Publicado em Deixe um comentário

O IMPACTO DA DIVULGAÇÃO INDEVIDA DE INFORMAÇÕES SENSÍVEIS NO AMBIENTE DIGITAL

Uma ação indenizatória foi movida contra o Estado da Bahia e uma conhecida plataforma de divulgação de conteúdo jurídico, sob a alegação de violação do direito ao sigilo de informações sensíveis sobre a saúde do autor. O caso gira em torno da divulgação indevida de um processo judicial sigiloso, envolvendo uma pessoa vivendo com HIV, cujos detalhes acabaram expostos publicamente na plataforma.

Os advogados do autor destacaram a gravidade do ocorrido, argumentando que ele, já vítima de discriminação relacionada à sua condição de saúde, sofreu uma nova violação com a exposição de dados pessoais. A situação trouxe à tona a discussão sobre a importância da proteção de dados sensíveis, especialmente no ambiente digital, onde informações podem ser disseminadas com grande rapidez e alcance.

A defesa do autor foi fundamentada na Constituição Federal, que, em seu artigo 5º, LXXIX, garante o direito fundamental à proteção de dados pessoais, inclusive nos meios digitais. A Lei Geral de Proteção de Dados (LGPD) também foi utilizada como base, com foco no artigo 11, que restringe o tratamento de dados sensíveis, prevendo sua utilização apenas em hipóteses específicas e com medidas adequadas para evitar danos ao titular.

A plataforma envolvida não comentou o caso específico, devido ao sigilo judicial, mas reforçou que adota medidas contínuas para garantir que conteúdos sigilosos não sejam indexados. Além disso, mantém um canal de comunicação direta com os usuários para tratar de possíveis violações de privacidade, buscando assegurar a proteção dos envolvidos.

É importante destacar a complexidade da exposição indevida de dados pessoais e a urgência em assegurar a privacidade, especialmente em casos judiciais que tratam de questões de saúde ou outras informações sensíveis. A quebra de sigilo pode gerar prejuízos irreversíveis, agravando a situação de indivíduos que já são alvo de preconceitos sociais.

Publicado em Deixe um comentário

ATAQUE HACKER EXPÕE VULNERABILIDADE EM SERVIDOR TERCEIRIZADO

A Fortinet, empresa de destaque no setor de cibersegurança, foi alvo de um ataque que resultou em um vazamento de dados significativo. O incidente envolveu o roubo e a divulgação de 440 GB de informações extraídas de um servidor da companhia, que estava hospedado na plataforma Microsoft SharePoint. O autor do ataque, conhecido pelo pseudônimo Fortibitch, tentou extorquir a empresa exigindo um pagamento para não liberar os dados. Contudo, após a recusa da Fortinet em negociar, o hacker divulgou o conteúdo em fóruns especializados em crimes cibernéticos, detalhando como acessar as informações roubadas.

Em comunicado oficial, a Fortinet confirmou o ataque e destacou que apenas “um número limitado de arquivos” foi comprometido. Esses dados estavam armazenados em um servidor de um parceiro terceirizado, no caso, a Microsoft. Embora a empresa não tenha revelado detalhes sobre a natureza dos arquivos expostos, mencionou que “um pequeno número de clientes” foi afetado, correspondendo a cerca de 0,3% de sua base de usuários.

A empresa garantiu que já entrou em contato com os clientes afetados para oferecer suporte. Até o momento, a Fortinet não observou qualquer atividade maliciosa decorrente do vazamento e não precisou interromper suas operações. Além disso, uma investigação independente foi iniciada para apurar os detalhes do ataque e compreender o que levou à falha de segurança.

Este caso reforça a importância de práticas rigorosas de cibersegurança, especialmente quando se utiliza serviços em nuvem de terceiros. As consequências de uma invasão como essa podem ser severas, não só pela exposição de informações confidenciais, mas também pelo potencial impacto na confiança dos clientes e parceiros. A resposta rápida e a transparência da Fortinet são exemplos de boas práticas, embora o incidente ressalte a necessidade constante de evolução em estratégias de proteção de dados e resposta a ameaças cibernéticas.

