Tag: Privacidade de Dados

Publicado em por Deixe um comentário

IA EM ASCENSÃO: ENTRE AVANÇOS TECNOLÓGICOS E A BUSCA PELA ÉTICA EM 2023

2023 tem sido um marco para a Inteligência Artificial (IA). À medida que os gigantes tecnológicos competem para desenvolver ferramentas inovadoras, a sociedade civil e especialistas alertam sobre os cuidados necessários na utilização desta tecnologia emergente.

A ascensão de chatbots generativos, como o renomado ChatGPT da OpenAI, redefine o nosso relacionamento com a tecnologia. Com sua quarta versão lançada recentemente, tornou-se um instrumento não apenas para especialistas, mas também para o público em geral. A explosão de aplicativos de chatbot baseados em IA no primeiro trimestre de 2023, evidencia o impacto dessas ferramentas, diversificando as possibilidades para setores como comunicação e design.

Até mesmo o Google não ficou para trás e mergulhou nesta onda, explorando não apenas a geração de texto, mas também a criação de imagens. O poder da IA ficou indiscutivelmente claro quando vimos imagens geradas de personalidades icônicas como o Papa Francisco e a saudosa Elis Regina. No entanto, isso acendeu o sinal de alerta para os perigos da desinformação e os desafios éticos associados ao direito à imagem.

Os efeitos dessa revolução são palpáveis em todos os setores. Em Hollywood, a introdução da IA nas produções levantou questões sobre o futuro do trabalho humano na indústria. E no coração do Vale do Silício, líderes tecnológicos surpreenderam ao pedir uma pausa no avanço desta tecnologia até que padrões de segurança sejam estabelecidos.

Neste cenário, quatro pilares se destacam para uma aplicação responsável da IA:

  1. Ética e Moralidade: A IA deve ser usada para o bem comum, evitando preconceitos e discriminações.
  2. Proteção de Dados: A privacidade do usuário deve ser a prioridade máxima.
  3. Aplicação Consultiva: A IA deve ser uma ferramenta, não um substituto para habilidades humanas.
  4. Responsabilidade dos Criadores: Aqueles que desenvolvem e distribuem modelos de IA devem ser responsáveis por suas aplicações.

No front regulatório, a Europa já avança com seu AI Act. No Brasil, o PL nº 2338/2023, fruto de um esforço conjunto da Comissão de Juristas, tenta moldar o caminho para uma era de IA mais segura e ética.

À medida que a IA se torna parte integrante de nossas vidas, o equilíbrio entre inovação e responsabilidade se torna vital. O desafio agora é como moldar esta tecnologia em benefício de todos, garantindo um futuro em que a IA atue como aliada, e não adversária, da humanidade.

Publicado em por Deixe um comentário

CRESCENTE CONSCIENTIZAÇÃO: AUMENTO SIGNIFICATIVO EM COMUNICAÇÕES DE INCIDENTES DE SEGURANÇA DE DADOS

A Autoridade Nacional de Proteção de Dados (ANPD) recentemente divulgou seu primeiro Relatório do Ciclo de Monitoramento, apresentando um aumento notável nas comunicações recebidas. Um total de 473 notificações apontou possíveis falhas de segurança em sistemas de informação que poderiam resultar em violações do sigilo de dados pessoais. Essas notificações se dividiram em 186 casos em 2021 e 287 em 2022, indicando um crescimento significativo de um ano para outro.

De acordo com a legislação pertinente, empresas, órgãos públicos e entidades têm a obrigação de comunicar à ANPD e aos titulares de informações qualquer possível incidente de segurança que possa representar riscos ou danos relevantes aos cidadãos. Isso explicaria o aumento nas comunicações.

Os incidentes de sequestro de dados, conhecidos como ransomware, foram o tipo predominante de incidentes relatados, afetando principalmente setores como administração pública, saúde, educação, financeiro e tecnologia da informação.

Segundo um especialista em Direito Digital e Proteção de Dados, o aumento nas comunicações reflete uma maior conscientização sobre a importância da segurança da informação. Ele sugere que empresas e entidades estão se tornando mais proativas na identificação e comunicação de possíveis violações, em conformidade com as leis aplicáveis.

