Hoje, a Autoridade Nacional de Proteção de Dados (ANPD) e o Ministério da Gestão e da Inovação em Serviços Públicos (MGI) anunciaram um novo serviço para a recepção de requerimentos de titulares de dados pessoais. Este serviço, acessível pela plataforma GOV.BR, permite o envio de petições e denúncias de violações à Lei Geral de Proteção de Dados (LGPD).
Este lançamento marca um significativo avanço na modernização e acessibilidade dos serviços para os titulares de dados pessoais. Desenvolvido ao longo de um ano, o novo serviço visa proporcionar uma experiência mais fluida e eficiente aos usuários. O GOV.BR, que já é utilizado por mais de 150 milhões de brasileiros, elimina a necessidade de criar novas senhas, simplificando o acesso a mais de 4.200 serviços digitais.
O lançamento deste novo sistema demonstra o empenho da ANPD em assegurar os direitos dos titulares de dados pessoais. O objetivo é aproximar cada vez mais o cidadão, oferecendo processos que são simples e eficientes.
As ferramentas do GOV.BR são acessíveis a todos os órgãos federais, com o intuito de tornar a vida dos cidadãos brasileiros mais simples e prática.
Para assegurar uma transição suave e sem interrupções nos serviços, o método antigo via Sistema Eletrônico de Informações (SEI) continuará funcionando. Isso permitirá que os cidadãos se familiarizem com a nova plataforma e que qualquer inconsistência possa ser identificada e corrigida.
Este novo serviço reforça o compromisso da ANPD e do MGI em melhorar continuamente a interface do cidadão com os serviços digitais, promovendo uma gestão pública mais eficiente e acessível.
Em uma ação marcante, a Comissão de Valores Mobiliários dos Estados Unidos (SEC) aplicou uma multa de US$ 10 milhões à Intercontinental Exchange (ICE) nesta quarta-feira. A penalidade resulta de deficiências na gestão de uma violação de segurança cibernética que ocorreu em abril de 2021, afetando várias subsidiárias, incluindo a icônica Bolsa de Nova York (NYSE).
A SEC revelou que a ICE e suas nove subsidiárias não reportaram adequadamente uma significativa invasão cibernética, que comprometeu a segurança dos seus sistemas através de uma VPN vulnerável. Terceiros alertaram a ICE sobre a vulnerabilidade que permitiu acesso não autorizado à rede corporativa.
Embora a ICE estivesse ciente do acesso indevido, houve uma demora de vários dias para notificar o departamento de compliance de suas subsidiárias. Esse atraso crítico impediu uma avaliação imediata e correta da intrusão, além de retardar o contato necessário com a SEC, conforme exigido pelos regulamentos.
A SEC destacou que a falha da ICE em comunicar rapidamente a violação resultou na incapacidade das subsidiárias de avaliar e reportar adequadamente a invasão. Em resposta a essas violações regulatórias, a SEC impôs a multa, com a ICE reconhecendo sua participação nos erros cometidos.
As subsidiárias afetadas incluem a Archipelago Trading Services, NYSE American, NYSE Arca, ICE Clear Credit, ICE Clear Europe, NYSE Chicago, NYSE National, e a Securities Industry Automation Corporation.
Esta penalidade representa um impacto financeiro significativo para a ICE e suas subsidiárias e coloca em questão a confiabilidade das suas medidas de segurança cibernética e da rapidez na resposta a incidentes futuros. Este caso sublinha a necessidade de infraestruturas de segurança robustas e de uma política de compliance que possa agir rapidamente para proteger informações e ativos corporativos.
A ação da SEC contra a ICE reforça a importância da transparência e da agilidade na gestão de crises cibernéticas. As empresas, especialmente as que operam em setores sensíveis como o financeiro, devem manter um alto nível de vigilância e atualizar constantemente suas práticas de segurança para combater as ameaças cibernéticas em rápida evolução.
O cenário financeiro global, cada vez mais interconectado, exige que as empresas invistam continuamente em segurança cibernética e em sistemas de detecção e resposta ágeis. A proteção contra invasores e a conformidade regulatória são essenciais para salvaguardar os interesses corporativos e dos clientes globalmente.
O TikTok, famoso aplicativo de vídeos curtos, foi recentemente multado em R$ 23 milhões pela Justiça brasileira por práticas que violam a Lei Geral de Proteção de Dados (LGPD) e o Marco Civil da Internet. A decisão, proferida em 7 de março por um juiz do Maranhão, condena a rede social por coletar, armazenar e compartilhar indevidamente dados biométricos dos usuários.
Cada usuário afetado deverá receber uma indenização de R$ 500, conforme a sentença. No contexto digital atual, os dados se tornaram uma mercadoria de enorme valor, frequentemente comercializada de maneira ilícita por empresas. Essas informações são usadas, entre outras finalidades, para direcionamento de publicidade. No caso específico do TikTok, a coleta de dados biométricos faciais agrava a situação, pois envolve o uso de câmeras de smartphones para capturar dados sensíveis que deveriam ser mantidos em sigilo.
A ação foi movida pelo Instituto Brasileiro de Defesa do Consumidor (IBEDEC/MA), que acusou o TikTok de utilizar ferramentas de inteligência artificial para capturar biometria sem o consentimento dos usuários entre 2020 e 2021. Tal prática infringe tanto a LGPD quanto o Marco Civil da Internet. A decisão judicial busca não apenas punir o aplicativo, mas também reparar os danos causados aos consumidores.
É importante destacar que a multa de R$ 500 por usuário pode parecer modesta quando comparada a punições em outras jurisdições, como na União Europeia, onde o TikTok já enfrentou uma multa de 345 milhões de euros por violações semelhantes.
Os usuários que conseguirem comprovar que utilizaram o TikTok até junho de 2021 terão direito a receber a indenização. No entanto, é necessário aguardar a conclusão do processo para que o Tribunal de Justiça do Maranhão divulgue o procedimento para o recebimento dos valores.
Vale lembrar que, no Brasil, o sequestro de dados nas redes digitais não só resulta em multas, mas também é considerado crime desde maio de 2021. A invasão de dispositivos eletrônicos e o roubo de dados podem levar à condenação de até 4 anos de prisão.
Esta decisão serve como um alerta para as empresas que operam no espaço digital, destacando a importância do respeito às legislações de proteção de dados e à privacidade dos usuários.
Recentemente, uma grande empresa de tecnologia da computação enfrentou um desafio significativo: a violação de dados em um de seus portais, expondo informações limitadas dos clientes relacionadas a compras. Embora os dados financeiros não tenham sido comprometidos, nomes, endereços físicos e detalhes dos pedidos foram acessados por uma parte não autorizada.
Esta empresa, reconhecendo a seriedade da situação, prontamente iniciou uma investigação e implementou medidas de resposta à segurança. Embora a empresa tenha assegurado que não há risco significativo para os clientes devido à natureza limitada dos dados envolvidos, permanece essencial que os clientes permaneçam vigilantes contra possíveis golpes ou atividades suspeitas relacionadas às suas contas ou compras.
No entanto, este incidente não é um caso isolado. Recentemente, surgiram relatos de um vazamento massivo de dados relacionados à mesma empresa, onde informações pessoais de milhões de clientes e funcionários supostamente foram expostas. Embora os detalhes financeiros não estejam incluídos, a exposição de informações pessoais em larga escala pode potencialmente alimentar várias formas de atividades maliciosas, como phishing e roubo de identidade.
Esses incidentes ressaltam a importância contínua da segurança cibernética robusta e da transparência por parte das empresas. Mesmo que os dados financeiros não estejam em risco, informações pessoais podem ser exploradas para fins nefastos. Portanto, é imperativo que as empresas implementem medidas de segurança eficazes e comuniquem prontamente quaisquer violações de dados aos clientes afetados.
Em um mundo cada vez mais digital, as ameaças cibernéticas estão em constante evolução, exigindo uma vigilância contínua e ações proativas para proteger os dados confidenciais dos clientes e preservar sua privacidade.
O recente incidente no The London Clinic envolvendo a possível exposição de informações médicas privadas da Princesa Kate Middleton ressalta um desafio crítico no manejo de dados sensíveis. Relatos indicam que o hospital, onde a princesa foi recentemente tratada, teria demorado uma semana para informar as autoridades sobre uma suspeita de violação de dados. Isso está em desacordo com a legislação do Reino Unido, que exige a notificação de tais incidentes em até 72 horas após sua detecção.
O episódio destaca questões mais amplas sobre a segurança da informação e a privacidade do paciente em instituições médicas renomadas. Ainda que a investigação esteja em curso, já se sabe que três funcionários da clínica estão sendo investigados por supostamente acessar indevidamente o prontuário da princesa. Essas ações podem levar a sérias repercussões profissionais e disciplinares para os envolvidos.
A possível multa de até £18 milhões imposta ao hospital reitera a gravidade do descumprimento das normas de proteção de dados. Este caso serve como um lembrete potente para todas as instituições de saúde sobre a importância de aderir rigorosamente às leis de proteção de dados, não apenas para evitar penalidades financeiras, mas para manter a confiança do público e garantir a privacidade dos pacientes.
Em uma decisão do Tribunal Regional do Trabalho de uma região no Brasil, foi destacada a importância da ética profissional e da confidencialidade na área da saúde. O caso, originário de uma cidade no norte de Santa Catarina, envolveu um fisioterapeuta que acessou indevidamente o prontuário médico de uma paciente, que era sua parente, em um hospital onde ele estava empregado.
Este acesso não autorizado ao prontuário médico, que ocorreu várias vezes, constituiu uma violação das normas de confidencialidade. Além disso, o profissional compartilhou as informações obtidas com outro membro da família da paciente.
Como resultado dessa conduta, o hospital decidiu demitir o fisioterapeuta por justa causa. O profissional recorreu à Justiça do Trabalho, argumentando contra a decisão de demissão e citando a falta de uma política formal do hospital sobre o acesso a prontuários. No entanto, a decisão de primeira instância manteve a justa causa, com base na violação das normas de ética e dos termos de responsabilidade profissional.
Ao recorrer a um tribunal superior, o fisioterapeuta não conseguiu reverter a decisão. O tribunal reafirmou a importância do sigilo dos prontuários médicos e a necessidade de aderir às normas éticas estabelecidas no ambiente hospitalar. Foi também destacado que as ações de conselhos profissionais não determinam automaticamente as decisões de empregadores ou do Poder Judiciário.
Este caso serve como um exemplo importante do compromisso dos profissionais de saúde com a confidencialidade e a ética, além da responsabilidade de proteger informações sensíveis dos pacientes e de seguir os códigos de conduta profissional.
Recentemente, foi descoberto um vazamento de dados, envolvendo aproximadamente 26 bilhões de registros. Esta base de dados, ocupando 12 terabytes, foi encontrada em uma instância de armazenamento aberta e tem sido referida como um dos maiores vazamentos de dados até hoje.
Pesquisadores da Security Discovery e da CyberNews, que colaboraram na descoberta, indicam que a base de dados inclui informações de plataformas e serviços conhecidos, como X (anteriormente Twitter), Adobe, Canva, Dropbox, LinkedIn e Telegram, além de registros de diversas organizações governamentais dos Estados Unidos e de outros países, incluindo o Brasil.
Instituições brasileiras como USP, SPTrans e Petrobras, bem como empresas como CCA, Descomplica e Vakinha, estão entre as afetadas. Vale ressaltar, no entanto, que muitos dos dados vazados são provenientes de violações anteriores, indicando uma compilação de vazamentos passados, e não necessariamente uma nova brecha de segurança.
Especialistas em segurança cibernética recomendam precaução. Para os usuários, é aconselhável adotar práticas de segurança, como o uso de senhas fortes e únicas, e a ativação de autenticação de dois fatores em suas contas online. Além disso, é importante estar atento a possíveis tentativas de phishing e outras formas de exploração de dados.
Para os que desejam verificar se suas informações pessoais foram comprometidas em vazamentos anteriores, serviços como o verificador de vazamentos do CyberNews e o Have I Been Pwned permitem que usuários insiram seus endereços de e-mail ou números de telefone para checagem.
Este incidente sublinha a importância da segurança de dados na era digital, reforçando a necessidade de medidas de proteção individuais e coletivas contra violações de dados.
Após várias discussões e adiamentos, a Lei Geral de Proteção de Dados (LGPD) do Brasil, Lei Federal nº 13.709/2018, entrou em vigor em 18 de setembro de 2020. A LGPD é a primeira regulamentação abrangente de proteção de dados do Brasil e está amplamente alinhada com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
Embora a lei esteja em vigor desde 2020, as penalidades estabelecidas pela LGPD só se tornaram aplicáveis em 1º de agosto de 2021. No entanto, autoridades públicas (como órgãos de proteção ao consumidor e promotores públicos) e titulares de dados puderam exercer seus direitos de acordo com a LGPD a partir de 18 de setembro de 2020.
Antes da promulgação da LGPD, as regulamentações de privacidade de dados no Brasil consistiam em várias disposições dispersas na legislação brasileira. Por exemplo, a Lei Federal nº 12.965/2014 e seu Decreto regulamentador nº 8.771/16 (juntos, o Marco Civil da Internet Brasileira) impunham requisitos relacionados à segurança e ao processamento de dados pessoais, além de outras obrigações aos provedores de serviços, redes e aplicativos, e conferiam direitos aos usuários da Internet.
As seguintes leis também contêm disposições gerais e princípios aplicáveis à proteção de dados:
A Constituição Federal; O Código Civil Brasileiro; e Leis e regulamentos que abordam: Certos tipos de relacionamentos (por exemplo, Código de Defesa do Consumidor e leis trabalhistas); Setores regulamentados (por exemplo, instituições financeiras, indústria da saúde ou telecomunicações); e Atividades profissionais específicas (por exemplo, medicina e direito). Além disso, existem leis que regulamentam o processamento e a salvaguarda de documentos e informações manipulados por entidades governamentais e órgãos públicos.
A LGPD se aplica a qualquer operação de processamento realizada por pessoa física ou jurídica (de direito público ou privado), independentemente de (1) os meios utilizados para o processamento, (2) o país onde está localizada sua sede ou (3) o país onde os dados estão localizados, desde que:
A operação de processamento seja realizada no Brasil; O objetivo da atividade de processamento seja oferecer ou fornecer bens ou serviços, ou o processamento de dados de indivíduos localizados no Brasil; ou Os dados pessoais tenham sido coletados no Brasil. Por outro lado, a lei não se aplica ao processamento de dados pessoais que seja:
Realizado por pessoa física exclusivamente para fins privados e não econômicos;
Realizado para fins jornalísticos, artísticos ou acadêmicos;
Realizado para fins de segurança pública, segurança nacional e defesa ou atividades de investigação e persecução de crimes (que serão objeto de uma lei específica);
Originado fora do território brasileiro e não seja objeto de comunicação;
ou Compartilhamento de dados com agentes de processamento brasileiros ou objeto de transferência internacional de dados
Além disso, em 20 de outubro de 2021, o Senado brasileiro aprovou por unanimidade a Proposta de Emenda à Constituição (PEC) nº 17/2019, que inclui na Constituição Federal a proteção de dados pessoais, inclusive em meios digitais, como um direito fundamental, e atribui à União (governo federal) a responsabilidade de legislar sobre esse assunto. Desde 10 de fevereiro de 2022, a proteção de dados está agora abrangida pela Constituição Federal como um direito fundamental.