Publicado em Deixe um comentário

COMO A CIBERSEGURANÇA ESTÁ TRANSFORMANDO O FUTURO DOS PLANOS DE SAÚDE

A transformação digital está presente em todos os setores, e a área da saúde é uma das mais afetadas por essa revolução tecnológica. No entanto, junto com os avanços vêm os desafios relacionados à cibersegurança, especialmente para as operadoras de saúde, que lidam com dados altamente sensíveis e atraem a atenção de cibercriminosos. De acordo com um relatório da Cybersecurity & Infrastructure Security Agency (CISA), 66% das organizações de saúde sofrem tentativas constantes de ataques cibernéticos, o que coloca o setor em uma posição de alerta.

Apesar das ameaças, a inovação tecnológica não deve ser vista como uma barreira, mas como uma oportunidade de evolução. A tecnologia, quando usada de forma estratégica, pode ajudar a resolver problemas estruturais do setor, como a prevenção de fraudes e a redução de desperdícios. O ponto chave está na implementação de uma abordagem sólida e inteligente de cibersegurança, que proteja os dados dos pacientes e garanta a continuidade dos serviços.

O primeiro passo para uma estratégia eficaz é investir na capacitação e treinamento dos colaboradores. As ameaças digitais evoluem constantemente, e é crucial que os profissionais estejam preparados para identificar sinais de possíveis ataques, como tentativas de phishing e infecções por malware. Além disso, é fundamental que sejam incentivados a seguir boas práticas no uso de dispositivos e no tratamento de dados. Essa conscientização não só diminui os riscos, mas também promove uma cultura organizacional de segurança.

Outro elemento essencial é a criação de políticas de segurança bem definidas. Cada colaborador deve seguir protocolos claros sobre o uso de dispositivos, o acesso a informações sensíveis e a resposta em caso de incidentes. Com isso, as operadoras podem mitigar os riscos e garantir que, caso um ataque aconteça, todos saibam exatamente o que fazer para conter e minimizar os impactos.

O uso de tecnologias avançadas é igualmente indispensável. Ferramentas como firewalls, sistemas de detecção de intrusões, antivírus e criptografia de dados são fundamentais para prevenir coações cibernéticas. Porém, essas soluções precisam ser constantemente atualizadas e ajustadas para acompanhar as novas ameaças. O monitoramento contínuo de redes e sistemas é outro ponto crucial, permitindo a identificação precoce de ações maliciosas e a resposta rápida antes que se tornem violações graves.

Além disso, mesmo com todas as medidas preventivas, nenhum sistema é completamente imune. Por isso, ter um plano de resposta a incidentes bem estruturado é indispensável. Esse plano deve prever uma comunicação clara – interna e externa – e incluir ações imediatas de contenção e recuperação. Operadoras de saúde que respondem rapidamente a um ataque conseguem não apenas mitigar os danos, mas também preservar a confiança de seus pacientes e parceiros.

A cibersegurança é um esforço coletivo. Além das medidas internas, é vital que as operadoras de saúde estabeleçam parcerias com especialistas em segurança digital e participem de fóruns de discussão sobre o tema. Estar atualizado sobre novas ameaças e soluções permite que o setor de saúde continue inovando com segurança, aproveitando os benefícios tecnológicos para melhorar a vida de pacientes e profissionais. Dessa forma, a saúde pode, de fato, se beneficiar da transformação digital, com impacto positivo em toda a sociedade.

Com as devidas diligências, a tecnologia não apenas protege, mas também eleva o patamar de serviços e cuidados no setor de saúde.

Publicado em Deixe um comentário

VEÍCULO DE COLETA ILEGAL DE DADOS É APREENDIDO PELA POLÍCIA MILITAR EM SÃO PAULO

A Polícia Militar realizou a apreensão de um veículo que estava sendo utilizado para a coleta ilegal de dados pessoais em um bairro nobre da capital paulista. O incidente está sendo registrado no 42º Distrito Policial (DP) de Parque São Lucas. O automóvel estava equipado com tecnologias avançadas para a captura de informações, em clara violação à Lei Geral de Proteção de Dados (LGPD), expondo a população a riscos significativos de fraude e roubo de identidade.

