Como lidar com um incidente de segurança da informação?

Share on facebook
Share on twitter
Share on linkedin

Proteção de dados e segurança da informação caminham juntos. Além de um mapeamento detalhado, uma análise de GAPs minuciosa e a criação de um plano de ações para orientar a aplicação de medidas e controle de segurança são essenciais para a proteção da privacidade e dos dados pessoais. A utilização de medidas técnicas, como por exemplo, firewall, DLP, antivírus, DMZ, dentre outras, juntamente com medidas físicas e organizacionais, coopera para a um ambiente mais seguro.

De acordo com a orientação da Autoridade Nacional de Proteção de Dados (ANPD), um incidente de segurança da informação que possui uma violação de dados pessoais é “qualquer evento que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados, pessoais ou não, processados, transmitidos ou armazenados”. Assim, é extremamente importante que a proteção das informações dos titulares seja garantida ao longo de todo o ciclo de vida dos dados, do momento que ele é coletado, passando por todos os processos de tratamento realizados, até o descarte correto e definitivo.

Além da obrigação de notificação à ANPD e aos titulares quando houver a avaliação de elevado risco ou dano aos titulares, prevista no art. 48 da LGPD, a lei ainda nos traz dez princípios para interpretação e aplicação, dentre os quais os da segurança e prevenção, impondo que sejam adotadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

A inexistência ou ineficácia das medidas utilizadas podem resultar da aplicação de sanções administrativas pela ANPD, conforme o rol previsto no art. 52, da LGPD. Fora isso, as empresas podem ser acionadas judicialmente pelos titulares e uma decisão desfavorável, em qualquer das searas do direito, acerca da legalidade do tratamento dos dados pode se disseminar perante a uma quantidade expressiva de titulares de dados pessoais e prejudicar futuras decisões contaminando os processos que versem sobre a mesma matéria.

O Código de Processo Civil, inclusive, traz em seu artigo 12, § 2º, inc. III, a hipótese de julgamento de processos em bloco para aplicação de tese jurídica firmada em julgamento de casos repetitivos e de recursos repetitivos ou de incidente de resolução de demandas repetitivas. De toda sorte, por óbvio que o êxito na ação judicial se sujeita, na maioria das vezes, à comprovação em juízo da conformidade de uma companhia quanto à LGPD ou na falta dela. Todavia, fica a cargo do titular de dados demonstrar na sua peça inicial que houve a exposição indevida dos seus dados pessoais e que por esta razão, faria jus ao recebimento de danos materiais e morais.

Nada obstante exista uma corrente doutrinária que defende a possibilidade da aplicação da teoria do dano moral in re ipsa, nos casos em que haja vazamento de dados por uma organização, é importante ressaltar que o Poder Judiciário já se manifestou em sentido oposto. Por ocasião do julgamento de uma ação indenizatória contra a Eletropaulo, a 13ª Câmara de Direito Privado do TJSP, a Desembargadora Ana de Lourdes Coutinho Silva da Fonseca firmou o entendimento de que “a mera constatação de que dados pessoais básicos tenham sido objeto de ilegal vazamento não configura, automaticamente, dano moral; sendo certo que não há nos autos prova de outras reverberações do referido compartilhamento irregular“¹.

A decisão judicial acima destacada certamente tende a consolidar um entendimento por parte do Poder Judiciário, barrando a famosa “indústria do dano moral”, indicando que não há presunção de dano. Isso porque é dever do titular, no momento em que apresenta a sua requisição ao Poder Judiciário, indicar os elementos mínimos que demonstram os reflexos negativos para a sua honra ou imagem e não há qualquer dispositivo na LGPD que permita inferir que a responsabilidade dos agentes de tratamento seja objetiva, tendo sido reconhecido pelo TJSP, e encontrado respaldo na orientação do STJ, o entendimento de que a responsabilidade civil dos agentes de tratamento é subjetiva, ou seja, prescinde da comprovação do dolo ou da culpa, além do efetivo dano e o nexo causal.

