão de contas e outros dispositivos, especialistas fazem um alerta sobre ofertas, brindes e brincadeiras – chamarizes, muitas vezes, usados para a captura de dados, que têm valor e são preciosos para muitas empresas. O professor Paulo Henrique Palhares cita alguns perfis e aplicativos que são vilões no armazenamento indevido de dados. “Parecem inocentes, mas são, na verdade, ferramentas poderosas de captura. Exemplo disso são aqueles que mostram como a pessoa ficará idosa, com que artista você se parece ou como indivíduo seria se fosse do sexo oposto.” Para ele, na verdade, todos os ‘apps’ que usamos no celular coletam nossos dados.
Nas situações em que as invasões efetivamente acontecerem, os estudiosos aconselham ao usuário que tente recuperar o perfil e, se conseguir, que verifique a atividade da conta naquele período. Caso contrário, que informe imediatamente ao provedor do serviço. Além disso, que procure a polícia, uma vez que muitas cidades já dispõem de delegacias especializadas em crimes cibernéticos.
PARA MANTER SEUS DADOS A SALVO
Dez dicas preciosas para evitar que você seja vítima da invasão cibernética
1. Jamais autorize o acesso a seus dados, câmera ou microfone a aplicativos ou programas dos quais você não conhece a origem. Seus dados estão sendo coletados com certeza e você dificilmente saberá para quê.
2. Use senhas fortes e as ferramentas de dupla verificação dos dispositivos celulares e aplicativos. Essas ferramentas combinam, por exemplo, uma senha e um código recebido pelo celular. Senhas fáceis são bastante óbvias e facilitam a ação de quem é mal-intencionado.
3. Não use a mesma senha para vários serviços, sites ou apps. Não é incomum os dados obtidos por meio de invasão a um banco de dados serem utilizados para tentar o acesso a outras contas do mesmo usuário.
4. Nunca clique em links recebidos de terceiros, salvo se tiver absoluta confiança na origem. Muitas vezes, esses links vêm de pessoas da família, que também foram vítimas de fraudes. A maior parte dos furtos de dados, de sequestro de contas de redes sociais ou mesmo de dados bancários depende da colaboração involuntária do usuário.
5. Os criminosos fazem de tudo para obter essas contas e dados. Clonam sites, dizem que o usuário precisa agir rápido para proteger a conta ou oferecem uma vantagem qualquer, que vai desde um e-book à promessa de ganhar dinheiro. Quando você aperta o “clique aqui”, abre a oportunidade de que seus dados sejam roubados.
6. Não compartilhe dados sensíveis, como fotos do cartão de crédito, fotos íntimas, senhas de acesso. Mesmo com todos os dispositivos de segurança, não são raros os casos de vazamento desses dados.
7. Leve seus equipamentos a uma assistência técnica confiável. Mesmo em equipamentos estragados ou deletados, é possível recuperar alguns dados pessoais, fotos e arquivos. Isso inclui celulares, computadores, HDs externos, pen-drives e máquinas fotográficas.
8. Esteja mais atento aos formulários em sites e aplicativos, além de aprender a ler os contratos na internet. É aconselhável, ainda, que o usuário peça para que as empresas apaguem seus dados quando não forem necessários.
9. Evite instalações que tenham por fonte redes sociais e só faça download nos celulares por meio das lojas oficiais dos provedores. Apesar de não haver 100% de garantias de que um aplicativo advindo dessas fontes esteja absolutamente livre de comandos maliciosos, companhias sérias possuem rígidas políticas de segurança e diretrizes para usar e dispor das informações coletadas e, portanto, poderão ser responsabilizadas pelo mau uso desses dados por terceiros.
10. Dê preferência às empresas e/ou serviços cujas histórias não registrem escândalos de invasões de hackers. No mundo dos negócios, os dados dos usuários valem muito. Além disso, o usuário precisa ter a clareza de que, no universo da tecnologia da informação, não há nenhum lugar absolutamente seguro, 100% protegido e completamente blindado de ataques. Sendo assim, o usuário tem de saber escolher para quais empresas ele pretende disponibilizar e/ou ceder os seus dados, seja de forma livre e voluntária, seja por força de contratos de adesão.
Fonte: Especialistas entrevistados