Segundo informações preliminares, a quadrilha operava enviando mensagens SMS para os celulares das vítimas. Ao responderem, os cidadãos forneciam sem perceber dados sensíveis, como informações bancárias, números de cartões de crédito e senhas. Esses dados eram coletados por um complexo sistema de equipamentos dentro do veículo, que incluía bateria extra, CPU, antena, conversor, transmissor e um notebook centralizador.

O delegado titular do 42º DP de Parque São Lucas está a caminho para formalizar a prisão do suspeito. As investigações prosseguirão para desmantelar toda a rede criminosa envolvida. Essa prática, além de ser um flagrante desrespeito à privacidade, configura várias infrações à LGPD (Lei nº 13.709/2018), que estabelece normas rigorosas para a coleta, armazenamento e tratamento de dados pessoais no país.

Do ponto de vista jurídico, a atividade dos criminosos representa uma grave violação ao artigo 42 da LGPD, que versa sobre a segurança e proteção dos dados pessoais, responsabilizando os agentes de tratamento pela inviolabilidade das informações dos titulares. Além disso, tais ações podem ser enquadradas em crimes previstos no Código Penal Brasileiro, como estelionato e formação de quadrilha.

Esta operação evidencia a crescente sofisticação das técnicas utilizadas por criminosos cibernéticos e destaca a importância da colaboração entre as autoridades de segurança pública e os profissionais de direito digital. É fundamental que empresas e cidadãos estejam conscientes dos perigos e adotem medidas preventivas para proteger suas informações pessoais.

A Polícia Militar ressalta a importância da vigilância e orienta a população a desconfiar de mensagens SMS suspeitas, evitando responder ou fornecer qualquer tipo de dado pessoal. A proteção de dados é um direito fundamental, e a LGPD é um marco regulatório essencial para garantir a privacidade e a segurança dos cidadãos.

Publicado em Deixe um comentário

ANPD LANÇA SEGUNDA EDIÇÃO DO “RADAR TECNOLÓGICO” FOCADA EM BIOMETRIA E RECONHECIMENTO FACIAL

Em 24 de junho de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou o segundo volume do “Radar Tecnológico”, uma publicação dedicada ao tema “Biometria e Reconhecimento Facial”. Este estudo examina as aplicações e impactos dessa tecnologia, destacando os riscos e desafios para a proteção de dados pessoais sob a Lei Geral de Proteção de Dados Pessoais (LGPD).

Definindo o Reconhecimento Biométrico

O reconhecimento biométrico é descrito como uma análise técnica automatizada que identifica características fisiológicas (como impressões digitais e reconhecimento facial) ou comportamentais (como voz e expressão facial). O estudo também aborda o conceito de “template biométrico”, utilizado como base para verificação de identidade. Esses templates, armazenados em formato hash, são essenciais para o reconhecimento facial.

Aplicações e Propósitos do Reconhecimento Facial

O reconhecimento facial, uma das modalidades de reconhecimento biométrico, tem três principais objetivos:

  1. Detectar a presença de pessoas.
  2. Identificar um indivíduo de forma única.
  3. Classificar indivíduos com base em seus comportamentos.

Além disso, o estudo menciona o uso de reconhecimento facial na neurotecnologia, com técnicas de interface cérebro-computador (BCI), especialmente na área médica, que têm avançado significativamente nos últimos anos.

Inteligência Artificial e a Proteção de Dados

A ANPD destaca a importância da inteligência artificial (IA) na melhoria da precisão dos sistemas de reconhecimento biométrico, graças ao treinamento com grandes volumes de dados. No entanto, o uso de IA também traz desafios regulatórios. O Regulamento de Inteligência Artificial da União Europeia (EU AI Act) proíbe a utilização de sistemas biométricos de IA para inferir emoções no ambiente de trabalho ou em instituições de ensino e bane a categorização de indivíduos por raça.