No entanto, o especialista também levanta a possibilidade de um aumento real nos incidentes de segurança, o que requer uma análise mais detalhada para entender suas origens. Isso pode indicar que os sistemas de informação enfrentam ameaças cibernéticas crescentes, destacando a necessidade de investir em medidas sólidas de segurança cibernética para proteger os dados pessoais.

Para evitar violações e minimizar a necessidade de comunicar incidentes, as organizações devem adotar medidas proativas, como investir em soluções de segurança cibernética, realizar avaliações regulares de vulnerabilidade, fornecer treinamento de conscientização para os funcionários e implementar políticas claras de acesso a dados. Além disso, é fundamental manter sistemas e software atualizados e educar continuamente os funcionários sobre boas práticas de segurança e a importância do manuseio adequado de dados pessoais. A atualização regular de software também é crucial para corrigir vulnerabilidades conhecidas.

Publicado em por Deixe um comentário

DESAFIOS E CAMINHOS DA SEGURANÇA CIBERNÉTICA: CISOS E O COMBATE ÀS VIOLACÕES DE DADOS E AMEAÇAS INTERNAS

No Universo da Segurança Cibernética: Desafios e Soluções para CISOs” À medida que a cibersegurança se torna uma batalha cada vez mais complexa, os Chief Information Security Officers (CISOs) enfrentam um cenário repleto de riscos iminentes, desde ameaças internas até temíveis ataques de ransomware. Paralelamente, eles lideram iniciativas em prol da segurança da infraestrutura, adotam estratégias de prevenção de ataques e aplicam práticas avançadas, como a arquitetura de rede de zero trust.

A pressão sobre os CISOs é evidente, pois 88% deles relatam altos níveis de estresse, com metade enfrentando problemas de saúde mental e um terço lidando com questões físicas relacionadas ao trabalho. A batalha contra ciberataques e violações de dados é incessante, e os impactos podem ser devastadores.

Violações de dados podem adquirir diferentes formas, seja em termos do número de usuários afetados, das consequências financeiras ou da natureza delicada das informações expostas. Não surpreende, portanto, que a liderança de segurança da informação esteja sob pressão. A lista das 10 maiores violações de dados reflete a diversidade e gravidade das ameaças, reforçando a necessidade de vigilância constante.

Um exemplo marcante é a violação de dados do Yahoo em 2013, afetando três bilhões de contas de usuários. O incidente prejudicou a aquisição iminente da Verizon e ilustrou o desafio de manter a confiança dos clientes após violações de dados. Também merece destaque a violação de dados da Aadhaar em 2018, que abalou a confiança na maior base de identificação do mundo, expondo a fragilidade de sistemas aparentemente robustos.

A complexidade do cenário é visível na sequência de violações, incluindo marcas como LinkedIn, Facebook e Equifax. A violação da Capital One em 2019, causada por acesso privilegiado inadequado, evidenciou a importância da implementação correta da abordagem Zero Trust.

As melhores práticas para CISOs abrangem uma série de frentes. A prevenção de ataques cibernéticos deve ser central em todas as estratégias, com a rede Zero Trust atuando como aliada na limitação de ameaças internas e externas. A proteção contra malware empresarial é essencial, e a seleção criteriosa de fornecedores é fundamental.

Os desafios podem ser superados. A eliminação de pontos cegos do Zero Trust, causados pela criptografia SSL/TLS, é uma necessidade. A inspeção de tráfego criptografado e o investimento em soluções de segurança cibernética avançada são passos vitais para manter os dados protegidos.

Embora a jornada de um CISO seja árdua, com a adoção de estratégias adequadas e o uso das ferramentas certas, eles podem fortalecer a resistência de suas organizações contra ameaças cibernéticas. O caminho para proteger dados sensíveis e evitar violações é repleto de desafios, mas a expertise e o compromisso dos CISOs têm o potencial de transformar esse cenário.

