Em razão da pandemia, os ataques cibernéticos, e entre eles, o crime de vazamento de dados pessoais, aumentaram exponencialmente. Isso acontece porque passamos a utilizar muito mais a internet em meio ao isolamento social.
Se já era uma ferramenta comum, a internet, nesses quase dois anos, ultrapassou barreiras para facilitar a vida das pessoas.
Algumas atividades alteraram radicalmente nosso cotidiano, como:
- compras online;
- aplicativos;
- pagamento de contas pelo celular;
- trabalho home office.
Tais práticas, se não blindadas por sistemas de segurança da informação, podem ocasionar o consequente vazamento de dados pessoais e a exposição indevida a milhões de pessoas.
Em janeiro de 2021, praticamente toda a população do Brasil teve seus documentos divulgados. Foram mais de 220 milhões de indivíduos atingidos, contando até personalidades famosas.
O aumento de ocorrências de crimes virtuais exigiu do brasileiro levar essa realidade mais a sério. A pesquisa recente da Captera, plataforma de comparação de softwares, evidencia que 60% dos brasileiros estão mais preocupados com sua segurança digital.
O maior receio (74% dos entrevistados) ainda ocorre pelo risco de fraude financeira, que resulta em boletos falsos, clonagem de cartões de crédito, entre outras atividades.
Mas o que a pessoa ou empresa deve fazer neste caso? A LGPD estabelece punições aos infratores? Há direito a indenização?
Tire suas dúvidas a seguir!
O que a empresa deve fazer em caso de vazamento de dados pessoais?
Os recentes casos de ataques virtuais alteraram a mentalidade da população do Brasil quanto à proteção de seus dados pessoais.
O estudo da Captera mostra que 62% dos usuários estão mais zelosos com a segurança de informações sigilosas do que há um ano.
Diante de um cenário novíssimo, faz-se necessário às empresas direcionarem suas atividades diante de casos de crime virtual.
As instituições devem adquirir:
- programa de privacidade adequado à LGPD;
- atividades direcionadas à segurança da informação.
Mas mesmo com todas as precauções tomadas, como proceder se o usuário for vítima de crime de vazamento de dados?
O Encarregado de Dados (DPO) fará a comunicação do incidente à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares suscetíveis a danos.
As equipes de Segurança da Informação e Resposta a Incidentes, após acionadas, iniciarão os processos de:
- contenção dos dados;
- recuperação dos dados;
- investigação do crime.
Alguns aspectos devem ser considerados especialmente para situações de divulgação sem consentimento de dados pessoais, tais como:
- comitê de crise: organiza a divisão de tarefas e pode atribuir com maior precisão a responsabilidade pelo vazamento. É formado por profissionais de áreas como segurança da informação, tecnologia, direito e o DPO da instituição;
- comunicação à área de gestão em tecnologia: é necessário comunicar a área de gestão em T.I., especialmente se o incidente não foi identificado anteriormente pelos sistemas de monitoramento. Em conjunto com o Comitê, o setor avalia as atividades para controlar o conteúdo vazado;
- administração dos riscos: convoca-se o setor afetado pelas informações vazadas e inicia-se a mensuração dos riscos. Geralmente a área jurídica da empresa, o RH e o setor de compliance são envolvidos;
- envio de notificação à ANPD: a comunicação deverá ser feita à ANPD em até 2 dias úteis após a ocorrência do crime.
É sempre recomendado manter atualizados os dados cadastrais e acompanhar periodicamente canais de comunicação, sejam físicos ou digitais.
Ocorre que é possível ainda assim termos nossas informações pessoais vazadas e nunca sermos devidamente comunicados sobre isso. Por isso, a Koboldt recomenda:
- verificar se houve o comprometimento de logins e senhas;
- trocar suas senhas periodicamente em e-mails e redes sociais;
- evitar senhas ou códigos em sequência lógica de letras ou números, como 123456, ABCDE ou mesmo nome e sobrenome;
- limpar os cookies de sua máquina frequentemente.
O que diz a LGPD nesses casos?
Como a LGPD é relativamente nova no Brasil, várias perguntas aparecem na ocorrência de um incidente de segurança.
Afinal, quais as implicações de um vazamento de dados pessoais no contexto da LGPD? Como titular de informações sigilosas, quais são meus direitos?
Identificação do infrator
Em primeiro lugar, não é nada fácil detectar a origem do vazamento. Não há ferramentas tecnológicas ou condições financeiras para realizar uma apuração de tal magnitude em empresas pequenas.
Por isso, a LGPD, em seu artigo 55-J, reservou à ANPD a incumbência de fiscalizar e realizar a auditoria das atividades de tratamento de dados pessoais.
