O uso de tecnologias avançadas na segurança pública está cada vez mais entrelaçado com a necessidade de proteção dos dados pessoais dos cidadãos. No entanto, um dos maiores desafios para a implementação dessas inovações é a ausência de regulamentação específica da Lei Geral de Proteção de Dados (LGPD) no âmbito penal, uma lacuna legal significativa no Brasil.
Apesar da aprovação da LGPD, o uso de dados pela segurança pública foi deliberadamente deixado de fora, uma vez que essa aplicação exige um debate mais detalhado e complexo. Em 2019, uma comissão de juristas desenvolveu um anteprojeto para uma LGPD Penal, mas ele nunca foi transformado em lei. Até o momento, não há um projeto de lei tramitando que aborde essa questão, demonstrando a necessidade urgente de o legislativo apresentar e atualizar propostas relacionadas.
Apesar da falta de uma lei específica, a privacidade e a proteção de dados já são direitos fundamentais garantidos pela Constituição Federal. A atual LGPD exclui explicitamente sua aplicação em contextos de segurança pública, investigação criminal, persecução penal e defesa do estado. No entanto, os princípios da lei e os direitos dos titulares de dados ainda precisam ser respeitados. A Autoridade Nacional de Proteção de Dados (ANPD) tem a prerrogativa de exigir relatórios de impacto sobre a proteção de dados de agentes públicos, como evidenciado em casos recentes onde a ANPD bloqueou o uso de inteligência artificial por grandes empresas de tecnologia para proteger os dados dos brasileiros.
No cenário internacional, vemos que a preocupação com a privacidade dos dados também é uma tendência global. Exemplos como a proibição de uma empresa de dados na França mostram que a coleta e o uso de dados sem a devida regulamentação são questões polêmicas e podem resultar em medidas drásticas.
A utilização de dados é essencial para a formulação de políticas públicas eficazes, como foi visto durante a pandemia de Covid-19, onde a vacinação foi organizada com base em dados pessoais e demográficos. No entanto, a aplicação da lei na segurança pública deve ser realizada de forma legal e ética. Procedimentos inadequados, como grampear telefones sem autorização judicial, podem comprometer operações inteiras.
É crucial que o uso de tecnologias na segurança pública esteja alinhado com os direitos de privacidade e confiabilidade. As tecnologias devem ser acompanhadas de regramentos cuidadosos e protocolos claros para evitar abusos e manter a confiança do público. A capacitação dos profissionais envolvidos é fundamental para garantir que a tecnologia seja utilizada de maneira eficaz e segura.
A ênfase deve estar na preparação e capacitação dos profissionais, reconhecendo que, apesar da sofisticação das tecnologias disponíveis, o julgamento humano continua sendo insubstituível. A combinação de tecnologia avançada com uma equipe bem treinada é a chave para melhorar os serviços de segurança pública e garantir a proteção dos direitos dos cidadãos.
Na manhã desta quarta-feira (17), o ecommerce brasileiro Netshoes foi alvo de um significativo vazamento de dados. Informações divulgadas no fórum cibercriminoso BreachForums revelaram que cerca de 38 milhões de usuários registrados foram expostos, juntamente com dados relativos a 40 milhões de registros de compras.
O autor do vazamento, conhecido como “CaptainJack” no fórum, afirmou que os dados foram obtidos em julho de 2024, embora não tenha detalhado o método utilizado. Entre as informações expostas estão CPF, número de telefone (celular e fixo), endereço completo, nome completo, datas e números de pedidos, estimativa de entrega e informações de fornecedores terceirizados. Os registros de pedidos abrangem o período de 2015 a 2024.
O site TecMundo teve acesso a uma amostra dos dados disponibilizada pelo invasor, contendo informações de 104 brasileiros, como prova da autenticidade do vazamento. Esses registros datam de 2023 e envolvem clientes de vários estados brasileiros, incluindo Minas Gerais, Rio de Janeiro, São Paulo, Paraná e Amazonas.
Em resposta ao incidente, a Netshoes divulgou um comunicado reconhecendo a ocorrência do vazamento e detalhando as ações tomadas. A empresa informou que, assim que tomou conhecimento do incidente, reforçou suas medidas de segurança e iniciou uma investigação forense para apurar o ocorrido. Além disso, a Netshoes está cooperando com as autoridades competentes, inclusive a Autoridade Nacional de Proteção de Dados (ANPD), para esclarecer as circunstâncias do incidente e minimizar possíveis impactos aos clientes.
A Netshoes enfatizou seu compromisso com a segurança da informação, transparência e privacidade, operando em conformidade com a legislação vigente e seguindo rigorosos padrões globais de proteção de dados.