Publicado em por Deixe um comentário

PRIVACIDADE DIGITAL: ESTRATÉGIAS EMPRESARIAIS PARA ENFRENTAR DESAFIOS DE SEGURANÇA CIBERNÉTICA

O crescente aumento global de vazamentos e violações de dados tem acendido um alerta em relação à proteção e privacidade dos usuários nas redes. Esse cenário é agravado por vazamentos expressivos que envolvem grandes corporações globais, levando governos a tomar medidas para fortalecer a proteção de dados pessoais. A União Europeia estabeleceu um marco pioneiro com a Lei Geral de Proteção de Dados (GDPR) em maio de 2018, influenciando a adoção global de legislações similares.

No ambiente corporativo, a segurança cibernética se tornou vital, visto que a perda da confiança dos usuários pode causar danos financeiros e de reputação, impactando os negócios. Assim, a conscientização sobre a importância da privacidade dos dados e a implantação de medidas de segurança se tornaram prioridades para estabelecer relações de confiança.

No contexto brasileiro, a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em 2020 marcou um avanço significativo. Ela estabeleceu princípios como o consentimento explícito para a coleta de dados e a responsabilidade das empresas em proteger informações sensíveis.

Particularmente no Brasil, houve um aumento expressivo nos vazamentos de dados, conforme estudo do Massachusetts Institute of Technology (MIT) indicou um aumento de 493% entre 2018 e 2019. Isso ressalta a relevância da LGPD e a urgência das empresas em se adaptarem às normas. Grandes varejistas brasileiros enfrentaram penalidades por não cumprir a LGPD, destacando a importância da conformidade.

Empresas estão impelidas a fazer mais do que a legislação exige para garantir a confiança dos clientes e parceiros. A revisão minuciosa de políticas de privacidade, adoção de medidas técnicas e organizacionais, nomeação de um encarregado de proteção de dados (DPO) e treinamentos para funcionários são passos fundamentais. Manter registros precisos das atividades de tratamento de dados e consentimentos demonstra conformidade e facilita respostas a demandas legais.

Tais ações não só atendem obrigações legais, mas também reforçam a proteção da privacidade dos usuários e reduzem riscos financeiros, preservando a reputação e a competitividade das empresas. Isso mostra que o comprometimento com a segurança de dados é uma estratégia inteligente em um mundo cada vez mais conectado e preocupado com a privacidade.

Publicado em por Deixe um comentário

DO FÍSICO AO DIGITAL: A JORNADA DOS DOCUMENTOS EMPRESARIAIS NA ERA DA LGPD

A gestão adequada dos documentos empresariais em formato físico tem se tornado uma questão de relevância crescente. Muitas empresas se questionam sobre o destino desses papéis após a realização da digitalização e arquivamento eletrônico. É válido esclarecer que, sim, é possível descartar os papéis físicos após o processo de digitalização, desde que isso seja realizado em conformidade com as diretrizes legais e regulamentares. Os arquivos digitais possuem igual validade legal, desde que cumpridas as condições estabelecidas pela legislação pertinente.

No contexto da Lei Geral de Proteção de Dados (LGPD), a eliminação adequada dos dados pessoais é um ponto essencial. A LGPD estipula que os dados pessoais devem ser eliminados após a finalização de seu tratamento, salvo nos casos em que a retenção seja necessária para cumprir obrigações legais ou regulatórias, para fins de pesquisa por órgãos competentes, para transferência a terceiros ou para uso exclusivo do controlador, sempre com atenção à anonimização sempre que possível.

A evolução tecnológica tem possibilitado que informações sejam processadas integralmente em meio digital, reduzindo a dependência de documentos físicos. Apesar disso, ainda é comum a presença significativa de registros em papel nas organizações.

No entanto, é preciso entender que a transição para o formato digital não compromete a validade legal dos documentos. A equivalência legal é alcançada desde que se sigam os requisitos estabelecidos no Decreto nº 10.278 de 2020, bem como outras normativas pertinentes.

Conforme definido pelo referido decreto, a digitalização de documentos físicos deve ser realizada com tecnologias que garantam a integridade e confiabilidade dos documentos, mantendo padrões técnicos que assegurem a qualidade da imagem, legibilidade e usabilidade. A confidencialidade deve ser observada quando cabível, assim como a transparência entre sistemas informatizados.

No âmbito da administração pública, documentos digitalizados possuem a mesma validade que seus equivalentes físicos quando assinados com certificação digital padrão da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), obedecendo a requisitos específicos de formato e resolução.

É importante ressaltar que a validade dos documentos digitais também depende da inclusão de metadados essenciais, que oferecem informações estruturadas para classificação, descrição e gerenciamento dos documentos.

Após cumprir as exigências estabelecidas pelo Decreto, a eliminação adequada dos documentos físicos é possível, exceto quando possuem valor histórico. A lei 12.682 de 2012 também respalda essa prática ao estabelecer que documentos digitalizados podem substituir os originais, os quais podem ser destruídos, salvo os de valor histórico.

Entretanto, é necessário observar exceções, como documentos referentes a operações financeiras, identificação e porte obrigatório, que devem ser mantidos em suporte físico durante os prazos de prescrição e decadência.

O descarte dos papéis deve ser feito de maneira que inviabilize a recuperação das informações, o que pode envolver a fragmentação dos papéis ou a contratação de empresas especializadas para reciclagem.

Empresas devem desenvolver procedimentos que garantam a avaliação, seleção e descarte de documentos conforme a legislação vigente e suas políticas internas, evitando a retenção inadequada de informações após os prazos determinados, o que poderia resultar em infrações às normas de proteção de dados.

Em suma, a gestão eficiente de documentos físicos após sua digitalização é uma prática fundamental que, quando bem conduzida, não apenas otimiza o espaço e reduz custos, mas também assegura a conformidade legal e a proteção adequada dos dados pessoais.

Publicado em por Deixe um comentário

EQUILIBRANDO TRANSPARÊNCIA E PRIVACIDADE: ESTRATÉGIAS PARA O TRATAMENTO DE DADOS PESSOAIS EM DOCUMENTOS GOVERNAMENTAIS

É importante ressaltar que o dilema em questão é, na verdade, uma falsa dicotomia. A proteção dos dados pessoais e a transparência proativa são ambos direitos fundamentais consagrados na Constituição. A transparência proativa é uma ferramenta crucial para assegurar o direito fundamental de acesso à informação relacionada à gestão pública. De maneira similar, a proteção dos dados pessoais foi oficialmente reconhecida como um direito fundamental pela Emenda Constitucional n° 115, que a incorporou ao mesmo artigo 5º. Não existe uma hierarquia entre os direitos fundamentais, mas sim uma busca por harmonizá-los sempre que possível, mesmo em situações de aparente conflito. Portanto, a Lei de Acesso à Informação (LAI) desempenha o papel de promover a transparência e o acesso à informação para os cidadãos, enquanto a Lei Geral de Proteção de Dados (LGPD) estabelece regras e restrições para o uso de dados pessoais.

A transparência proativa tem como principal objetivo possibilitar o controle social e a supervisão das ações do setor público, sendo essencial para a prática democrática e para assegurar a prestação de contas das atividades governamentais. Assim, quando a transparência proativa implica na divulgação de dados pessoais, o interesse público nessa divulgação se restringiria à identificação dos agentes, sejam eles públicos ou privados, envolvidos nos atos administrativos, como contratos e notas de empenho. Essa identificação pode ser viabilizada por meio do nome completo e do CPF, ou alternativamente, pelo número de matrícula nos casos que envolvam agentes públicos. O CPF, inclusive, já é considerado um documento suficiente para identificar cidadãos em bancos de dados de serviços públicos, de acordo com a Lei nº 14.534/2023.

No contexto da transparência proativa, é possível que, além do nome e do CPF, outros dados pessoais sejam disponibilizados. Por exemplo, em contratos administrativos, os dados pessoais dos responsáveis legais podem incluir informações como data de nascimento, endereço, e-mail, telefone e assinatura. Similarmente, notas de empenho podem conter mais informações sobre a pessoa física beneficiária de pagamentos do setor público.

No entanto, a coleta organizada desses dados pessoais pode ser explorada por indivíduos mal-intencionados para atividades ilícitas, como roubo de identidade, abertura fraudulenta de contas bancárias, subscrição de serviços e até mesmo a realização de transações civis, como aluguel de propriedades ou compra de bens. Detentores desses dados podem falsificar documentos e fazer-se passar pelas pessoas cujas informações foram expostas.

Além disso, é importante considerar que algoritmos de web scraping são capazes de extrair informações de diversos documentos para construir bancos de dados, permitindo o perfilamento de servidores públicos com base em sua renda mensal, conforme apresentado nos portais de transparência. Isso pode levar a empresas com intenções duvidosas direcionando produtos e anúncios específicos, o que constitui uma violação dos princípios da LGPD.

Portanto, esses dados não são essenciais para a transparência proativa, uma vez que extrapolam sua finalidade e sua divulgação acarreta riscos aos titulares. No que diz respeito à identificação dos responsáveis por atos administrativos, acredita-se que somente o nome e o CPF são suficientes.

Contudo, quanto ao CPF, também é possível argumentar que a divulgação do número completo dos envolvidos em atos administrativos não é necessária, dado que esse é um dado altamente sensível e único para cada indivíduo. Nos Estados Unidos, o SSN (Número de Seguro Social) possui funções semelhantes ao CPF e é amplamente recomendado que esse número seja mantido confidencial, devido ao risco de fraude.

Em contratos administrativos, portanto, apenas a informação de identificação do representante legal, com nome completo e CPF mascarado (ou número de matrícula em casos de servidores públicos), seria suficiente para atender à transparência proativa, protegendo a privacidade dos envolvidos e prevenindo fraudes.

No entanto, há situações em que os dados pessoais não estão estruturados em bancos de dados, como contratos administrativos digitalizados, e estão disponíveis no documento. Se o documento for digitalizado com reconhecimento óptico de caracteres, os dados pessoais podem ser extraídos, inclusive de forma automatizada.

Nesses casos, ferramentas de “marcação para redação” podem ser empregadas para cobrir os dados pessoais que não são necessários. Isso, no entanto, muitas vezes requer intervenção manual, o que pode ser desafiador para órgãos com recursos limitados. Além disso, o mascaramento do CPF pode exigir softwares específicos.

Por conseguinte, o encarregado pelo tratamento de dados pessoais deve orientar as áreas responsáveis.

Publicado em por Deixe um comentário

ATACADISTA É RESPONSABILIZADO LEGALMENTE POR FALHAS DE SEGURANÇA EM CASO DE ATAQUE HACKER

O atributo alt desta imagem está vazio. O nome do arquivo é image.png

A 2ª Turma Recursal do Poder Judiciário de Santa Catarina manteve uma decisão que responsabiliza duas empresas por um ataque hacker devido à falta de cuidados na contratação de um firewall para proteção do ambiente de rede. A invasão resultou em um prejuízo de R$ 3,9 mil, levando à sentença do Juizado Especial Cível de São Miguel do Oeste que determinou que cada empresa pagasse metade do prejuízo.

No caso, uma empresa do setor atacadista e varejista firmou um contrato com uma empresa que administra máquinas de pagamento por cartão de crédito. A invasão ao sistema ocorreu em janeiro de 2022, quando funcionários da empresa de atacado enfrentaram dificuldades para acessar a conta. A invasão resultou na transferência de R$ 3,9 mil para um indivíduo não autorizado.

O atacadista moveu uma ação de danos materiais contra a empresa de cartão de crédito, buscando a devolução dos fundos indevidamente transferidos. A empresa de cartão alegou culpa de terceiros e a inaplicabilidade do Código de Defesa do Consumidor.

A responsabilização das empresas baseou-se na falha concorrente, onde a empresa de cartão foi condenada a pagar R$ 1.950 ao atacadista. A operadora da máquina de cartão recorreu à Turma Recursal, mas teve seu pedido negado. A decisão destacou que a empresa atacadista foi negligente ao não contratar um firewall de proteção para a rede e ao não verificar as tentativas de acesso ao sistema. Além disso, a empresa de cartão contribuiu para o incidente devido à segurança insuficiente do sistema, incluindo senhas fracas e falta de monitoramento de IPs.

Nesse contexto, é importante ressaltar a relevância das práticas de segurança da informação, como o uso de senhas fortes, para proteger dados pessoais e informações sensíveis. A Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), estabelece diretrizes para a segurança e proteção de dados, e empresas que negligenciam essas práticas podem enfrentar sanções administrativas e multas.

A Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD®) também destaca a importância do entendimento e discussão sobre a privacidade de dados, buscando melhorias na lei e promovendo o papel dos agentes de privacidade de dados. A adoção de medidas rigorosas de segurança da informação não apenas evita prejuízos financeiros, mas também auxilia as empresas a estarem em conformidade com a LGPD, protegendo os direitos dos titulares de dados e mantendo a confiança dos clientes.

(Fonte: Baseado em informações do TJ/SC)

Publicado em por Deixe um comentário

REGULAMENTAÇÕES GLOBAIS DE PROTEÇÃO DE DADOS: CONHEÇA SEUS DIREITOS

O atributo alt desta imagem está vazio. O nome do arquivo é image.png

Após várias discussões e adiamentos, a Lei Geral de Proteção de Dados (LGPD) do Brasil, Lei Federal nº 13.709/2018, entrou em vigor em 18 de setembro de 2020. A LGPD é a primeira regulamentação abrangente de proteção de dados do Brasil e está amplamente alinhada com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).

Embora a lei esteja em vigor desde 2020, as penalidades estabelecidas pela LGPD só se tornaram aplicáveis em 1º de agosto de 2021. No entanto, autoridades públicas (como órgãos de proteção ao consumidor e promotores públicos) e titulares de dados puderam exercer seus direitos de acordo com a LGPD a partir de 18 de setembro de 2020.

Antes da promulgação da LGPD, as regulamentações de privacidade de dados no Brasil consistiam em várias disposições dispersas na legislação brasileira. Por exemplo, a Lei Federal nº 12.965/2014 e seu Decreto regulamentador nº 8.771/16 (juntos, o Marco Civil da Internet Brasileira) impunham requisitos relacionados à segurança e ao processamento de dados pessoais, além de outras obrigações aos provedores de serviços, redes e aplicativos, e conferiam direitos aos usuários da Internet.

As seguintes leis também contêm disposições gerais e princípios aplicáveis à proteção de dados:

A Constituição Federal; O Código Civil Brasileiro; e Leis e regulamentos que abordam: Certos tipos de relacionamentos (por exemplo, Código de Defesa do Consumidor e leis trabalhistas); Setores regulamentados (por exemplo, instituições financeiras, indústria da saúde ou telecomunicações); e Atividades profissionais específicas (por exemplo, medicina e direito). Além disso, existem leis que regulamentam o processamento e a salvaguarda de documentos e informações manipulados por entidades governamentais e órgãos públicos.

A LGPD se aplica a qualquer operação de processamento realizada por pessoa física ou jurídica (de direito público ou privado), independentemente de (1) os meios utilizados para o processamento, (2) o país onde está localizada sua sede ou (3) o país onde os dados estão localizados, desde que:

A operação de processamento seja realizada no Brasil; O objetivo da atividade de processamento seja oferecer ou fornecer bens ou serviços, ou o processamento de dados de indivíduos localizados no Brasil; ou Os dados pessoais tenham sido coletados no Brasil. Por outro lado, a lei não se aplica ao processamento de dados pessoais que seja:

  • Realizado por pessoa física exclusivamente para fins privados e não econômicos;
  • Realizado para fins jornalísticos, artísticos ou acadêmicos;
  • Realizado para fins de segurança pública, segurança nacional e defesa ou atividades de investigação e persecução de crimes (que serão objeto de uma lei específica);
  • Originado fora do território brasileiro e não seja objeto de comunicação;
  • ou Compartilhamento de dados com agentes de processamento brasileiros ou objeto de transferência internacional de dados

Além disso, em 20 de outubro de 2021, o Senado brasileiro aprovou por unanimidade a Proposta de Emenda à Constituição (PEC) nº 17/2019, que inclui na Constituição Federal a proteção de dados pessoais, inclusive em meios digitais, como um direito fundamental, e atribui à União (governo federal) a responsabilidade de legislar sobre esse assunto. Desde 10 de fevereiro de 2022, a proteção de dados está agora abrangida pela Constituição Federal como um direito fundamental.

O atributo alt desta imagem está vazio. O nome do arquivo é fale-conosco-1000-%C3%97-100-px.png