Responsável por realizar a administração dos bilhetes únicos de São Paulo, a SPTrans passou recentemente por uma invasão de hackers que culminou na exposição não autorizada dos dados de usuários. O acontecimento, de dezembro de 2022, reforça a situação atual do país, que apresentou um aumento significativo de vazamentos de informações pessoais nos últimos anos.
As informações de 13 milhões de usuários foram acessados por cibercriminosos que costumam agir de diferentes maneiras para conseguir o que precisam, seja o acesso a senha de outros aplicativos ou ainda a clonagem. Dados sensíveis como nome completo, CPF e endereço foram acessados após o roubo do cadastro.
O tratamento adequado dos dados e a proteção do sistema é uma obrigatoriedade para as empresas que lidam diretamente com as informações pessoais de terceiros, assim como destaca a Lei Geral de Proteção de Dados (LGPD), regulamento voltado para o assunto e em vigor desde 2020.
Tanto a empresa em questão como os titulares podem tomar atitudes para prevenir os ataques. Confira alguns dos cuidados que podem ser tomados para reduzir as chances de vazamentos.
Ações preventivas
Para fugir dos ciberataques às instituições precisam estudar a fundo as normas da Lei nº 13.709/2018. O artigo 46 destaca que “os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Utilizar a tecnologia a seu favor é o primeiro passo. Instalar antivírus, escolher conexões VPN, reforçar senhas, usar dispositivos seguros e criar normas e diretrizes internas a serem seguidas são algumas das possíveis práticas. Os colaboradores também devem estar alinhados com estas prioridades da empresa para assegurar que tudo esteja no lugar.
É válido ressaltar que a não preocupação com a proteção dos sistemas pode levar as instituições a receberem punições, a exemplo de multas que chegam a 2% do faturamento ou pausa das atividades.
Ações dos titulares
A lei também deu direitos e responsabilidades aos titulares (donos efetivos das informações), portanto, estes também devem ficar atentos a como seus dados estão sendo armazenados e utilizados, assim como devem se prevenir para não cair em golpes de hackers.
Uma das premissas da legislação é incentivar a cultura de proteção de dados, algo pouco visualizado no país. Para isso os titulares precisam se atentar com alguns pontos:
- com quem compartilha os dados;
- avaliar a dificuldade das senhas e proteger com dupla verificação o acesso em redes sociais e sites;
- averiguar se as empresas que trata de seus dados está fazendo isso adequadamente;
- questionar contatos repentinos;
- não acessar sites suspeitos;
- e mais.
O que fazer depois de um ataque?
Mesmo com os cuidados é possível que os ataques cibernéticos aconteçam. A LGPD pede para que as empresas em questão analisem a origem do incidente detalhadamente para que seja averiguada a gravidade do caso.
Os agentes de tratamentos também precisam repassar o acontecimento ao encarregado de dados (DPO) um cargo que precisa ser obrigatoriamente ocupado por um profissional especializado, como evidencia o artigo 5º, VII.
O terceiro e quarto passo fica para a comunicação com o controlador e em seguida com a Autoridade Nacional de Proteção de Dados (ANPD). O aviso deve se estender também aos titulares para que entendam os detalhes da situação.
O entendimento das condições e a criação de um planejamento com ações possíveis de serem aplicadas para controle costuma ser a última atitude dos controladores.
Para entender como se proteger e estar em conformidade total com a Lei Geral de Proteção de Dados é possível contar com o time especializado da LGPD Brasil. Através de consultorias personalizadas os profissionais conseguirão auxiliar seus clientes com as necessidades específicas. Acesse o site para saber mais.