Este não é o primeiro episódio de vazamento de dados envolvendo a Netshoes. Em 2017, um arquivo contendo dados de meio milhão de clientes foi exposto, seguido por um vazamento maior em 2018, que totalizou 2,5 milhões de registros. Em 2019, a empresa firmou um Termo de Ajustamento de Conduta (TAC) com o Ministério Público do Distrito Federal e Territórios (MPDFT), resultando em um pagamento indenizatório de R$ 500 mil ao Fundo de Defesa de Direitos Difusos (FDD). Na ocasião, foi destacado que a resolução consensual do conflito demonstrou ser possível o ressarcimento da coletividade sem onerar excessivamente a empresa, que colaborou com as investigações.
A recorrência desses incidentes destaca a importância de medidas robustas de segurança da informação, especialmente em empresas que lidam com grandes volumes de dados pessoais e transacionais.
O Ministério Público Federal (MPF) e o Instituto de Defesa de Consumidores (Idec) moveram uma ação civil pública visando condenar o WhatsApp ao pagamento de R$ 1,733 bilhão por danos morais coletivos. A ação acusa a empresa de violar os direitos dos usuários brasileiros ao impor mudanças em sua política de privacidade em 2021 sem fornecer informações adequadas, forçando a adesão às novas regras e facilitando o compartilhamento abusivo de dados pessoais com outras plataformas do Grupo Meta, como Facebook e Instagram. A Autoridade Nacional de Proteção de Dados (ANPD) também é alvo da ação.
A indenização exigida baseia-se nas multas aplicadas ao WhatsApp na Europa por infrações semelhantes. Entre 2021 e 2023, a União Europeia multou a empresa em 230,5 milhões de euros por irregularidades na política de privacidade que ampliaram o compartilhamento de informações pessoais dos usuários. No Brasil, considerando a conversão monetária e o fato de o país ser um dos maiores mercados do WhatsApp, o valor estabelecido de R$ 1,733 bilhão é considerado proporcional à capacidade financeira do Grupo Meta, que registrou um lucro de 39 bilhões de dólares em 2023. Se a Justiça Federal acolher a ação, o valor será destinado a projetos financiados pelo Fundo de Defesa de Direitos Difusos (FDD).
Além da indenização, o MPF e o Idec solicitam que o WhatsApp interrompa imediatamente o compartilhamento de dados pessoais para fins próprios das empresas do Grupo Meta, como a veiculação personalizada de anúncios. A ação também requer que o aplicativo ofereça funcionalidades simples para que os usuários possam recusar as mudanças na política de privacidade a partir de 2021, ou cancelar a adesão sem perder o acesso ao serviço.
Segundo a ação, as práticas do WhatsApp desrespeitam a Lei Geral de Proteção de Dados Pessoais (LGPD), o Marco Civil da Internet e o Código de Defesa do Consumidor. A empresa não esclareceu adequadamente as mudanças na política de privacidade, forçando os usuários a aceitar os novos termos durante a pandemia de COVID-19, quando o uso do aplicativo era crucial para a comunicação. A empresa coletou e compartilhou dados pessoais além do necessário para a operação do serviço, como fotos de perfil, localização e dados do aparelho utilizado.
A falta de transparência e a coação para obter a anuência dos usuários são violações da LGPD, que estabelece que o tratamento de dados deve se limitar ao mínimo necessário. A política de privacidade do WhatsApp no Brasil não especifica as bases legais que autorizam o tratamento dos dados pessoais, uma omissão que já resultou em pesadas multas na Europa. No entanto, o WhatsApp não fez os ajustes necessários no Brasil, mantendo uma postura que desrespeita os direitos dos usuários.
A ação civil pública também critica a atuação da ANPD, criada para fiscalizar o cumprimento da LGPD no Brasil. Inicialmente colaborativa, a ANPD mudou sua postura em 2021, impondo sigilo sobre o procedimento referente ao WhatsApp e deixando de prestar informações às entidades da sociedade civil. A ação requer que a ANPD apresente cópia integral de seus processos e justifique detalhadamente o sigilo imposto a cada documento. Caso não haja informações sensíveis que justifiquem o sigilo, a ação pede que a Justiça Federal dê publicidade ao conteúdo.
A inclusão da ANPD como ré na ação visa não apenas responsabilizá-la por sua postura no caso específico do WhatsApp, mas também apontar providências necessárias para seu aprimoramento. Se a ANPD reconhecer as falhas e implementar os pedidos da ação, poderá até mesmo migrar do polo passivo ao ativo do processo, associando-se aos autores na disputa contra o WhatsApp.
Essa ação é um marco na defesa dos direitos dos consumidores brasileiros e na proteção dos dados pessoais, destacando a importância de uma fiscalização efetiva e de políticas de privacidade transparentes e justas.
O debate sobre a regulamentação das redes sociais tem sido um tema recorrente nos corredores legislativos ao redor do mundo. No Brasil, a trajetória regulatória encontra-se marcada por iniciativas como o Marco Civil da Internet de 2014, que, apesar de aparente regulação, ainda deixa lacunas significativas no que diz respeito ao controle e à gestão de dados em plataformas digitais. O futuro inevitável é transformar radicalmente este cenário é a descentralização das redes sociais através da tecnologia blockchain.