Baixe nosso e-Book “Guia do Processo de Fiscalização e Sancionador da ANPD”

Tipos de incidentes

Os tipos de incidentes de segurança da informação mais comuns são decorrentes de:

  • Senhas fracas;
  • Envio de dados pessoais por WhatsApp;
  • Não fechar os arquivos e programas após o uso;
  • Enviar dados pessoais por e-mail sem camada de proteção;
  • Falhas no processo;
  • Pouco controle de acesso;
  • Acesso irrestrito para pessoas não relacionadas ao tratamento de dados;
  • Arquivos físico sem controle de acesso;
  • Possibilidades de ataques por códigos maliciosos (ransomwares, phishing, trojan, etc);
  • Ataques visando atingir parceiros de negócios;
  • Erro humano;
  • Ausência de medidas técnicas, físicas e organizacionais;
  • Falta de treinamento e conscientização dos colaboradores;

 

Uma das formas de ataque cibernético mais comum é por meio da utilização de códigos maliciosos (conhecidos como pragas ou malwares), que são intermediários que possibilitam a prática de golpes e envio de spam. Um atacante pode instalar um código malicioso após invadir um equipamento ou explorar uma vulnerabilidade existente nos programas nele instalados. Abaixo temos os tipos principais:

 

Tipos de ataque e descrição

 

Como mitigar os riscos?

Independente do tipo de tecnologia utilizada, um equipamento conectado à rede, seja um computador, dispositivo móvel, modem ou roteador, pode ser invadido ou infectado por meio:

  • de falhas de configuração;
  • da ação de códigos maliciosos (como os expostos acima);
  • da exploração de vulnerabilidades nele existentes;
  • de ataques de força bruta, pelo uso de senhas fracas, padrão e/ou de conhecimento dos atacantes.

 

Para se prevenir de ataques cibernéticos é importante adotar as seguintes medidas preventivas:

  • Mantenha os equipamentos atualizados;
  • Utilizar apenas programas originais;
  • Crie um disco de recuperação;
  • Instale um antivírus e o mantenha atualizado;
  • Realize varreduras periódicas e automáticas;
  • Utilize um firewall pessoal;
  • Não baixe aplicativos em locais desconhecidos;
  • Verifique se as permissões de uso são coerentes;
  • Realize backups regularmente;
  • Mantenha os backups desconectados da rede ou sistema;
  • Realize testes de penetração e intrusão;
  • Cuidado com links e mídias removíveis.

 

A melhor maneira para prover a segurança da informação é através de soluções e práticas tecnológicas para combater os riscos dos ambientes digitais. Adicionalmente, sugere-se aos titulares que nunca seja compartilhado publicamente informações que não gostariam que tornar-se de conhecimento público; que sejam as postagens em redes sociais sejam limitadas para grupos específicos com outros titulares que já fazem parte da sua rede pessoal; e que redobre-se a atenção às funcionalidades básicas de segurança que já existem em redes sociais e outros serviços como, por exemplo, a habilitação da autenticação multifator.

Claramente as empresas possuem responsabilidade, inclusive nos termos do art. 42 e seguintes, da LGPD, mas a segurança da informação e proteção de dados não podem depender exclusivamente das empresas, visto que os titulares também possuem um papel fundamental para evitar que os dados sejam publicados de maneira indesejada pela internet, além de adotar medidas que mitiguem a possibilidade de sofrer um ataque através das redes sociais.

 Adalberto Fraga Verissimo Junior é advogado, certificado em proteção de dados pela CertiProf e em segurança da informação (ISO 27001) e proteção de dados (LGPD e GDPR) pela AdaptNow, pós-graduando em Direito Digital e Proteção de Dados pela EBRADI, membro da Associação Nacional dos Profissionais de Privacidade de Dados – ANPPD, membro da Associação Nacional dos Advogados de Direito Digital – ANADD, membro efetivo da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP e sócio da Lee, Brock, Camargo Advogados e coordenador na área de Direito Digital e Novas Tecnologias.

¹ APELAÇÃO – LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – INDENIZAÇÃO POR DANO MORAL – Pretensão da ré de reforma da r.sentença que julgou procedentes pedidos para determinar o recolhimento de dados indevidamente compartilhados e para condenar a ré ao pagamento de indenização por dano moral, no valor de R$10.000,00 – Cabimento – Hipótese em que não se viabiliza a determinação de obrigação de fazer genérica e cujo cumprimento não teve sua viabilidade demonstrada – Inexistência de dano moral – Ausência nos autos do processo de elementos de convicção aptos a demonstrar a alegada violação da dignidade da pessoa humana, da honra ou da imagem do autor, nos termos do artigo 5º, inciso X, da Constituição Federal – RECURSO PROVIDO. (TJSP: Ap.Cível 1001311-34.2021.8.26.0564, rel. Des. Ana de Lourdes Coutinho Silva da Fonseca, 13ª Câmara de Direito Privado, j. 24/11/2021, DJe 29/11/2021).

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *