Arquivos Segurança de dados

Publicado em maio 13, 2024maio 13, 2024 por securitylgpd — Deixe um comentário

WORLDCOIN: COLETA DE DADOS BIOMÉTRICOS E PROTEÇÃO DE DADOS

Em 2019, uma inovadora empresa no setor de inteligência artificial lançou um projeto ambicioso conhecido como Worldcoin. O objetivo principal deste projeto é coletar imagens digitais da íris das pessoas que consentem voluntariamente, oferecendo em troca um pagamento em criptomoedas equivalente a cerca de 70 euros. Este esforço tem sido implementado em vários países, inclusive na União Europeia, onde a legislação de proteção de dados pessoais é notoriamente rigorosa.

Diante das denúncias recebidas, a Autoridade de Proteção de Dados da Espanha iniciou uma investigação em fevereiro de 2024. Em março, foi emitida uma ordem cautelar para suspender as atividades de coleta e tratamento de dados pessoais da empresa no país, além de bloquear os dados já coletados. Estima-se que cerca de 400 mil pessoas tenham tido seus dados coletados.

A Lei Geral de Proteção de Dados (LGPD) do Brasil, fortemente inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, também prevê medidas semelhantes. Qualquer empresa que colete e trate dados pessoais no Brasil, expondo os titulares a riscos desproporcionais, está sujeita a medidas rigorosas, semelhantes às tomadas pela autoridade espanhola no caso do Worldcoin.

A empresa por trás do projeto Worldcoin afirma que todas as informações coletadas são anônimas e que os indivíduos mantêm controle sobre seus dados. No entanto, as denúncias dirigidas à Autoridade de Proteção de Dados da Espanha alegam insuficiência de informações fornecidas, coleta de dados de menores e impossibilidade de retirada do consentimento dado.

A imagem digital da íris é considerada um dado biométrico e recebe proteção especial tanto pelo GDPR quanto pela LGPD. Este tipo de dado é classificado como sensível devido ao elevado risco que seu tratamento representa para os direitos e liberdades dos titulares, incluindo a possibilidade de usurpação de identidade.

A decisão da autoridade espanhola, embora preliminar, foi tomada com base em circunstâncias excepcionais, sendo considerada necessária e proporcional como medida preventiva para evitar a cessão dos dados a terceiros e salvaguardar o direito fundamental à proteção de dados pessoais.

No Brasil, o direito à proteção de dados é também um direito fundamental, garantido pela Constituição Federal. As autoridades brasileiras, portanto, possuem um amplo espectro de medidas à disposição para proteger este direito.

A LGPD exige o consentimento do titular para o tratamento de dados biométricos, salvo em circunstâncias específicas. O consentimento deve ser livre, expresso, específico, inequívoco e informado. Qualquer consentimento obtido de forma viciada, mediante informações genéricas ou enganosas, é considerado nulo.

O Supremo Tribunal Federal (STF) já declarou que a permissão para tratamento de dados pessoais é uma relativização do direito fundamental à proteção de dados. Assim, a transparência e clareza das informações fornecidas para a obtenção do consentimento são essenciais para garantir que os titulares compreendam plenamente o uso de suas informações.

Além disso, mesmo que o tratamento de dados pessoais seja baseado em uma base legal, ele deve ser realizado dentro de uma atividade lícita. Se a atividade principal for ilícita, o tratamento de dados também será considerado ilícito, independentemente da base legal formal utilizada.

As regras da LGPD visam reduzir o desequilíbrio entre o agente de tratamento e o titular dos dados, exigindo lealdade, transparência e informação. A não observância desses princípios ou a ausência de fundamento legal desequilibra a relação e configura uma conduta abusiva.

No Brasil, qualquer empresa que atue de maneira semelhante ao projeto Worldcoin, coletando e tratando dados pessoais que possam colocar em risco os direitos e liberdades das pessoas, viola os fundamentos do regime de proteção de dados e o direito fundamental à proteção de dados. Consequentemente, está sujeita à fiscalização e repressão da Autoridade Nacional de Proteção de Dados (ANPD) e pode ter suas atividades suspensas judicialmente desde a fase de coleta, em ações propostas pelo Ministério Público ou outros legitimados para a Ação Civil Pública.