Descentralização via Blockchain
A Tecnologia de Registro Distribuído (DLT – Distributed Ledger Technology) refere-se a um consenso de registros replicados, compartilhados e sincronizados geograficamente dispersos, mantidos por membros distintos de uma rede. Ao contrário dos sistemas de registro tradicionais, centralizados em uma autoridade única (como um banco central, por exemplo), a DLT permite que a informação exista simultaneamente em múltiplos locais, sendo acessível e verificável por todos os participantes da rede sem a necessidade de uma entidade central de controle.
Características Principais:
Descentralização: A DLT opera em uma estrutura descentralizada, o que significa que os registros são mantidos em muitos computadores (nós) em toda a rede, em vez de ser armazenados em um local central. Isso ajuda a eliminar pontos únicos de falha e aumenta a resistência contra ataques cibernéticos através de características fundamentais: Primeiramente, a redundância de dados é garantida, pois cada nó na rede mantém uma cópia completa do registro, assegurando que a integridade do sistema seja preservada mesmo se alguns nós forem comprometidos. Além disso, a segurança dos dados é reforçada pelo uso de hashes criptográficos que interligam os blocos, tornando modificações retroativas computacionalmente inviáveis sem a recalculação de todos os blocos subsequentes. A maioria das redes DLT também exige um consenso para alterações, necessitando que a maioria dos participantes valide qualquer mudança, o que protege contra manipulações unilaterais. A transparência da rede permite uma auditoria constante por todos os usuários, facilitando a rápida detecção e correção de qualquer tentativa de fraude. Por fim, a ausência de um único ponto de controle dificulta enormemente a execução de ataques coordenados, tornando as plataformas baseadas em DLT particularmente seguras em comparação aos sistemas centralizados tradicionais.
Transparência e segurança: Cada transação no ledger é verificável por todos os participantes e deve ser confirmada por consenso da rede antes de ser permanentemente adicionada. Além disso, a utilização de criptografia assegura a integridade e a segurança das transações. Imutabilidade: Uma vez que uma transação é registrada no ledger, ela não pode ser alterada ou apagada, garantindo um histórico transparente e auditável de todas as transações. Consensos: A DLT utiliza mecanismos de consenso para validar transações. Estes mecanismos, que podem variar (como Proof of Work, Proof of Stake, entre outros), são fundamentais para manter a integridade e a confiança na rede. Tipos de DLT:
Embora o blockchain seja o tipo mais conhecido de DLT, existem outras variações que se diferenciam principalmente no modo como os dados são estruturados e no mecanismo de consenso utilizado. Algumas dessas variações incluem:
Blockchain: Um tipo de DLT que organiza os dados em blocos encadeados cronologicamente. Blockchain é um tipo específico de Tecnologia de Registro Distribuído que organiza dados em blocos encadeados cronologicamente e que se tornou famoso principalmente pelo seu uso em criptomoedas como o Bitcoin. No entanto, as aplicações do blockchain vão muito além das criptomoedas.
Exemplo prático: Bitcoin
O Bitcoin, a primeira e mais conhecida criptomoeda, utiliza a tecnologia blockchain para facilitar e registrar transações financeiras de forma segura e descentralizada. Cada transação realizada com Bitcoin é verificada por uma rede de computadores (nodos) e, uma vez confirmada, é adicionada a um bloco de outras transações recentes. Uma vez que um bloco é preenchido, ele é adicionado ao final da cadeia de blocos existente, de maneira sequencial e imutável.
Esse processo não apenas garante a segurança das transações, impedindo fraudes e duplicidades (como o problema do gasto duplo), mas também elimina a necessidade de intermediários, como bancos ou governos, para validar ou facilitar as transações. O blockchain do Bitcoin é público, o que significa que qualquer pessoa na rede pode ver todas as transações que já foram feitas, garantindo transparência total, embora as identidades dos usuários permaneçam protegidas por meio de pseudônimos.
Através do Bitcoin, a tecnologia blockchain demonstrou a viabilidade de sistemas financeiros alternativos que são globais, acessíveis e significativamente menos suscetíveis à interferência externa ou à corrupção. Este exemplo pioneiro tem inspirado inúmeras outras aplicações em diversos setores, desde a logística até o registro de propriedades, destacando o potencial transformador do blockchain.
Tangle: Utilizado pelo IOTA, organiza as transações em uma rede de nós interconectados, não necessariamente formando uma cadeia linear ou blocos. O Tangle, utilizado pela IOTA, representa uma abordagem inovadora ao descentralizar transações através de uma estrutura conhecida como DAG – Directed Acyclic Graph, divergindo do tradicional blockchain que organiza transações em blocos lineares. No Tangle, cada transação é conectada individualmente a duas outras anteriores, não formando blocos ou cadeias lineares, mas uma rede interconectada. Este método de validação descentralizada requer que cada nova transação valide duas transações prévias, contribuindo para a segurança e reduzindo a possibilidade de spam e ataques. Essa estrutura promove maior velocidade e eficiência, escalando positivamente à medida que o volume de transações aumenta, o que contrasta com os blockchains tradicionais que podem sofrer com lentidão e congestionamento. Além disso, o Tangle elimina a necessidade de mineradores, reduzindo significativamente o consumo de energia e os custos de transação, tornando-o ideal para microtransações e aplicações em IoT – Internet das Coisas, onde pequenos dispositivos realizam frequentes transações de dados ou micro-pagamentos. A robustez, a segurança e a escalabilidade sem taxas fazem do Tangle uma solução atraente para a crescente demanda por eficiência em transações digitais descentralizadas.