No Brasil, o Projeto de Lei 2.338/2023 (Lei de Inteligência Artificial) classifica os sistemas de identificação biométrica para reconhecimento de emoções como de alto risco, mas não os proíbe.

Dados Biométricos e Riscos Legais

Dados biométricos são considerados sensíveis pela LGPD, o que aumenta os riscos associados ao seu tratamento. A ANPD aponta preocupações com vieses nos dados de treinamento, que podem levar à discriminação, e com a possibilidade de vazamentos de templates biométricos, que poderiam facilitar roubos de identidade e fraudes financeiras.

Vigilância e Segurança Pública

A publicação da ANPD foca nos usos do reconhecimento facial para segurança pública, incluindo controle de fronteiras, prevenção de fraudes e vigilância em massa. O EU AI Act proíbe o uso de IA para identificação biométrica em tempo real em espaços públicos, salvo em investigações criminais. No Brasil, a Lei de Inteligência Artificial também restringe o uso de sistemas de identificação biométrica à distância, com exceções para situações de busca por vítimas de crimes ou pessoas desaparecidas.

Controvérsias e Pedidos de Banimento

O uso de tecnologia de vigilância baseada em biometria facial é amplamente controverso. Organizações como a Anistia Internacional e a Human Rights Watch pedem o banimento dessas tecnologias. A Federal Trade Commission (FTC) dos EUA já proibiu uma rede de farmácias de usar reconhecimento facial por cinco anos, devido à discriminação resultante de falsos-positivos.

Embora a publicação da ANPD não forneça diretrizes específicas para empresas que utilizam reconhecimento facial, a expectativa é que futuros estudos da autoridade ofereçam orientações mais detalhadas. Este relatório inicial é um ponto de partida crucial para o aprofundamento do tema pela ANPD.

Publicado em Deixe um comentário

INSS REFORÇA POLÍTICAS DE ACESSO PARA PROTEGER DADOS DE BENEFICIÁRIOS

Recentemente, foi identificada uma vulnerabilidade nos sistemas do Instituto Nacional do Seguro Social (INSS), comprometendo a segurança dos dados de milhões de brasileiros. A falha, presente no Sistema Único de Informações de Benefícios (Suibe), permitiu o acesso indevido a informações cadastrais, gerando preocupações entre beneficiários e especialistas em segurança digital.

Detalhes da Exposição de Dados

A falha foi associada à distribuição de senhas para usuários externos sem a devida supervisão ou restrições após o término de suas funções. Historicamente, acessos não eram bloqueados após o desligamento de colaboradores, permitindo que ex-funcionários ou pessoas não autorizadas acessassem o sistema.

Medidas Corretivas Implementadas

Para corrigir essa vulnerabilidade, o INSS realizou mudanças nas políticas de acesso ao Suibe. Agora, o acesso ao sistema requer não apenas uma senha, mas também um certificado digital e criptografia, elevando o nível de segurança.

Ações de Reforço na Segurança

Além de novos métodos de autenticação, a infraestrutura de segurança do Suibe foi revisada e atualizada. O INSS intensificou o monitoramento e a auditoria dos acessos ao sistema para assegurar que eventuais tentativas de violação sejam prontamente identificadas e contidas. Medidas adicionais incluem:

  • Implementação de criptografia para proteger os dados transmitidos.
  • Consideração da autenticação de dois fatores para futuras adições.
  • Revisões periódicas das permissões de acesso para garantir que apenas usuários autorizados tenham acesso ao sistema.

Impacto das Medidas Adotadas

O INSS ainda está investigando se houve extração de dados através do Suibe. No entanto, já foi observada uma diminuição nas reclamações relacionadas a empréstimos consignados não autorizados, indicando que as medidas adotadas estão sendo eficazes na proteção dos dados dos beneficiários.