A identificação do DPO responsável pelo vazamento é essencial para sua responsabilização, especialmente para com o titular.
Sanções administrativas
Como estamos em um período de transição, a LGPD ainda apresenta pontos a serem mais bem implementados.
Por exemplo, na maioria dos casos de crimes virtuais, as penalidades administrativas não são direcionadas para os criminosos, mas para os agentes (DPO) que tratam os dados pessoais.
Quando for evidenciada a violação envolvendo o tratamento por culpa ou omissão dos agentes, ou seja, quando não há o mínimo esforço para proteger os dados pessoais de sua base, a ANPD aplica as sanções e os valores arrecadados são destinados aos cofres públicos.
Tais infrações podem chegar a 2% do faturamento da empresa ou multas na casa de até R$ 50 milhões.
Agora vale uma observação: se após a investigação for constatada que a culpa do crime é de hackers, o DPO não pode ser punido.
Hoje em dia, ainda é comum o repasse de dados entre empresas sem a autorização do titular. Nesta situação, o ideal é salvar as comprovações de contato da instituição.
Tal ação será bastante útil para uma tentativa de resolução extrajudicial, como um contato por telefone com a empresa ou uma notificação, ou ainda para apresentar uma reclamação formal na própria ANPD.
Apesar dos grandes vazamentos, houve queda no último trimestre
A ocorrência de crimes envolvendo vazamento de dados pessoais caiu mais de 87% no Brasil se comparada ao primeiro trimestre de 2021. A informação procede de pesquisa da plataforma Axur.
Entretanto as perspectivas positivas não podem esconder “o copo meio vazio”. Dos mais de 465 milhões de registros vazados, o número de CPFs preocupa. O estudo registrou um aumento de quase 83% do documento extraviado.
Além disso, foi possível notar, em relação aos primeiros três meses do ano:
- crescimento em quase 1393% do número de passaportes vazados;
- aumento de 220% de credenciais (e-mails e senhas) expostas;
- que o Brasil é campeão de vazamentos de cartões de crédito e débito, representando 44% a mais que os Estados Unidos, 2º colocado.
Segundo a pesquisa, a migração de trabalho para o sistema home office em meio à pandemia de Covid-19 fez com que as empresas deixassem a segurança digital em segundo plano.
Consequentemente, o Brasil amargou 8,4 milhões de tentativas de ataques cibernéticos, informa o FortiGuard Labs, laboratório de ameaças da Fortinet.
O dono dos dados tem direito a indenização?
Afinal, já tenho direito a uma ação por danos morais? Em primeiro lugar, é bom acessar o site www.fuivazado.com.br para saber se suas informações já foram divulgadas a terceiros.
Na esmagadora maioria dos casos, a resposta é SIM. Provavelmente quando foi efetuar uma compra on-line, preencher um formulário ou cadastrar um currículo em uma plataforma, muitos de seus dados foram registrados.
São informações sigilosas expostas que tornam o titular cada vez mais vulnerável a um golpe de terceiros.
E a pergunta que fica é: quando tenho o direito de ingressar na Justiça com uma ação por danos morais?
Não é recomendado entrar com pedido de ação cível sem comprovação do dano sofrido. Neste cenário, você não tem certeza, apesar de indícios, sobre os responsáveis pelo vazamento de dados ou para onde essas informações foram compartilhadas.
Ora, sem saber o paradeiro ou o responsável pela violação, contra quem você entraria com a ação judicial?
Em segundo lugar, você precisa comprovar o efetivo dano lesado com o vazamento de dados pessoais.
A não ser que você sofra efetivamente um golpe, você precisa procurar uma empresa de advocacia especializada para avaliar seu caso e apurar o dano e quem pode ser responsabilizado. Agende um horário conosco!
Outros vazamentos, todavia, podem ocorrer e a exposição por si só fundamenta um crime de dano moral.
Imagine que você vá se submeter a um exame médico sensível. Se o laboratório expõe o conteúdo, obviamente você tem direito a ingressar com uma ação por dano moral, pois você tem ferido um dos direitos da personalidade: honra, imagem ou privacidade.
O mesmo pode acontecer para um prontuário de um paciente no hospital, uma ficha de atendimento de um escritório de advocacia, fotos de um ensaio que viralizam pela web, ou seja, os dados do titular só podem ser repassados com sua prévia autorização.
Sua empresa ainda não está protegida? Para ficar por dentro da LGPD, a Koboldt te explica neste artigo as principais mudanças que impactarão as empresas e como se preparar desde já!