Publicado em maio 7, 2024maio 7, 2024 por securitylgpd — Deixe um comentário

TCU APONTA VIOLAÇÃO DE DADOS E FALHAS DE CONTROLE DE ACESSO

O Tribunal de Contas da União (TCU) identificou várias deficiências na Plataforma de Governança Territorial, desenvolvida pelo Instituto Nacional de Colonização e Reforma Agrária (Incra). A plataforma, projetada para centralizar e simplificar a gestão dos sistemas do órgão, apresentou falhas críticas, sobretudo na segurança de dados e conformidade com a Lei Geral de Proteção de Dados (LGPD).

A auditoria operacional realizada pelo TCU revelou que o sistema possui um baixo nível de maturidade nos mecanismos de controle de acesso, expondo dados sensíveis e violando os princípios da LGPD. Além disso, os procedimentos burocráticos não estão totalmente alinhados com as diretrizes de desburocratização da Lei 14.129/2021, resultando em atrasos nas análises.

Um dos serviços digitais avaliados, o “Ingresso de Famílias no Programa Nacional de Reforma Agrária (PNRA)”, ainda depende de processos manuais de seleção, contrariando os princípios de eficiência, eficácia e economicidade que se espera de uma plataforma digital. A auditoria também revelou a ausência de estratégias para disseminar o uso da plataforma entre os beneficiários, limitando seu alcance.

A falta de uma política de controle de acesso coordenada pelo Incra coloca os dados sensíveis em risco de acessos não autorizados, comprometendo a integridade das informações. Isso viola o artigo 46 da LGPD e permite que pessoas não autorizadas insiram dados incorretos ou incompletos.

Para remediar as falhas, o TCU recomendou ao Incra que formalize e implemente uma política eficaz de controle de acesso, integrando todos os seus sistemas ao login único do governo federal (gov.br). O órgão também deve adotar medidas para obter documentos oficiais necessários à prestação dos serviços digitais e garantir que os sistemas sejam seguros, confiáveis e aderentes às diretrizes de proteção de dados e desburocratização.

Publicado em abril 29, 2024abril 29, 2024 por securitylgpd — Deixe um comentário

FRAUDES FINANCEIRAS AMEAÇAM INTEGRIDADE DO SISTEMA GOVERNAMENTAL

O Sistema Integrado de Administração Financeira do Governo Federal (Siafi) recentemente se tornou alvo de ações fraudulentas, que levantaram sérias questões sobre a segurança de nossas infraestruturas digitais nacionais. Inicialmente, o desvio de R$ 3,5 milhões em fundos do Ministério responsável pela Gestão e Inovação em Recursos Públicos chamou a atenção para vulnerabilidades que talvez tenham sido subestimadas. Felizmente, uma rápida resposta resultou na recuperação de R$ 2 milhões desses recursos, embora o restante tenha sido sacado ou transferido antes de qualquer intervenção.

O episódio se agravou com uma segunda tentativa de movimentação fraudulenta envolvendo R$ 9 milhões, que, por sorte, foi frustrada graças à vigilância e aos mecanismos de segurança atuais. Este incidente ressalta não apenas a audácia dos cibercriminosos, mas também a perene batalha entre manter sistemas seguros e a inovação constante dos métodos de ataque.

Além dessas tentativas diretas de fraude, houve relatos de uma campanha de phishing direcionada a funcionários do governo. Mensagens suspeitas foram enviadas aos celulares dos funcionários, instruindo-os a clicar em um link para uma suposta atualização necessária para continuar a acessar o sistema com segurança. Esta tática, embora comum, destaca a necessidade de uma educação robusta em segurança cibernética para todos os envolvidos na gestão de recursos sensíveis.

Em resposta a esses incidentes, o governo alterou as regras de acesso ao sistema. Agora, um certificado digital, emitido exclusivamente por uma entidade governamental específica, é requerido para qualquer movimentação significativa de recursos. Esta mudança não é apenas uma medida de fortalecimento da segurança, mas também uma resposta necessária para restaurar a confiança no manejo dos recursos públicos.