Compromisso com a Segurança

Este incidente ressalta a importância de vigilância contínua e atualização dos sistemas de segurança, especialmente em instituições que gerenciam grandes volumes de dados pessoais. O INSS reitera seu compromisso com a privacidade e segurança das informações de todos os seus beneficiários, implementando medidas robustas para proteger os dados sensíveis.

Publicado em Deixe um comentário

RISCOS E IMPLICAÇÕES DO TRATAMENTO DE DADOS MÉDICOS

A proteção de dados pessoais é um tema central quando se fala em prescrição médica, especialmente porque as informações contidas nesses documentos são consideradas dados pessoais sensíveis, conforme a Lei Geral de Proteção de Dados (LGPD), Lei Nº 13.709/18. A recente revelação de que a indústria farmacêutica monitora receitas médicas sem consentimento coloca em evidência uma possível violação sistemática do direito à proteção de dados dos médicos.

Conforme noticiado, o procedimento envolve a captura e comercialização de dados de receitas médicas pelas indústrias farmacêuticas. Quando uma receita é registrada no sistema da farmácia, empresas especializadas acessam esses registros, processam as informações e as vendem para as farmacêuticas. Com esses dados, é possível traçar um perfil dos médicos e influenciá-los a prescrever os medicamentos produzidos por essas indústrias. Esse ciclo se repete quando a prescrição influenciada é registrada na farmácia, que é remunerada pelo fornecimento dos dados. Estima-se que pelo menos 250 milhões de receitas sejam processadas anualmente desta forma.

Esse tipo de atividade representa um significativo tratamento de dados pessoais. Segundo a LGPD, dado pessoal é qualquer informação relacionada a uma pessoa identificada ou identificável. Assim, o medicamento prescrito em uma receita médica torna-se um dado pessoal quando associado ao nome e CRM do médico.

As operações de coleta, armazenamento, compartilhamento, classificação e criação de perfis de médicos devem estar em conformidade com a LGPD, ou seja, baseadas em uma das hipóteses legais para o tratamento de dados pessoais, com finalidades legítimas e informadas aos titulares dos dados. Os dados coletados devem ser adequados, necessários e relevantes para as finalidades especificadas, e as operações devem ser transparentes, evitando discriminações e garantindo a prestação de contas.

Os médicos devem ser informados sobre seus direitos garantidos pela LGPD, incluindo o livre acesso aos dados, a forma de tratamento, a duração desse tratamento, a identidade do responsável pelo tratamento, o uso compartilhado dos dados, e a finalidade do compartilhamento. Eles têm o direito de solicitar às farmácias, laboratórios ou empresas intermediárias uma declaração completa que indique a origem dos dados, os critérios utilizados e as finalidades do tratamento.

Além disso, o uso posterior dos dados pessoais para fins diferentes da finalidade original não é permitido sem a devida conformidade com a LGPD. A finalidade original das informações constantes da prescrição é a aquisição do medicamento pelo paciente na farmácia, e qualquer uso diverso disso deve ser devidamente justificado e conforme a lei.

No que diz respeito aos compartilhamentos, tanto farmácias quanto empresas intermediárias e indústrias farmacêuticas devem ser capazes de justificar a base legal para o tratamento de dados e garantir que esse tratamento seja legítimo, específico e informado aos titulares dos dados.

Essa atividade de tratamento de dados é de alto risco devido ao volume e à escala dos dados pessoais envolvidos, ao monitoramento dos titulares e à tomada de decisões automatizadas para criar perfis de médicos. O objetivo final de influenciar as prescrições médicas é particularmente problemático, pois pode levar a decisões que não refletem a melhor opção de tratamento para o paciente, mas sim a influência comercial sobre o médico.

Segmentar médicos por especialidade e média de preço dos medicamentos que prescrevem, e usar essas informações para abordagens comerciais, pode comprometer a autonomia dos médicos e representar uma significativa limitação do exercício de direitos. Isso caracteriza infrações graves à LGPD, especialmente quando há intenção de vantagem econômica, ausência de base legal para o tratamento de dados, e tratamento com efeitos discriminatórios.

