A propagação de dados após incidentes de vazamento e a necessidade de medidas de segurança

A propagação de dados após incidentes de vazamento e a necessidade de medidas de segurança

Isabela Vilhalba*

03 de fevereiro de 2019 | 14h00

Isabela Vilhalba. FOTO: DIVULGAÇÃO

Dando continuidade à onda de relatos sobre incidentes de vazamento de dados em larga escala, no dia 16 de janeiro, Troy Hunt, especialista em segurança na web e criador do site Have I Been Pwned?, divulgou a descoberta de um compilado contendo mais de 770 milhões da endereços de e-mails únicos e 21 milhões de senhas únicas, com a possibilidade desse conjunto representar apenas uma fração de um gigantesco pacote de dados, conforme informações obtidas por outro especialista em segurança, Alex Holden.

Os dados do Collection #1 em sua vasta maioria foram identificados por especialistas como sendo originários de vazamentos antigos, já conhecidos há anos. Contudo, a idade dos dados não necessariamente anula seu potencial lesivo, tendo em vista que, caso os usuários afetados pelos vazamentos não tenham alterado suas senhas após os incidentes, seja por desconhecimento da exposição ou em razão de ignorância dos riscos relacionados, permanecerão em risco com a nova divulgação.

O uso de uma mesma senha para acessar diversos sites também eleva o risco de exposição dos usuários a práticas danosas por parte de hackers, em especial mediante ataques de preenchimento de credenciais, através dos quais criminosos utilizam os dados de usuário e senha obtidos de vazamentos e, empregando sistemas automatizados, inserem tais informações em outros sites e aplicações com o objetivo de obter acesso a estes.

Este episódio serve para demonstrar que incidentes de vazamento têm alcance muito superior aos impactos imediatos e àqueles relacionados com o seu sistema de origem, com a possibilidade de utilização indevida de dados pessoais anos depois.

Não obstante a importância da implementação de medidas e procedimentos para mitigação de danos após um vazamento, considerando a virtual impossibilidade de eliminar todas as cópias de dados pessoais após sua divulgação indevida, o alto potencial lesivo de tais vazamentos para os usuários e as consequências deste tipo de incidente para a imagem dos entes que detinham tais dados, as empresas devem se preocupar em implementar medidas preventivas eficientes para proteger dados pessoais.

A Lei Geral de Proteção de Dados, que entra em vigor em agosto de 2020, estabeleceu como princípios a serem observados para a realização de atividades de tratamento de dados pessoais a segurança, definida como a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, e prevenção, que corresponde à adoção de medidas para prevenir a ocorrência de danos em virtude dos referidos tratamentos.

No mesmo sentido, agentes de tratamento tem a obrigação de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

A Autoridade Nacional de Proteção de Dados, criada pela Medida Provisória 869 de 27 de dezembro de 2018, poderá prever os padrões técnicos mínimos necessários considerando a natureza dos dados, as características do tratamento e o estado da tecnologia no momento deste, sendo a LGPD expressa no sentido de que as referidas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução, em conformidade com a abordagem de Privacy by Design.

Em caso de não adoção das medidas se segurança pelos agentes de tratamento, sejam controladores (a quem compete as decisões referentes ao tratamento de dados) ou operadores (quem realiza o tratamento em nome do controlador), haverá a responsabilização do agente pelos danos resultantes da violação de segurança.

A LGPD estimula a formulação de regras de boas práticas e de governança pelos agentes de tratamento, seja individualmente ou através de associações, que devem estabelecer, entre outras informações, normas de segurança aplicáveis, levando em consideração, a natureza, o escopo e a finalidade do tratamento e dos dados, bem como a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. Tais regras deverão ser publicadas e atualizadas periodicamente, e poderão ser reconhecidas e divulgadas pela Autoridade Nacional de Proteção de Dados.

Adicionalmente, para fins de aplicação dos princípios de segurança e prevenção, o controlador poderá, de acordo com a estrutura, a escola e o volume de suas operações, bem como a sensibilidade dos dados tratados e a possibilidade e a gravidade dos danos para os titulares dos dados, implementar programas de governança em privacidade.

Tais programas deverão conter certos requisitos mínimos previstos em lei, entre os quais estão: (i) aplicação a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; (ii) adaptação à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; e (iii) estabelecimento de políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade.

Sem prejuízo de sanções cíveis, penais e administrativas previstas em legislação específica, a LGPD prevê sanções administrativas aplicáveis em caso de descumprimento de suas normas, sendo estas: (i) advertência; (ii) multa simples ou diária de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração; (iii) publicização da infração; (iv) bloqueio dos dados pessoais relativos a infração até sua regularização; e (v) eliminação de tais dados pessoais.

Por fim, cumpre ressaltar que já existem normas em vigor referentes à necessidade de implementação de medidas e padrões de segurança, como o Decreto nº 8.771 de 11 de maio de 2016, que regulamenta o Marco Civil da Internet e determina que provedores de conexão e de aplicações de Internet devem observar certas diretrizes sobre padrões de segurança, sendo estas: (i) controle estrito sobre o acesso aos dados; (ii) previsão de mecanismos de autenticação de acesso aos registros para assegurar a individualização do responsável; (iii) a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado; e (iv) o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

*Isabela Vilhalba, sócia do Saiani & Saglietti Advogados e especializada em Propriedade Intelectual