Hashgraph: Usa uma estrutura de grafos acíclicos dirigidos para alcançar consenso, prometendo ser mais rápido e eficiente em termos de energia do que as blockchains tradicionais. Hashgraph se destaca como uma tecnologia de consenso baseada em uma estrutura de grafos acíclicos dirigidos (DAG), prometendo superar as blockchains tradicionais em termos de velocidade e eficiência energética. Diferente do blockchain, que organiza dados em blocos sequenciais, o Hashgraph permite que múltiplas transações ocorram simultaneamente, sem necessidade de formação de blocos ou mineração. Esta característica resulta em um processo de consenso muito mais rápido e com menor consumo de energia, tornando-o ideal para aplicações que exigem grande volume de transações em alta velocidade. Além disso, o Hashgraph é projetado para fornecer um alto grau de segurança e justiça, assegurando que todas as transações sejam tratadas na mesma sequência em que foram recebidas, evitando manipulações e garantindo a integridade dos dados. Por essas razões, Hashgraph é visto como uma alternativa promissora às tecnologias de registro distribuído convencionais, oferecendo uma solução escalável e eficiente para o crescente universo das transações digitais. A tecnologia blockchain é fundamentalmente uma base de dados distribuída, caracterizada pela sua robustez e transparência. Cada “bloco” na “cadeia” contém um número de transações, e uma vez que um bloco é completado, ele se junta à cadeia de forma permanente e inalterável. Na prática, isto significa que a tecnologia não é controlada por uma única entidade, mas sim distribuída entre todos os participantes da rede.
Aplicado às redes sociais, o blockchain permitiria que cada postagem, comentário ou curtida fosse registrado em um bloco, eliminando a necessidade de servidores centralizados controlados por uma empresa específica. Isso não apenas aumenta a segurança contra ataques cibernéticos, mas também promove uma maior privacidade do usuário, visto que seus dados não estariam armazenados em um servidor central susceptível a exploração comercial ou vigilância governamental.
Implicações Regulatórias
No Brasil, o contexto regulatório é particularmente complexo. Embora o Marco Civil da Internet de 2014 tenha sido um marco na definição de direitos e deveres para usuários e provedores de internet, ele não conseguiu antecipar o surgimento e as implicações de redes sociais descentralizadas. Durante a elaboração desta legislação, observou-se um intenso lobby por parte das grandes empresas de tecnologia, que influenciou significativamente o texto final da lei. Essa interferência levanta preocupações legítimas sobre a possibilidade de um cenário semelhante ocorrer em futuras tentativas de regulamentação das plataformas digitais.
Além disso, o crescente debate sobre a regulamentação das redes sociais frequentemente parece menos sobre a proteção dos usuários e mais sobre a tentativa de controlar o discurso público. As redes sociais, ao democratizar a produção e distribuição de informação, reduziram significativamente o monopólio tradicionalmente detido pelos grandes veículos de mídia. Isso elevou a liberdade de expressão do cidadão comum, que agora pode expressar, debater e disseminar ideias sem os filtros editoriais das mídias tradicionais. Neste contexto, é essencial questionar se a regulamentação proposta busca genuinamente proteger os direitos dos usuários ou se, por outro lado, reflete uma tentativa de reconquistar o controle sobre o fluxo de informações e, consequentemente, sobre a opinião pública.
Exemplos Internacionais
Olhando para as iniciativas internacionais, como a União Europeia com o GDPR – Regulamento Geral sobre a Proteção de Dados, vemos uma clara demanda por transparência e consentimento no tratamento de dados pessoais, princípios que poderiam ser naturalmente assegurados pelo uso de blockchain em redes sociais. Esta tecnologia garante que as transações de dados sejam rastreáveis e inalteráveis, oferecendo uma nova camada de segurança e privacidade que está em total alinhamento com as diretrizes do GDPR.
Em contraste, regimes autoritários como o da China apresentariam um cenário completamente diferente. Dada a natureza centralizada e controladora do governo chinês sobre a informação e a comunicação, é altamente improvável que uma tecnologia que promove a descentralização, como o blockchain, seja permitida para redes sociais dentro de suas fronteiras. O regime comunista da China depende de um controle rigoroso sobre a mídia e a expressão pública para manter a ordem e a conformidade, e uma rede social descentralizada seria inerentemente subversiva a esse controle, oferecendo aos cidadãos uma plataforma incontrolável e livre de censura estatal. Portanto, é de se esperar que tais tecnologias sejam categoricamente rejeitadas ou severamente limitadas pelo governo chinês.