O direito à proteção de dados inclui a liberdade e a autonomia na tomada de decisões, e o princípio da transparência é fundamental para equilibrar a relação entre agentes de tratamento e titulares dos dados. Influenciar decisões de maneira furtiva, sem o conhecimento do titular, contraria os princípios de boa fé e lealdade.

O princípio da transparência, vinculado aos princípios de boa fé e “accountability”, deve ser observado durante todo o ciclo de vida do tratamento de dados. Ele garante que o titular dos dados esteja ciente do uso de suas informações e possibilita o controle sobre o uso dos dados, bem como a responsabilização dos agentes de tratamento em casos de abuso ou uso ilícito. A proteção de dados não é apenas uma questão de conformidade legal, mas um imperativo ético para assegurar a confiança e a integridade na relação entre médicos, pacientes e a indústria farmacêutica.

Publicado em Deixe um comentário

IMPLICAÇÕES LEGAIS E ÉTICAS DO MONITORAMENTO FARMACÊUTICO

A questão da proteção de dados pessoais, especialmente no contexto das prescrições médicas, é uma área de crescente preocupação no âmbito da Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709 de 2018, no Brasil. Informações contidas em prescrições médicas são consideradas dados pessoais sensíveis e estão sujeitas a uma rigorosa regulamentação legal para assegurar a privacidade e a segurança desses dados.

Recentemente, reportagens destacaram a prática de monitoramento de prescrições médicas pela indústria farmacêutica, sem o consentimento expresso dos médicos. Este monitoramento é realizado por meio da captura de dados de prescrições médicas, quando processadas em farmácias, por empresas especializadas que, posteriormente, vendem essas informações para indústrias farmacêuticas. A finalidade declarada dessa prática é influenciar as decisões de prescrição dos médicos, promovendo assim a venda de determinados medicamentos.

A LGPD define dados pessoais como qualquer informação relacionada a uma pessoa natural identificada ou identificável. A associação de uma prescrição médica com o nome e o registro profissional (CRM) do médico prescritor transforma essas informações em dados pessoais, sujeitos às normas de proteção estabelecidas pela LGPD. Para que o tratamento desses dados seja considerado lícito, deve haver uma base legal clara, além do cumprimento de princípios como finalidade, adequação, necessidade, transparência, e não discriminação.

Os médicos, como titulares dos dados, têm o direito de ser informados sobre a coleta, o uso e o compartilhamento de seus dados pessoais. Eles também devem ter acesso facilitado a essas informações e ser informados sobre a finalidade específica do tratamento de seus dados. A LGPD estabelece que qualquer uso dos dados pessoais que não esteja em conformidade com a finalidade originalmente declarada ou que não tenha base legal é proibido.

A prática de segmentação de médicos com base em especialidades e padrões de prescrição, com o objetivo de influenciar suas decisões, coloca em questão não apenas a conformidade legal, mas também a ética dessa abordagem. Esse tipo de influência pode potencialmente comprometer a autonomia do médico e a integridade do processo de decisão clínica, priorizando interesses comerciais em detrimento da escolha do tratamento mais adequado para o paciente.

A exposição desta prática de monitoramento ressalta a necessidade de uma aplicação da LGPD, com uma fiscalização efetiva e a aplicação de sanções apropriadas para violações. É importante reforçar o princípio da transparência e assegurar que tanto médicos quanto pacientes tenham controle e conhecimento sobre o uso de seus dados pessoais. A proteção de dados pessoais, especialmente em contextos sensíveis como o da saúde, é fundamental para preservar a confiança nas relações médico-paciente e na integridade do sistema de saúde.

Publicado em Deixe um comentário

ATAQUE CIBERNÉTICO PARALISA OPERAÇÕES EM SEGURADORA DE TÍTULO IMOBILIÁRIO

A recente onda de ataques cibernéticos atingiu a First American Financial Corporation, uma das principais empresas de seguros de título nos EUA. A companhia, fundada em 1889 e conhecida por seus serviços financeiros e de liquidação em transações imobiliárias, teve que desativar parte de sua infraestrutura de TI como medida de segurança após o incidente.

Em um pronunciamento oficial divulgado em um site especialmente criado para tratar deste assunto, a First American confirmou o ocorrido, descrevendo-o como um “incidente de cibersegurança”. A empresa, que registrou um faturamento de $7,6 bilhões no último ano e emprega mais de 21.000 pessoas, é uma referência no setor de seguros de título, com sede na Califórnia.

A Fidelity National Financial, também impactada pelo incidente, relatou que o problema foi controlado em 26 de novembro, mas a restauração completa das operações comerciais ainda estava em andamento. Revelaram também que os atacantes conseguiram acesso a algumas credenciais após invadir seus sistemas.

A responsabilidade pelo ataque, ocorrido em 22 de novembro, foi reivindicada pelo grupo de ransomware ALPHV/BlackCat, embora a Fidelity National Financial não tenha oficialmente confirmado os responsáveis. Este incidente ressalta a crescente preocupação com a segurança cibernética em grandes corporações, especialmente naquelas que lidam com grandes volumes de dados sensíveis.

Publicado em Deixe um comentário

FALHA DE SEGURANÇA EM CREDENCIAIS COMPROMETE MILHÕES DE CONTAS NA 23ANDME

A empresa de testes genéticos 23andMe recentemente se viu no centro de uma questão de segurança de dados, com a divulgação de que cerca de 6,9 milhões de contas de usuários foram comprometidas. A questão surgiu após um incidente em outubro do ano passado, onde dados pessoais e sensíveis dos usuários foram acessados indevidamente.

De acordo com a 23andMe, o vazamento de dados não se deveu a uma falha direta em seus sistemas, mas sim ao uso, por parte dos usuários, de credenciais de acesso (senhas e e-mails) que já haviam sido expostas em outras violações de dados em serviços diferentes. Este método de ataque, conhecido como “credential stuffing”, aproveita-se de senhas e emails já comprometidos em outras plataformas para acessar contas em diversos serviços.

Após identificar o problema, a 23andMe agiu resetando as senhas dos usuários afetados e incentivando a adoção da autenticação de dois fatores (2FA) – uma prática agora obrigatória para todos os usuários do serviço.

Uma investigação interna revelou que os hackers conseguiram acessar os dados de milhões de usuários através do login em aproximadamente 14 mil contas. Este alcance extenso foi possível devido ao recurso opcional DNA Relatives da 23andMe, que permite aos usuários compartilhar informações genéticas e pessoais com outros usuários, potencialmente parentes distantes. A maioria dos usuários optou por compartilhar uma quantidade significativa de suas informações através deste recurso.

Este incidente levanta questões importantes sobre a segurança de dados em serviços online, especialmente aqueles que lidam com informações pessoais e sensíveis. Ressalta a necessidade de práticas robustas de segurança por parte dos usuários, como a utilização de senhas únicas para diferentes serviços e a ativação de medidas de segurança adicionais como a 2FA. Ao mesmo tempo, coloca em evidência a responsabilidade das empresas em proteger os dados de seus clientes e em orientá-los sobre práticas seguras de gerenciamento de informações pessoais.

Publicado em Deixe um comentário

DESAFIOS E SOLUÇÕES PARA EMPRESÁRIOS: PROTEÇÃO DE DADOS NO AMBIENTE DE TRABALHO

À medida que a Lei Geral de Proteção de Dados (LGPD), vigente desde setembro de 2020, redefine as políticas de privacidade de dados no Brasil, torna-se crucial para os empresários do setor varejista aprofundarem seus conhecimentos nesta área. O Sindilojas-SP, por exemplo, oferece através de seu departamento jurídico, orientações valiosas para a conformidade com as normas da LGPD.

Esta lei trouxe transformações significativas para vários segmentos da economia, impondo novos desafios e responsabilidades. Um aspecto particularmente importante diz respeito à gestão de dados dos empregados. Todas as fases dos contratos de trabalho devem ser rigorosamente alinhadas às diretrizes da LGPD. Dados sensíveis dos colaboradores devem ser tratados com extremo cuidado, pois até mesmo documentos usados em litígios trabalhistas podem ser questionados, caso haja risco de exposição indevida de informações pessoais.

Além disso, observamos um aumento no número de trabalhadores que utilizam os preceitos da LGPD para acessar informações ou reforçar argumentos em disputas judiciais trabalhistas. Documentos como folhas de ponto e termos de compensação de jornada, além da gestão de informações pessoais nos sistemas internos da empresa, são frequentemente alvo dessas solicitações.

Em termos de prevenção, as empresas devem exercer extrema cautela no tratamento dos dados pessoais dos empregados e, em alguns casos, até de seus familiares. É imperativo que as organizações desenvolvam e implementem políticas robustas de segurança de dados e estejam prontas para responder prontamente a quaisquer dúvidas ou preocupações levantadas por seus funcionários. A adoção de tais medidas não só assegura a conformidade legal, mas também fortalece a confiança e a transparência no ambiente de trabalho.

Publicado em Deixe um comentário

CERTIFICAÇÃO DIGITAL: A CHAVE PARA A CONFORMIDADE COM A LGPD NA SAÚDE

A entrada em vigor da LGPD no Brasil em setembro de 2020 marcou um ponto importante na área da saúde, trazendo consigo desafios complexos e oportunidades promissoras, especialmente quando se trata da gestão de informações sensíveis de pacientes. Nesse contexto, destacam-se tendências essenciais que têm ganhado relevância, notadamente a integração da inteligência artificial e a ampla adoção da computação em nuvem.

O Cenário da LGPD na Área da Saúde A área da saúde lida com informações altamente sensíveis, abrangendo dados clínicos, genômicos e pessoais dos pacientes. A LGPD estabelece um conjunto rigoroso de regras para garantir a proteção e a privacidade desses dados, com requisitos que impactam diretamente a coleta, o armazenamento e o compartilhamento de informações médicas.

O Papel Fundamental da Inteligência Artificial A aplicação da inteligência artificial no campo da saúde é ampla e multifacetada. Da análise de imagens médicas à geração de diagnósticos e tratamentos personalizados, a IA desempenha um papel fundamental. No contexto da LGPD, a IA pode ser empregada para automatizar a anonimização de dados sensíveis, assegurando que a identidade dos pacientes seja preservada em informações clínicas compartilhadas.

Além disso, a IA desempenha um papel crítico na detecção de violações de segurança de dados. Algoritmos de aprendizado de máquina podem monitorar o tráfego de informações em tempo real, identificando atividades suspeitas e notificando imediatamente as equipes de segurança, contribuindo para o cumprimento da LGPD.

A Computação em Nuvem e sua Relevância para a LGPD A adoção da computação em nuvem está se destacando devido à sua capacidade de reforçar a segurança e a conformidade com a LGPD. A migração de sistemas e dados para ambientes de nuvem permite que as instituições de saúde estabeleçam backups regulares, redundância e criptografia robusta, elementos cruciais para a proteção de informações sensíveis.

A computação em nuvem também oferece escalabilidade e flexibilidade, características essenciais no contexto da saúde, onde o volume de dados continua a crescer exponencialmente. A capacidade de ajustar os recursos conforme a demanda pode ser uma vantagem para as instituições que buscam manter a conformidade com a LGPD.

Desafios e Considerações Éticas A LGPD trouxe mudanças significativas na maneira como a área da saúde lida com dados sensíveis dos pacientes, impondo padrões mais rígidos de proteção e privacidade. A integração da inteligência artificial e da computação em nuvem emerge como uma tendência crucial para atender a essas regulamentações e aprimorar a qualidade do atendimento.

No entanto, é fundamental destacar que, ao adotar essas tecnologias, as instituições de saúde devem fazê-lo de maneira ética e transparente, respeitando estritamente os direitos dos pacientes. A conformidade com a LGPD na área da saúde vai além do cumprimento da lei; também se trata de construir confiança e garantir a segurança dos pacientes, estabelecendo uma base sólida para o futuro da assistência médica no Brasil.