Ultimas 4 vagas!

A contagem regressiva para a Lei de Proteção de Dados (LGPD) já começou! Como está a adequação de sua empresa, startup ou órgão público?

Ultimas 4 vagas para o evento da CyberExperts Academy, Lei Geral de Proteção de Dados: Como adequar empresas, negócios e órgãos públicos, que ocorrerá em Recife/PE, no dia 16/12/2019, no auditório do Impact Hub, no Shopping do Paço da Alfândega.

Participe deste exclusivo evento de suporte aos negócios e conheça os passos para se preparar para norma, com a concepção de uma prática de governança em privacidade da informação, em um conteúdo ministrado de forma direta e objetiva.

Então participe, e dê um importante passo rumo a adequação à norma e comece 2020 preparado!

Vai fechar hoje!

👉👉👉https://www.sympla.com.br/curso-lei-de-protecao-de-dados-pessoais-como-preparar-empresas-e-orgaos-publicos—recifepe__700867

Diretor do escritório José Milagre & Associados, participa do lançamento
da Norma ISO 27701 na ABNT e recebe a norma do Líder da Delegação do Comitê
ISO, Ariosto Farias Jr, responsável pela elaboração da norma no Brasil.

Importante norma para as empresas avançarem na adequação às regras da Lei
Geral de Proteção de Dados e comprovarem conformidade com um Sistema de
Gerenciamento da Privacidade da Informação.

Preparamos empresas e órgãos públicos para conformidade com os requisitos e
diretrizes da nova norma. Em breve também o curso @cyberexpertsbr sobre a ISO
27701.

Saia na frente!

A norma ISO
27701 especifica os requisitos e fornece diretrizes para o estabelecimento,
implementação, manutenção e melhoria contínua de um sistema de gestão de
privacidade da informação (SGPI).

Assim como
as demais normas da família 27000, em especial 27001 e 27002, a ISO 27701
apresenta requisitos relacionados ao SGPI (Sistema de Gestão da Privacidade da
Informação) e também diretrizes para os controladores e operadores de dados
pessoais, atores com grandes responsabilidades nas atividades de
tratamento. 

É aplicável a todos os tipos de
organizações, tanto públicas quanto privadas e também se relaciona com outras
normas técnicas que lhe dão suporte para a implementação da conformidade.

A norma
nasce como uma extensão de requisitos da ISO 27001 e de diretrizes da 27002,
todos focados em privacidade da informação e não em um sistema de gestão
próprio. A norma complementa as demais normas de segurança da informação com
seus requisitos específicos. 

Para
compreensão da ISO 27701 é preciso ter em mente que ela se relaciona a todo
instante com as normas de segurança da informação, ora ampliando diretrizes e
requisitos, ora criando novas e específicas, até mesmo mantendo as diretrizes
já disciplinadas nas normas de segurança da informação.

Dentre os 5
passos para entender a norma, rapidamente citamos:

1. Compreender que a seção 5 traz requisitos
   específicos de um sistema de gestão de privacidade da informação, em momentos
   ratificando os da 27001, em outros promovendo acréscimos e atualizações.

• Compreender que a seção 6 traz diretrizes
  específicas de um sistema de gestão de privacidade da informação, em parte
  ratificando os da 27002, ora promovendo acréscimos e atualizações. Aqui, aliás,
  temos muitos acréscimos em comparação com a seção 5.

• Compreender que a seção 7 traz o que chamamos de diretrizes
  adicionais à ISO 27002 para controladores e que também tem relação com o Anexo
  A da norma, que trata dos controles e objetivos de controle específicos
  para controladores.

• Compreender que a seção 8 traz o que chamamos de diretrizes
  adicionais à ISO 27002 para operadores e que também tem relação com o Anexo
  B da norma, que trata dos controles e objetivos de controle específicos
  para operadores de DP.

• Compreender os anexos da norma,
  sendo o “A” destinado a
  controladores e “B” a operadores (atualizando
  os controles e objetivos de controle da ISO 27001), o “C” traz um mapeamento da norma com os princípios de privacidade, o
  “D” e “N/A” fazem o mapeamento entre
  as exigências da GDPR e LGPD e os controles trazidos pela norma, que ajudam na
  conformidade, e o “E” uma relação da
  norma com outras ISOs não menos importantes, 27018 (Cloud) e 29151 (diretrizes
  e controles adicionais). Não se pode tirar de vista o anexo “F”, que justamente nos ensina como
  aplicar a ISO/IEC 27701 com as normas “base”, 27001 e 27002.