Conclusão
A descentralização das redes sociais não só oferece novas perspectivas em termos de privacidade e segurança dos dados, como também redefine o papel dos governos na regulamentação desses ambientes digitais. Esta tecnologia traz consigo múltiplas vantagens, mas também desafios significativos, especialmente no campo da regulamentação. A descentralização de qualquer grande rede social usando DLT não seria apenas uma mudança técnica, mas também uma transformação cultural e estrutural significativa tanto para a empresa quanto para os usuários. Envolveria superar desafios técnicos, legais e de usabilidade, mas poderia potencialmente levar a uma internet mais segura, privada e democrática, onde os usuários têm controle real sobre seus dados e interações.
Antes mesmo de considerar a implementação de qualquer tipo de regulamentação, os governos enfrentariam um obstáculo formidável: o poderoso lobby das grandes corporações tecnológicas, que historicamente têm exercido uma influência substancial sobre as políticas e legislações. Mesmo superando essa barreira, os governos se deparariam com a robustez da DLT. A natureza intrinsecamente resistente e autônoma da DLT desafia qualquer tentativa de imposição autoritária, pois não está à mercê de sistemas obsoletos ou controles centralizados. O caminho à frente exige um diálogo aberto e contínuo entre tecnólogos, legisladores e a sociedade civil para abordar completamente as implicações desta evolução tecnológica inevitável, afinal a tecnologia não perdoa.
Nesta segunda-feira (8), a Autoridade Nacional de Proteção de Dados (ANPD) inaugurou um novo serviço digital para receber petições e denúncias de violações de privacidade, em conformidade com a Lei Geral de Proteção de Dados (LGPD). Uma das principais inovações do portal é a possibilidade de acesso através do login Gov.br, já utilizado por cerca de 150 milhões de brasileiros, simplificando o processo de reclamação referente à LGPD.
Acesso Simplificado e Anonimato
As denúncias podem ser realizadas de forma anônima, sem a necessidade de identificação, uma característica que visa aumentar a acessibilidade e a segurança dos denunciantes. Anteriormente, as solicitações eram restritas ao Sistema Eletrônico de Informações (SEI), que permanecerá ativo como alternativa. No entanto, é importante destacar que a ANPD não investiga crimes, função que permanece sob a responsabilidade das autoridades policiais, nem atua em casos individuais.
Categorias de Reclamação: Denúncia e Petição de Titular
A ANPD classifica as reclamações em duas categorias principais: denúncias e petições de titular. Denúncias devem ser feitas quando há infração à LGPD, como a exigência excessiva de dados ou vazamentos, afetando potencialmente um grupo de pessoas. Para a realização de uma denúncia, é necessário fornecer provas substanciais, embora a ANPD aceite denúncias anônimas. Contudo, denúncias anônimas não permitem acompanhamento do andamento do caso.
Por outro lado, a petição de titular é aplicável quando uma empresa ou órgão público não atende a uma solicitação relacionada aos dados pessoais, seja por negativa ou omissão. Este tipo de petição não pode ser anônima, pois envolve situações individuais e exige contato prévio com o controlador dos dados.
Atuação Administrativa da ANPD
A ANPD reforça que sua atuação é estritamente administrativa, aplicando sanções previstas na LGPD e não intervindo diretamente em situações individuais, exceto em casos de gravidade significativa e com impacto em um grande número de pessoas. As petições individuais serão analisadas coletivamente, e medidas serão tomadas caso haja um volume substancial de casos semelhantes.
Este novo portal representa um avanço significativo na proteção de dados pessoais no Brasil, promovendo maior acessibilidade e eficiência na resolução de questões relacionadas à privacidade e segurança da informação.
Uma equipe do órgão de defesa da privacidade da União Europeia (UE) divulgou um relatório indicando que os esforços da OpenAI para diminuir o número de resultados factualmente incorretos do ChatGPT ainda não são suficientes para atender às rigorosas políticas de dados da UE.
O relatório aponta que, embora as iniciativas para aumentar a transparência sejam positivas para evitar interpretações errôneas dos resultados do ChatGPT, essas medidas não bastam para garantir a precisão dos dados, conforme exigido pelas normas da UE.
No ano passado, as autoridades europeias de proteção de dados formaram uma equipe especializada para abordar questões relacionadas ao ChatGPT, após preocupações levantadas por reguladores nacionais sobre o serviço de inteligência artificial amplamente utilizado. Segundo o relatório, investigações conduzidas por organizações nacionais de proteção de dados em vários Estados-Membro ainda estão em andamento, e, portanto, os resultados completos não podem ser divulgados. Assim, os pontos destacados no relatório devem ser vistos como observações comuns entre as autoridades nacionais.