Estes eventos são um lembrete contundente de que a segurança cibernética deve ser uma prioridade incessante. As implicações de falhas de segurança são vastas, potencialmente afetando desde a eficiência administrativa até a integridade nacional. Embora a Polícia Federal e a Agência de Inteligência estejam investigando esses incidentes, e um dos suspeitos tenha sido identificado, a jornada para uma segurança digital mais robusta é contínua. A colaboração entre agências, a atualização constante das tecnologias de segurança e a formação contínua dos funcionários são essenciais para prevenir futuras infrações e garantir a proteção dos ativos nacionais.

Publicado em abril 29, 2024abril 29, 2024 por securitylgpd — Deixe um comentário

LEGISLAÇÃO E TECNOLOGIA: A NECESSIDADE DE PROTEÇÃO CONTRA ‘DEEPFAKES’

As ferramentas de inteligência artificial (IA) que criam “deepfakes” sexualmente explícitos têm sido alvo de críticas crescentes devido à sua natureza predatória, que visa principalmente as mulheres. Este tipo de tecnologia, que manipula imagens para criar representações sexualmente explícitas sem consentimento, é uma forma particularmente invasiva de abuso digital. Alarmantemente, estes algoritmos são projetados especificamente para afetar as mulheres, destacando um uso malicioso da tecnologia sem neutralidade alguma.

Um estudo recente revelou que o número de vídeos “deepfake” explícitos aumentou em mais de 550% entre 2019 e 2023, demonstrando a escalada preocupante deste fenômeno. A criação desses vídeos tornou-se surpreendentemente acessível e rápida, sendo possível gerar uma “deepfake” em menos de meia hora utilizando uma única fotografia clara do rosto da vítima.

A discussão sobre como combater essa forma de violência digital tem se intensificado, especialmente na União Europeia, que está à beira de implementar uma diretiva focada na violência contra as mulheres, que inclui medidas contra a ciber-violência. Esta legislação busca uniformizar a proteção em todos os estados-membros, fortalecendo as leis de privacidade e aumentando as responsabilidades sobre a disseminação de conteúdos digitais abusivos.

No entanto, a natureza transnacional da internet e a facilidade com que os conteúdos digitais cruzam fronteiras complicam a aplicação dessas leis. Vítimas podem estar em um país, enquanto os servidores que hospedam o conteúdo abusivo e os agressores podem estar em outros. Isso ressalta a necessidade de uma cooperação internacional mais robusta para efetivamente enfrentar esses desafios.

Além das medidas legais, existem plataformas dedicadas a combater a disseminação de conteúdo íntimo não-consensual. Estas plataformas utilizam tecnologias de IA para identificar e eliminar imagens abusivas em várias redes, auxiliando na mitigação do dano.

Especialistas em ciber-segurança destacam que, além da remoção rápida de conteúdos prejudiciais, é vital uma conscientização maior sobre as armadilhas da segurança digital. A prevenção não deve se basear na restrição do compartilhamento de imagens pessoais, que é parte integrante da expressão individual e da vida social moderna, mas sim no fortalecimento das estruturas legais e tecnológicas que protegem a integridade digital das pessoas.

À medida que a IA continua a evoluir rapidamente, as legislações terão que se adaptar com a mesma velocidade para oferecer proteções adequadas, um desafio que legisladores em todo o mundo precisarão enfrentar continuamente.

Publicado em abril 24, 2024abril 24, 2024 por securitylgpd — Deixe um comentário

POLÍCIA FEDERAL CESSA EMISSÃO DE PASSAPORTES PARA INVESTIGAR INVASÃO

Na última quinta-feira (18/04), a Polícia Federal (PF) suspendeu o agendamento para emissão de passaportes, um movimento de cautela após um incidente de segurança cibernética detectado no início da semana nos sistemas da instituição. A suspensão é uma medida preventiva enquanto a PF investiga a extensão e origem do ataque cibernético, cujos detalhes ainda são incertos.

Os sistemas serão restaurados e o serviço de agendamento será retomado apenas após a PF assegurar a completa segurança e integridade dos dados. A corporação emitiu uma orientação para aqueles que já efetuaram seu agendamento, garantindo que poderão prosseguir com a emissão dos documentos conforme previsto. Contudo, a PF aconselha que indivíduos sem viagens iminentes aguardem a normalização dos serviços antes de procederem com novos agendamentos.