Deste modo,
a ISO 27701 tem como objetivo contribuir para que empresas demonstrem a
agências, órgãos públicos, investidores e sociedade que a organização está
empenhada em adotar controles eficazes e que são considerados melhores práticas
internacionais em proteção de dados.

Estes 5
(cinco) passos apresentam de forma clara e simples como compreender a aplicação
e utilizar as seções da norma na adequação de empresas e negócios.  Após
esta atividade, é momento de iniciar o plano de implementação, que envolve
avaliação, priorização de pontos críticos, implementações e auditoria periódica.
Não há tempo a perder e quanto mais ágil for a resposta corporativa a esta
importante fase que inaugura a ISO 27701, melhor para o avanço rumo à
conformidade com um padrão internacional envolvendo a privacidade da
informação.

Preparamos um e-book,
denominado 5 PASSOS PARA ENTENDER A ABNT
NBR ISO/IEC 27701:2019, onde fornecemos instruções detalhadas sobre o
processo de compreensão da norma, os passos, e sua relação com demais normas de
segurança da informação e privacidade. É gratuito. Baixe já o seu e deixe seu
comentário.  

Acesse: http://ebookiso27701.pagina.rocks/

Por 4 votos a 3 o TSE definiu nesta semana
que as assinaturas digitais podem ser usadas para criar um partido político.
Estima-se que sejam necessárias 500 mil assinaturas (valor arredondado) para a
criação de um partido.

Dentre os benefícios da medida estaria, em
tese, a maior facilidade para coleta de assinaturas, tendo em vista a
“informatização” da população e a natural atualização tecnológica de um dos
instrumentos de participação popular nos destinos da nação. Em sentido
contrário, a segurança da informação fica prejudicada, considerando a ausência
de critérios, estes que servem para garantir autenticidade, integridade e não o
repúdio das assinaturas, sem citar a necessária “confidencialidade”.

Poderia um “bot” simular códigos de assinaturas válidas e rapidamente ir preenchendo
o quantum necessário para criação de mais uma das dezenas de agremiações do
Brasil? Neste caso, quem investigaria ou realizaria a perícia em informática e
em dados e quem apuraria a fraude digital nos resultados de uma votação
eletrônica ou de uma lista para constituição de um partido?

A decisão da corte eleitoral, no entanto,
depende de regulamentação. A questão é: O próprio TSE demonstra não estar
familiarizado com a diferença entre assinatura digital e eletrônica. A Ministra
Rosa Weber entendeu que atualmente o Tribunal não tem condições de validar e verificar
assinaturas digitais, votando contra o avanço, talvez imaginando se tratar de
uma assinatura eletrônica.

A assinatura eletrônica é descrita, via de
regra, como aquela gerada a partir da grafia de uma assinatura na tela de um
dispositivo computacional ou ainda por meio de aplicativos e sistemas, confirmando
assim a sua relativa fragilidade, pois tem sua eficácia avaliada por meio de
outros elementos e metadados, como geolocalização e número IP, que nem sempre
são identificáveis e não mascaráveis.

Por outro lado, a assinatura digital é
comumente usada pra designar o ato firmado por meio de Certificação Digital,
vinculada a ICP Brasil, conforme previsão na Medida Provisória 2-200/2001. É
gerado um par de chaves (privada e pública) e a partir deste formato de
criptografia, assim ética, é possível assinar documentos com validade, autenticidade
e integridade, reconhecidas como uma assinatura de papel, com validade legal.

Tudo perfeito, se não fosse outro problema:
Apenas 2,58% do eleitorado tem certificado digital, conforme a ANCD (Associação
Nacional de Certificação Digital) e mais, um certificado digital hoje tem custo
para aquisição e renovação anual ou trienal, dependendo do modelo.  

Talvez fosse hora de inovar e reconhecer
que a Tecnologia Blockchain reúne elementos importantes em sua concepção,
capazes de garantir integridade, confidencialidade, imutabilidade,
autenticidade e o principal, descentralização e capilaridade, além de ser
auditável e rastreável, em casos de suspeitas de fraudes.