Uma regra fundamental de proteção de dados na UE é a exatidão. No entanto, o relatório enfatiza que, devido à natureza probabilística do ChatGPT, o modelo pode gerar informações tendenciosas ou fabricadas. Além disso, os resultados fornecidos pelo ChatGPT podem ser interpretados pelos usuários como fatos precisos, sem considerar a veracidade das informações.
É importante ressaltar a necessidade contínua de melhorar os mecanismos de precisão no ChatGPT para que se alinhem plenamente com os rigorosos padrões de proteção de dados da UE, destacando os desafios e a complexidade envolvidas na gestão da precisão em sistemas de inteligência artificial.
As empresas de tecnologia e telecomunicações estão na linha de frente dos desafios de compliance, devido à natureza altamente regulada de suas operações e ao vasto volume de dados pessoais que tratam diariamente. A gestão desses dados acarreta não apenas riscos regulatórios, mas também a possibilidade de incidentes de segurança que podem ter consequências significativas.
Para garantir maior eficiência e otimização, muitas empresas terceirizam parte de suas operações. Contudo, essa prática exige uma avaliação criteriosa dos terceiros contratados para assegurar que fornecedores e parceiros também estejam alinhados com as melhores práticas de compliance. Além disso, a natureza transfronteiriça das operações dessas empresas demanda a observância das regulamentações de diversos países, elevando o nível de complexidade e a necessidade de um programa de compliance robusto e integrado.
Consequências da Não Conformidade
A não conformidade com as regras de compliance no ambiente digital pode resultar em severas sanções e ações judiciais. Empresas que falham em proteger os dados pessoais podem enfrentar multas expressivas, proibições operacionais e outras penalidades administrativas. Além dos impactos financeiros, as empresas também podem sofrer danos irreparáveis à sua reputação e marca.
Desenvolvimento de Programas de Compliance
Desenvolver e implementar programas de compliance eficazes em um ambiente digital em constante evolução é crucial. O comprometimento da liderança é o primeiro passo fundamental para o sucesso de qualquer programa de compliance. A liderança deve compreender a importância do tema e alocar recursos adequados para manter um programa robusto e eficaz.
A criação de políticas e procedimentos de governança é essencial. Esses documentos devem ser amplamente divulgados e implementados de forma precisa no dia a dia das atividades empresariais.
Educação Digital e Governança Corporativa
A educação digital é outra peça-chave para a conformidade em um ambiente digital. Empresas têm a obrigação de educar os usuários sobre seus direitos e práticas de segurança para proteger dados pessoais. Esse esforço deve ser transparente e fornecer orientações claras sobre como os usuários podem proteger suas informações enquanto utilizam os serviços da empresa.
Avaliação de Riscos e Medidas Técnicas
As empresas devem estar constantemente atentas aos riscos de violação da privacidade dos dados. Avaliações periódicas dos riscos e impactos são essenciais para identificar vulnerabilidades. Medidas técnicas e organizacionais, como controles de acesso, autenticação multifatorial, gerenciamento de privilégios, monitoramento de atividades, criptografia e sistemas de detecção de ameaças, são cruciais para garantir a segurança dos dados.
Transferências Internacionais de Dados
Para transferências internacionais de dados, é necessário garantir que os dados sejam protegidos conforme os padrões regulatórios de cada localidade. Cláusulas contratuais robustas devem ser implementadas para assegurar o tratamento adequado dos dados e permitir auditorias regulares das práticas de segurança e conformidade.
Inovação e Tecnologia no Compliance
As novas tecnologias são ferramentas fundamentais para a inovação nos processos de compliance. Análises preditivas podem examinar grandes conjuntos de dados para identificar padrões e possíveis violações de compliance. Tecnologias avançadas também facilitam auditorias digitais, permitindo uma coleta e análise mais eficiente de evidências em casos de incidentes de segurança. Isso não apenas mitiga danos aos titulares de dados, mas também assegura a conformidade regulatória, atendendo princípios como o da responsabilização e prestação de contas previstos na Lei Geral de Proteção de Dados (LGPD).
A complexidade do ambiente digital e as crescentes exigências regulatórias impõem um desafio significativo às empresas de tecnologia e telecomunicações. No entanto, com um compromisso firme da liderança, políticas bem estruturadas, educação contínua e uso de tecnologias avançadas, é possível desenvolver um programa de compliance eficaz que proteja dados pessoais e sustente a confiança e a integridade da empresa.
Alerta de Segurança: Compreendendo os Perigos dos Keyloggers
Imagine um cenário onde todas as suas atividades de digitação no computador estão sendo observadas, sem o seu conhecimento. Esta é a função essencial de um keylogger, uma ferramenta frequentemente associada a práticas maliciosas de espionagem digital.
O que é um Keylogger?
Um keylogger, abreviação de “keystroke logger”, é um software ou dispositivo especializado em registrar cada tecla pressionada no teclado. Operando de maneira furtiva, ele é capaz de capturar uma ampla gama de informações, desde simples textos até dados sensíveis como senhas e detalhes bancários.