Para casos urgentes, onde a emissão do passaporte é impreterível nos próximos dias, a PF solicitou que os requerentes enviem por e-mail documentos comprovando a urgência da viagem para as unidades emissoras de passaportes. Esta medida busca minimizar o impacto sobre aqueles cujas necessidades são mais prementes, enquanto a instituição trabalha para restabelecer a normalidade operacional o mais rapidamente possível.

Publicado em abril 12, 2024abril 12, 2024 por securitylgpd — Deixe um comentário

FALHA DE SEGURANÇA EM HOSPITAL BRITÂNICO EXPÕE DADOS DA PRINCESA KATE MIDDLETON

O recente incidente no The London Clinic envolvendo a possível exposição de informações médicas privadas da Princesa Kate Middleton ressalta um desafio crítico no manejo de dados sensíveis. Relatos indicam que o hospital, onde a princesa foi recentemente tratada, teria demorado uma semana para informar as autoridades sobre uma suspeita de violação de dados. Isso está em desacordo com a legislação do Reino Unido, que exige a notificação de tais incidentes em até 72 horas após sua detecção.

O episódio destaca questões mais amplas sobre a segurança da informação e a privacidade do paciente em instituições médicas renomadas. Ainda que a investigação esteja em curso, já se sabe que três funcionários da clínica estão sendo investigados por supostamente acessar indevidamente o prontuário da princesa. Essas ações podem levar a sérias repercussões profissionais e disciplinares para os envolvidos.

A possível multa de até £18 milhões imposta ao hospital reitera a gravidade do descumprimento das normas de proteção de dados. Este caso serve como um lembrete potente para todas as instituições de saúde sobre a importância de aderir rigorosamente às leis de proteção de dados, não apenas para evitar penalidades financeiras, mas para manter a confiança do público e garantir a privacidade dos pacientes.

Publicado em abril 11, 2024abril 11, 2024 por securitylgpd — Deixe um comentário

META É CONDENADA A INDENIZAR USUÁRIO POR INVASÃO DE PERFIL NO INSTAGRAM

Em um julgamento conduzido pelo 2º Colégio Recursal de Pernambuco, na cidade de Caruaru, a Meta, responsável pelo Instagram, foi condenada a indenizar um usuário em R$ 3.000 por danos morais. O veredito unânime decorreu após o perfil do indivíduo, seguido por mais de seis mil pessoas e utilizado profissionalmente, ter sido invadido. Este caso destaca a crescente atenção que as plataformas digitais devem dedicar à segurança dos dados dos usuários, especialmente à luz da Lei Geral de Proteção de Dados (LGPD), Lei 13.709/2018, no Brasil.

O juiz relator do caso, enfatizou a importância da responsabilidade objetiva atribuída aos provedores de serviços da internet. A fundamentação da decisão se ancorou no parágrafo único do artigo 44 da LGPD, que delineia a responsabilidade dos controladores e operadores de dados frente a qualquer violação de segurança que possa comprometer os dados pessoais dos usuários.

O tribunal reconheceu que não houve negligência por parte do usuário afetado, indicando uma falha significativa no cumprimento do dever de segurança por parte da Meta. A LGPD é explícita quanto às obrigações dos operadores de dados em adotar medidas preventivas de segurança e a responsabilidade consequente por qualquer descumprimento que resulte em dano aos usuários.

Este caso destaca a relevância da LGPD no cenário digital brasileiro, uma legislação que ainda está sendo consolidada pela jurisprudência do país. A decisão sublinha a necessidade de as plataformas de internet adotarem estratégias mais eficientes para a proteção de dados, reforçando o compromisso com a segurança das informações dos usuários.

A abordagem adotada pelo 2º Colégio Recursal de Pernambuco ressalta um ponto de virada na forma como as falhas de segurança em plataformas digitais são percebidas e tratadas sob a ótica da lei brasileira, estabelecendo um precedente importante para futuras disputas legais envolvendo a proteção de dados pessoais. Este caso não apenas reflete a aplicabilidade e a seriedade da LGPD, mas também serve como um lembrete para as empresas de tecnologia sobre a importância de investir em medidas robustas de segurança de dados, antecipando-se a possíveis vulnerabilidades que possam afetar a privacidade e a integridade dos dados dos usuários.

Publicado em abril 3, 2024abril 3, 2024 por securitylgpd — Deixe um comentário

SEGURANÇA DE DADOS E COMPLIANCE: PERSPECTIVAS PARA 2024

As questões de segurança cibernética e adequação regulatória emergem como aspectos críticos para corporações em diversos setores. A garantia da segurança das informações pessoais e financeiras dos usuários é um pilar essencial para a preservação da confiança pública e para a prevenção de repercussões legais adversas. Neste contexto, este artigo se propõe a mergulhar nas correntes e perspectivas atuais do universo da segurança de dados e do compliance, vislumbrando os contornos que estas áreas podem assumir até 2024.

A segurança de dados envolve uma gama de estratégias e práticas implementadas para salvaguardar as informações contra acessos indevidos e assegurar sua confidencialidade, integridade e disponibilidade. Paralelamente, o compliance se apresenta como um mecanismo eficaz para assegurar a adesão às normativas de segurança da informação dentro das organizações. Assim, a implementação de políticas de compliance se torna um requisito incontornável para organizações que almejam a proteção efetiva dos dados.

Com a evolução acelerada das tecnologias digitais, observa-se um incremento exponencial no volume de dados coletados e armazenados pelas corporações. Esta tendência amplifica os riscos associados a violações de segurança, ataques cibernéticos e furto de informações sigilosas. Neste cenário, a segurança de dados se consolida como uma prioridade estratégica para entidades interessadas em proteger seus clientes e salvaguardar sua reputação no mercado.

Ademais, a mera proteção de dados revela-se insuficiente sem uma alinhamento rigoroso com as normativas governamentais e de mercado. O compliance diz respeito à observância de leis e diretrizes designadas para proteger a privacidade e a segurança dos dados. Normativas como o Regulamento Geral de Proteção de Dados (RGPD) na União Europeia e a Lei Geral de Proteção de Dados (LGPD) no Brasil estipulam diretrizes rigorosas para o tratamento de dados pessoais, cujo descumprimento pode acarretar penalidades severas e prejudicar a imagem corporativa.

À medida que nos encaminhamos para 2024, antecipam-se algumas tendências significativas na área de segurança de dados e compliance. Entre elas, destaca-se o crescente emprego de tecnologias disruptivas, como a inteligência artificial e o machine learning, na detecção e prevenção de violações de segurança. Tais tecnologias oferecem recursos avançados para a identificação de comportamentos suspeitos e intrusões, possibilitando uma atuação mais ágil e proativa.

Outro movimento notável é o fortalecimento da colaboração entre entidades privadas e órgãos governamentais na luta contra as ameaças cibernéticas. Alianças estratégicas permitem o intercâmbio de informações e conhecimentos, potencializando a eficácia das respostas aos ataques e melhorando a capacidade de previsão de vulnerabilidades.

Projeta-se um aumento na conscientização sobre privacidade e segurança de dados nos próximos anos. A demanda por práticas de segurança transparentes e robustas tende a crescer, à medida que os consumidores se tornam mais vigilantes quanto ao tratamento de suas informações.

A segurança de dados e o compliance se mantêm como temas de relevância e complexidade crescentes. O avanço tecnológico contínuo pressupõe a emergência de novas ameaças e a atualização constante das normativas. Contudo, mediante a adoção de tecnologias de ponta, cooperação intersectorial e um compromisso genuíno com a privacidade do consumidor, as organizações poderão assegurar tanto a proteção dos dados quanto a conformidade com as regulamentações vigentes. O desafio reside em preparar-se adequadamente para este futuro digital iminente.

Publicado em março 27, 2024março 27, 2024 por securitylgpd — Deixe um comentário

JUSTIÇA DECIDE EM FAVOR DE VÍTIMA DE FRAUDE BANCÁRIA VIA WHATSAPP

Recentemente, uma corte em São Paulo emitiu uma decisão importante no campo do direito do consumidor e da segurança de dados, destacando a responsabilidade das instituições financeiras em garantir a proteção de informações pessoais de seus clientes. O caso analisado envolveu um consumidor que foi vítima de uma fraude por meio de uma plataforma de mensagens, onde foi induzido a quitar uma dívida de financiamento veicular através de um boleto bancário fraudulento, apresentado por indivíduos que se passavam por funcionários da instituição financeira.

Este incidente chamou a atenção para o acesso não autorizado a dados pessoais e contratuais, considerado uma falha significativa no serviço fornecido pela entidade financeira. A decisão judicial, fundamentada nos princípios de proteção ao consumidor, enfatizou que os riscos associados às operações comerciais devem, por natureza, ser absorvidos pelas empresas, e não transferidos aos consumidores. Como resultado, a ordem de apreensão do veículo foi anulada, e o pagamento realizado pelo consumidor, sob a presunção de boa-fé, foi reconhecido como válido.

Essa sentença serve como um lembrete para as empresas sobre a importância de implementar e manter controles de segurança da informação, especialmente em um ambiente cada vez mais digitalizado. A proteção de dados pessoais é fundamental para manter a confiança nas relações comerciais e para assegurar que os direitos dos consumidores sejam respeitados. Este caso não apenas proporcionou justiça a uma única vítima de fraude, mas também estabeleceu um precedente importante sobre a responsabilidade das instituições financeiras em prevenir exposições de dados que possam colocar seus clientes em risco.

Publicado em março 15, 2024março 15, 2024 por securitylgpd — Deixe um comentário

VULNERABILIDADE NO SITE DA ENEL EXPÕE DADOS DE MILHÕES DE CONSUMIDORES

A recente descoberta de uma brecha de segurança no site da Enel, concessionária responsável pela distribuição de energia elétrica em 24 cidades da grande São Paulo, levanta sérias preocupações sobre a proteção dos dados dos clientes. Segundo relatos do Tecnoblog, a falha permitia que clientes acessassem faturas de outros consumidores, expondo informações pessoais sensíveis, como nome completo, endereço e CPF.

O acesso às faturas no site da empresa era supostamente protegido por um número de instalação e um código de identificação, um método que estava em vigor desde janeiro do ano passado. No entanto, essa medida de segurança parece ter sido insuficiente, pois a brecha só foi corrigida após ser exposta pela equipe de reportagem.

A Enel, por sua vez, apresentou respostas conflitantes sobre o incidente. Enquanto afirmou ter reintroduzido o envio de links para download de faturas em 4 de março, agora com uma camada adicional de segurança, a empresa não explicou por que a página de download foi retirada do ar. Além disso, a nova medida de segurança, que exige um código autenticador para acessar o PDF enviado por e-mail, também é questionável, pois ainda pode ser contornada por softwares maliciosos.

Embora não seja possível determinar se a brecha de segurança foi explorada por hackers, é importante ressaltar o potencial impacto desse incidente na privacidade de milhões de clientes. A possibilidade de acesso não autorizado a dados sensíveis levanta preocupações significativas, especialmente à luz da Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020. A Enel pode enfrentar consequências legais por violar esta legislação, caso seja comprovado que não implementou as medidas adequadas para proteger as informações de seus clientes.

Uma empresa séria, que exerce um desempenho profissional impecável com os seus clientes!!! 👏👏👏

POLIANA FACHETTI

16/04/2023

Excelentes profissionais a executarem um serviço de excelência. Parabéns pelo profissionalismo. Desejo sucesso nessa jornada!

Edilma Carrijo

14/04/2023

Um local com muita gente competente e preparada. Ótimas referências!

Gustavo Nunes Bergami

10/04/2023

Empresa séria e muito competente, equipe nota 10.

Roberto Rodrigues

A Security LGPD Ltda é uma grande parceira. Excelência e qualidade no serviço.

Roberto Batista

Deus abençoe sempre o desenvolvimento dessa empresa..forte abraço

Igor Braz

Empresa excelente, cumpre todas as promessas e simplifica os processos. Recomendo muito!!!

Tiago Dalmonte de Almeida