Esta preciosa tecnologia, descrita por
Satoshi Nakamoto em 2008 para suportar de forma distribuída e indelével as
transações de bitcoins, hoje é refletida como base para inúmeros avanços,
incluindo participações populares nos desígnios das cidades, com eliminação de
intermediário e redução de custos. Iniciativas como o Democracy.Earth (https://democracy.earth/), já demonstram que
possuímos iniciativas de democracia descentralizada que podem transformar a
participação das pessoas no futuro dos governos e poderes.

A Blockchain possui código aberto, permitindo a codificação (como na Ethereum) e vem sendo estudada também como uma plataforma segura e de baixo custo para votações, bastando ao cidadão apenas o acesso à Internet. Inúmeras iniciativas já existem no mundo e o próprio e-cidadania já conta com abaixo-assinados neste sentido.

A tecnologia poderia, sem dúvida, suportar
não só votações, mas também decisões conjuntas e até projetos de lei de
iniciativa popular. Mais uma vez, resta claro que não se trata de tecnologia,
mas sobretudo, de gestores que conheçam os potenciais da mesma e
principalmente, que possuam a coragem de promover as alterações legislativas
necessárias para que o progresso aconteça.

Embora a GDPR esteja em vigor há
mais de um ano, é fato que não havia um padrão de certificação definido para a
norma ou referenciado pela mesma. Em outras palavras, não existia um padrão ou
método endossado.

Este cenário pode ser modificado
com o estabelecimento de um importante marco na gestão da proteção de dados ou
da privacidade da informação: A edição da norma ISO 27701, publicada em 06 de
agosto de 2019. Esta norma é considerada uma baliza para o gerenciamento
contínuo dos riscos envolvendo privacidade. Ela estabelece os requisitos e
orientações para implantação e manutenção de um PIMS, ou Privacy Information
Management System (Sistema de gerenciamento da privacidade da informação),
complementando e integrando (ou estendendo) os objetivos e controles da já
conhecida ISO 27001.

Para tanto, a nova norma amplia os
controles preexistentes, apresentando pontos específicos em relação a
privacidade e proteção de dados. Trata-se de uma norma específica para ajudar
empresas a gerirem a privacidade da informação, termo este também trazido pela
ISO.

Com efeito, é sabido que a ISO
27001 trata do chamado SGSI (Sistema de gerenciamento de segurança da informação),
de modo que tal certificação é condição para que a empresa possa ampliar seu
escopo de controles por meio da extensão trazida pela ISO 27701,
certificando-se também nesta nova norma. Assim, é necessário ter a certificação
ISO 27001 para buscar a nova certificação na extensão em privacidade da
informação, nada impedindo que já se reúna esforços para tal no conjunto de
normas.

A norma 27701 amplia ou estende os
requisitos e orientações trazidas pela ISO 27001 (requisitos) e 27002 (códigos
de prática) e é de boa prática a implementação conjunta caso a empresa não
tenha avançado em um sistema de gerenciamento de segurança da informação.

Todos os agentes de tratamento,
controladores e processadores precisam estar atentos às diretrizes da nova ISO
27701, que estabelece requisitos para um sistema de gerenciamento de
informações de privacidade. É de se destacar, que além de estender os controles
das normas envolvendo segurança da informação, a ISO também traz anexos que
fazem o mapeamento de seus requisitos em comparação com os requisitos de outras
documentações, como as ISO 29100, ISO 29151, ISO 27018 e com a própria GDPR.

De acordo com relatório divulgado
pelo Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR
Gov), subordinado ao Gabinete de Segurança Institucional (GSI), em 2018 foram
detectados 20.566 eventos que comprometiam a segurança digital de órgãos
federais, sendo que o vazamento de dados corresponde a mais de 20% dos casos
apresentados. Considerando o contexto envolvendo a violação de dados, inclusive na
área pública, a aplicação da ISO 27701 pode ser considerada um importante passo
de adequação e satisfação das diretrizes da GDPR e da LGPD.

Neste panorama, vem sendo anunciada
como o “guia do que fazer” para que as empresas se mantenham em conformidade
com a GDPR – General Data Protection Regulation e LGPD – Lei Geral de Proteção
de Dados.

Estar em conformidade com a norma 27701 é inovar e garantir atendimento aos requisitos de privacidade das principais regulamentações de proteção de dados.

Destaque para o art. 42 da GDPR que
trata da questão dos mecanismos de certificação de proteção de dados, como os
selos. No entanto, os mecanismos não haviam sido apresentados claramente. Do
mesmo modo, no Brasil, a LGPD trata os certificados, selos e códigos de conduta
como necessários para a transferência internacional de dados. Além disso,
estabelece que compete a ANPD realizar auditorias ou determinar sua relação no
âmbito da atividade de fiscalização sobre o tratamento de dados pessoais
efetuados pelos agentes de tratamento, incluindo o poder público.

Assim, certificar-se na ISO 27001 e de forma estendida na ISO 27701 poderá ensejar o reconhecimento por parte dos atores interessados e pela própria Autoridade, de que a empresa adota e se preocupa com as melhores práticas no que diz respeito a privacidade da informação.

Estruturar um Privacy Management System é assegurar observância aos controles no
tratamento de PII (Personally Identifiable Information). Deste modo, as empresas devem
iniciar um plano de ação, incluindo, mas não se limitando a:

1. Assessment: Avaliação e revisão do programa de
   privacidade confrontado com o framework 27701;
2. Priorização: Após avaliação, um mapeamento dos
   pontos prioritários a serem implementados;
3. Plano de implementação: Criação do plano de gerenciamento
   eficiente da privacidade da informação;
4. Implementação: Conscientização, análise dos
   riscos, benchmarkings, concordância com plano de implementação e ação para
   criação prática dos controles;
5. Auditoria: Revisão da norma em cotejo com os
   controles implementados.

Como visto, a recente publicação da
norma ISO 27701 abrirá uma importante oportunidade de certificação não só de
empresas que buscam um mecanismo de renome e consolidação para demonstrarem a
adesão às regras das normas de proteção de dados, como também de profissionais,
que cientes das diretrizes das Leis, saibam utilizar a ISO como instrumento de
certificação e em prestígio da “accountability”,
demonstrando que a empresa já possui a dinâmica de um plano de governança em
proteção de dados, em que pese não existir um framework definido por leis e
autoridades, já segue os controles de uma importante norma reconhecida
internacionalmente, fato que pode se tornar 
uma tendência.  

Em síntese, a ISO 27701 oferece
então, processos e orientações para proteção de dados pessoais, em um sistema
de gestão que envolve melhoria contínua, com possibilidade de ser utilizada
como padrão de certificação, não só por autoridades europeias, mas também no
Brasil. Se a norma vai se tornar sinônimo de certificação LGPD, veremos com o
tempo, o que não impede, como visto, as empresas e profissionais já se
adiantarem à conformidade com o padrão.

A CyberExperts Inteligência Cibernética atua em todas as
fases do preparo de empresas e negócios para adequação as extensões da ISO
27701. Igualmente a CyberExperts Academy está com inscrições abertas para o seu
treinamento ISSO 27701.
Acesse: www.cyberexperts.com.br 

O Black Friday, febre no Brasil, atrai milhares de pessoas para os sites de e-commerce, em busca de grandes descontos. É nesta época, porém, que muitos golpistas e fraudadores digitais lucram muito com a ganância e inocência de algumas pessoas. Saiba como não se tornar mais uma das milhares de vítimas do Black Friday, adotando 7 (sete) medidas simples.

Anualmente os brasileiros contam
os dias e as horas para que as lojas anunciem o Black Friday, que faz sucesso
por aqui desde 2010, ocorrendo na quarta sexta-feira do mês de novembro,
inspirado pela tradição Norte Americana.

Como vínhamos falando há algum
tempo, o crime digital brasileiro é muito mais criativo do que técnico, e tem
hoje recursos de hospedagem anônima e registro de domínios protegidos por
proxies, além de outras técnicas e recursos simplificados que lhes permitem subir
um site com uma facilidade extrema. Assim, nesta época, todo o cuidado é pouco
com as lojas virtuais “fakes”, falsas ou “anônimas” e é nesta última aonde
existe muita dificuldade em identificar seus criadores.

Observamos que os criminosos digitais inovam constantemente e hoje dominam técnicas de SEO (Search Engine Optimization), analisam sites parecidos com os que vão subir em analisadores de tráfego e logo posicionam seus sites nos buscadores como uma das primeiras opções locais, regionais ou nacionais.

Sem contar que as redes sociais e
buscadores não fazem distinção de criminosos que impulsionam seus sites em
períodos de fortes vendas no e-commerce, o que faz com que as vítimas continuem
expostas cada vez mais a sites falsos, cujo escopo é roubar o dinheiro do
comprador.

Para evitar ser vítima de golpes
na época do Black Friday, apontamos 7 (sete) pontos focais que se adotados,
minimizam as chances de um dissabor na hora da compra de produtos com
descontos:

1. Pesquise antes: Faça uma análise
   minuciosa da loja, site, endereço físico, sócios, reclamações, telefones, se possível
   faça um contato telefônico, busque referências; Acesse o histórico de
   reclamações no procon ou mesmo no consumidor.gov.br; Utilize um site de WHOIS
   (Como http://whois.domaintools.com/)
   para verificar dados do registro do domínio;
2. Fuja de transferência bancária:
   Bandidos querem seu dinheiro rápido e não querem trabalho. Não vão oferecer
   opções que você possa cancelar no futuro. Portanto, desconfie de sites que só
   aceitam boletos ou transferências bancárias, prefira sempre meios seguros de
   pagamento onde o dinheiro só é liberado após a entrega da mercadoria;
3. Visite o site de interesse agora: Isso
   mesmo, antes do Black Friday. Veja se ele já está no ar, os produtos, os
   preços, faça prints de tudo, de preferência utilize até mesmo o Original.My
   para registrar algo de interesse. No BlackFriday, compare para verificar se
   houve um “aumento para baixar posteriormente”;
4. Não compre por links: Recebeu um link
   por e-mail, Messenger, WhatsApp e está pensando em clicar nele e comprar? Não
   seja tolo! Você vai ser enganado, perderá seu dinheiro e seus dados. Acesse
   sempre diretamente o site da loja e verifique se a mesma é segura e se o
   certificado digital está expedido para ela mesma e não para outra empresa.
5. Proteção de dados e políticas: Avalie
   se o site está em conformidade com a Lei de Proteção de Dados, se cumpre as
   entregas, garantias, se está auditado e reconhecido com selos e certificados
   (Como o Legal2you da CyberExperts, que comprova o compliance do site) e
   desconfie de dados em excesso solicitados para uma simples compra.
6. Cuidado com selos falsos: Os bandidos
   vão tentar passar credibilidade do site para roubar seu dinheiro e para isso, vão
   usar falsos selos de sites seguros ou que estão em conformidade com a Lei.
   Desconfie, vá até o site do selo e confirme se a loja realmente é certificada
   ou não.
7. Registre as provas: Desde o momento de
   iniciar a transação, fornecendo dados até a conclusão da compra, registre tudo,
   telas, confirmações, e-mails recebidos. Hoje existem vários programas “secreen
   recorders”, alguns até nativos do sistema operacional, que registram com
   metadados atividades no computador. Todos estes dados serão úteis para
   comprovação da compra e até mesmo para se apurar a autoria.

Deste modo, é preciso ter em
mente que descontos “fora da realidade” podem
ocultar um site falso, fraudado, uppado apenas para lesar e em seguida ser
removido do servidor web, sem qualquer rastro da fraude. Bandidos normalmente
usam registros de domínios em nome de pessoas laranjas, não possuem empresa constituída
e usam telefones celulares “chips frios” e números VOIP para contato, que após
o golpe são abandonados.

O consumidor precisa ter em mente
que o Marco Civil da Internet, Lei 12.965/2014, permite e dá a base para que
seja possível apurar os responsáveis por um golpe ou fraude digital envolvendo
sites “falsos” ou aparentemente anônimos, sendo que os provedores de hospedagem
deverão guardar os registros de acesso à aplicação por 6 (seis) meses. Para
hospedagem internacional (muito utilizada por bandidos), o consumidor deve
buscar um escritório especializado em direito digital ou advocacia envolvendo
crimes cibernéticos, para que possa adotar as medidas para apuração da autoria.

Não bastasse, o site pode ser
“oficial” e até honesto, mas maquiar o preço, o que pela lei brasileira é considerado
propaganda enganosa, razão pela qual a orientação é que pesquise sempre os
preços com antecedência. Sites como Zoom, BlackFriday, Buscapé, Já Cotei,
dentre outros disponíveis que costumam trazer comparativos e evolução de preços.
Se encontrar o “subiu para dar desconto”, muito comum também na oferta de
serviços, cursos e treinamentos, acione o Procon, Reclame Aqui e demais órgãos
de proteção ao consumidor da sua região.