Por que se Preocupar?
Embora keyloggers possam ser utilizados de forma legítima em ambientes corporativos para monitoramento de atividades, seu uso mais comum e alarmante é realizado por hackers. Eles empregam keyloggers para obter acesso a informações pessoais valiosas, o que pode levar a sérias violações de privacidade e segurança financeira.
Como se Proteger?
A prevenção contra keyloggers é crucial para manter a segurança dos seus dados. Aqui estão algumas medidas eficazes:
Mantenha seu software antivírus atualizado: A atualização regular do antivírus garante a detecção e remoção de keyloggers.
Monitore o desempenho do seu computador: Fique atento a sinais como lentidão ou comportamentos incomuns, que podem indicar a presença de um keylogger.
Utilize teclados virtuais para informações sensíveis: Sempre que possível, insira dados confidenciais usando teclados virtuais, reduzindo o risco de captura por keyloggers.
A conscientização e a adoção de práticas preventivas são essenciais para proteger suas informações contra esta forma insidiosa de espionagem digital.
A Autoridade Nacional de Proteção de Dados (ANPD) lançou uma versão revisada do Glossário de Proteção de Dados e Privacidade. Com a adição de novos termos, esta nova edição está acessível de forma interativa no site da Autarquia, melhorando a facilidade de acesso ao conteúdo.
O objetivo do glossário é consolidar, em um único documento, os conceitos que antes estavam espalhados por diversos atos normativos e orientações da ANPD. Isso facilita o acesso e a compreensão de termos jurídicos e técnicos essenciais para a interpretação e aplicação da Lei Geral de Proteção de Dados (LGPD), tornando a atualização desses conceitos mais simples.
Desenvolvido pela Coordenação-Geral de Normatização (CGN), o glossário é um documento dinâmico, que será atualizado conforme surgirem novas tendências no setor. Essa iniciativa promove a disseminação do conhecimento sobre a proteção de dados pessoais e padroniza procedimentos, facilitando o controle dos dados pessoais pelos titulares.
Em 2015, o vazamento de dados do site Ashley Madison, conhecido por facilitar relacionamentos extraconjugais, expôs a fragilidade das empresas na proteção de informações sensíveis de seus usuários. Caso esse incidente ocorresse hoje, a LGPD (Lei Geral de Proteção de Dados) transformaria completamente a abordagem e a resposta a essa situação, tanto em relação aos direitos dos titulares dos dados quanto às responsabilidades das empresas envolvidas.
A LGPD impõe que as empresas adotem medidas de segurança rigorosas para proteger os dados pessoais. No caso de Ashley Madison, a ausência dessas medidas resultou em consequências devastadoras para milhões de usuários. Sob a vigência da LGPD, a empresa seria legalmente obrigada a implementar práticas robustas de proteção de dados e a demonstrar conformidade contínua com essas práticas.
Os titulares dos dados têm direitos claramente definidos pela LGPD. Eles podem exigir transparência no uso de seus dados, correção de informações incorretas, exclusão de dados desnecessários ou tratados de forma inadequada, e portabilidade de seus dados para outros fornecedores. Esses direitos fortalecem os usuários e impõem uma maior responsabilidade sobre as empresas.
A LGPD também estabelece que, em caso de vazamento, as empresas devem notificar imediatamente a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares dos dados afetados. Além disso, as empresas podem enfrentar multas significativas e outras sanções administrativas. No contexto do Ashley Madison, isso resultaria em maior responsabilização e incentivos para a adoção de medidas preventivas.
O incidente do Ashley Madison serve como um alerta sobre a importância da proteção de dados e da conformidade com a legislação vigente. A LGPD não só protege os direitos dos titulares, mas também promove uma cultura de transparência e responsabilidade dentro das organizações. Empresas que lidam com dados pessoais devem tratar a segurança da informação como uma prioridade estratégica, evitando consequências legais e danos à reputação.
A reflexão sobre o caso Ashley Madison, à luz da LGPD, destaca a evolução necessária nas práticas de segurança da informação. As empresas precisam estar atentas e comprometidas com a proteção de dados, reconhecendo que a negligência pode ter impactos devastadores para seus usuários e para sua própria sobrevivência no mercado.
A prática de vender dados sensíveis de consumidores para multinacionais de pesquisa de mercado tem gerado crescente preocupação entre especialistas em direitos do consumidor, especialmente no contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil. Empresas estão utilizando o CPF dos consumidores para obter informações detalhadas sobre suas prescrições médicas, que são depois repassadas para empresas privadas, possibilitando que estas tenham acesso a dados como o tipo de medicamento, classe terapêutica, dosagem, e muito mais.
Esse conjunto de informações é transformado em relatórios que ajudam as indústrias farmacêuticas a otimizar suas estratégias de vendas, marketing, e até mesmo identificar oportunidades para novos lançamentos de produtos. Ao fornecer o CPF nas farmácias para obter descontos, os consumidores, muitas vezes sem saber, estão contribuindo para a criação de um histórico de compras que é vendido para empresas de pesquisa de mercado.
Atualmente, algumas redes privadas possuem dados de milhões de brasileiros, uma quantidade significativamente maior do que a de programas governamentais. Isso ocorre porque os dados pessoais, especialmente os sensíveis, são extremamente valiosos para as empresas. Esses dados permitem a criação de propagandas direcionadas e outras estratégias de marketing altamente eficazes.
A LGPD exige que as empresas sejam transparentes sobre suas políticas de compartilhamento de dados, mas a realidade é que nem todas seguem essas diretrizes de forma adequada. Farmácias e outras empresas devem informar claramente como os dados dos consumidores serão usados e garantir que o consentimento seja obtido de forma explícita.
Uma questão comum é se os consumidores perdem os descontos se não fornecerem o CPF. A resposta é não. As farmácias podem e devem conceder o desconto mesmo que o cliente se recuse a fornecer seus dados pessoais. Se a farmácia negar o desconto sem o CPF, o consumidor tem o direito de denunciar ao Procon. É aconselhável sempre perguntar o preço do produto com e sem o desconto antes de fornecer qualquer informação pessoal.
Para aqueles preocupados com o uso indevido de seus dados, é possível consultar algumas das principais redes de farmácias para verificar quais informações elas possuem. Essa prática de solicitar o CPF para descontos pode ser considerada abusiva sob a LGPD, que exige consentimento explícito e transparência no compartilhamento de informações pessoais.
A Agência Nacional de Proteção de Dados (ANPD) tem monitorado essas práticas desde 2020, e o Instituto Brasileiro de Defesa do Consumidor (Idec) alerta para os riscos associados ao vazamento e uso indevido desses dados. O desconto em medicamentos não deve comprometer a liberdade do consumidor de decidir sobre o compartilhamento de suas informações.
Ademais, a Agência Nacional de Vigilância Sanitária (Anvisa) estabelece que farmácias e drogarias não devem ultrapassar o preço máximo permitido pela Câmara de Regulação do Mercado de Medicamentos (CMED), cujo preço máximo pode ser verificado no site da Anvisa. É fundamental que os consumidores estejam cientes de seus direitos e das práticas de proteção de dados para tomar decisões informadas sobre o compartilhamento de suas informações pessoais.
A Prefeitura de Castelo, localizada no sul do Espírito Santo, sofreu um ataque cibernético em seu perfil oficial do Facebook. A partir do dia 6 de maio, conteúdos de natureza sexual começaram a ser divulgados indevidamente pelos hackers.
Até a presente data, 25 de maio, as publicações inapropriadas continuam sendo feitas. Em resposta ao incidente, dois dias após o início das postagens indevidas, a administração municipal emitiu um comunicado por meio do Instagram. No aviso, informaram que o perfil havia sido comprometido e solicitaram desculpas pelo ocorrido.
Além disso, a Prefeitura de Castelo apelou à população para que ajudasse a combater a violação reportando a conta hackeada.
Proteger sua conta do Facebook de ataques cibernéticos é crucial para manter sua segurança digital. Aqui estão algumas dicas práticas para ajudar a evitar que sua conta seja hackeada:
Use uma senha forte e única: Evite senhas simples ou que já tenham sido usadas em outras contas. Combine letras maiúsculas e minúsculas, números e símbolos para criar uma senha complexa.
Ative a autenticação de dois fatores (A2F): Essa é uma das medidas de segurança mais eficazes. Mesmo que alguém consiga sua senha, ainda precisará de um código de acesso enviado ao seu telefone para entrar na conta.
Mantenha seu e-mail seguro: Garanta que o e-mail associado à sua conta do Facebook também esteja protegido, pois é um ponto de entrada para redefinir sua senha.
Revise as configurações de segurança e login: Regularmente, verifique as configurações de segurança do Facebook para qualquer atividade suspeita e assegure-se de que apenas dispositivos e sessões reconhecidos estão conectados à sua conta.
Evite clicar em links suspeitos: Hackers frequentemente usam links que parecem legítimos para roubar suas informações. Verifique sempre a URL antes de clicar e não insira seus dados em sites que não pareçam confiáveis.
Atualize seu software regularmente: Mantenha seu sistema operacional e aplicativos, incluindo o aplicativo do Facebook, atualizados para proteger-se contra vulnerabilidades de segurança.
Use um gerenciador de senhas: Para ajudar a gerenciar e proteger suas senhas, considere o uso de um gerenciador de senhas confiável.
Eduque-se sobre phishing: Esteja ciente de técnicas de phishing que podem tentar enganá-lo para que você revele informações pessoais ou de login. Desconfie de mensagens ou e-mails que solicitam informações confidenciais.
Limite as informações compartilhadas online: Quanto menos informações pessoais você compartilhar, menor será o risco de ser alvo de hackers.
Implementando essas medidas, você aumentará significativamente a segurança da sua conta no Facebook e reduzirá o risco de invasões indesejadas.