Para as lojas, é preciso ficar
atento pois o Procon vem apurando lojas que fazem “sobe e desce” de preços, bem
como é preciso um cuidado especial em relação a “fakes” que surgem na época do
BlackFiday e usam a marca da loja indevidamente, lesando consumidores,
monitorando as redes sociais e principalmente, sendo transparentes para com os
clientes, alertando os riscos da época e detalhes das ofertas, nos moldes do
artigo 31 do Código de Defesa do Consumidor.

O IDCI, Instituto de Defesa do
Cidadão na Internet, é um instituto que atua por meio da sua equipe em todo o
país, analisando sites ligados a fraudes e divulgando aos cidadãos, inclusive,
recebendo denúncias de sites “falsos” ou que estão descumprindo a Lei,
sobretudo neste período crítico e que envolve muitas transações digitais, que é
o Black Friday.  Do mesmo modo, em São
Paulo, o PROCON organiza uma lista de sites não confiáveis, atualizada
diariamente. Acesse https://sistemas.procon.sp.gov.br/evitesite/list/evitesites.php
e confira se o site se encontra nesta lista. Se estiver lá, fuja!

Fique
atento, siga IDCI e receba informações em tempo real sobre golpes e fraudes no
comércio eletrônico e formas de proteção. O cidadão pode consultar o IDCI para
dúvidas e reclamações pelos seguintes canais de atendimento: pelo WhatsApp (11)
98459-7777 (de segunda a sexta das 8h às 20h e aos sábados das 8h às 14h; Ou
ainda pelo Facebook (www.facebook.com/pages/IDCIBrasil).

No meu canal no youtube
(youtube.com/josemilagre) semanalmente, eu trago muito conteúdo sobre direito e
segurança digital. Se inscreva para receber avisos sobre os vídeos gratuitos,
que são publicados semanalmente.

Artigo de nossa autoria publicado pelo Colégio Notarial do Brasil – Seção São Paulo

Fonte: http://www.cnbsp.org.br/index.php?pG=X19leGliZV9ub3RpY2lhcw%3D%3D&in=MTg3NTk%3D&fbclid=IwAR2hbfjXQzV2h9LWAWD5obdV0Yema5Kj8ixl_edefxMNrP_6rtNy0G2P6_8

As imposições
trazidas pela General Data Protection Regulation e Lei Geral de Proteção de
Dados demandaram uma análise e revisão dos processos de segurança da informação
nas empresas e agentes de tratamento. Muitas empresas, no entanto, se
questionam sobre a relação da proteção de dados e segurança da informação, e é
comum que fiquem na dúvida sobre a aderência dos seus controles de segurança da
informação já existentes.

Basicamente, a
segurança da informação já é norteada por normas, requisitos e boas práticas
para proteção da confiabilidade da informação (confidencialidade, integridade, disponibilidade), antes mesmo das
normas específicas relativas a proteção de dados pessoais entrarem em vigor.
Protege-se com elas a informação na empresa e não somente dados pessoais.

Portanto, é
evidente que os controles existentes que sigam os Requisitos da ISO 27001 e
demais normas são considerados pelas leis de proteção de dados e
compatibilizam-se com elas. Estão intimamente ligados. As normas de proteção de
dados (GDPR e LGPD) enaltecem a segurança da informação a todo o instante, não
só estabelecendo a necessidade de agentes de tratamentos, controladores e
operadores, em implementarem medidas técnicas e organizativas para proteção de
dados, trazendo também exemplos de boas práticas técnicas como pseudonimização
e criptografia, mas principalmente, ambas as normas trazem a segurança (exatidão)
como princípio relativo à proteção de dados.

A relação
entre as regras de proteção de dados e a segurança da informação é tão evidente
que a própria formação do Data Protection
Officer, encarregado de proteção de dados nas empresas, tem necessariamente
conhecimentos de fundamentos de segurança da informação, ativos, análises de
risco, continuidade de negócio, dentre outros conhecimentos inerentes a
security officers e profissionais de SI em geral.

Conquanto as
normas de proteção de dados preocupem-se com o data breaches e não com qualquer evento ou incidente de segurança
da informação, é evidente que estabelecem como um dos pontos de conformidade, o
estabelecimento por parte dos agentes de tratamento de uma gestão efetiva de
incidentes, bem como a concepção de procedimentos claros, diante de um
vazamento de dados, envolvendo notificação à autoridade de controle e em casos
específicos, comunicação aos titulares dos dados, sempre, informando a
natureza, extensão do incidente e quais medidas estão sendo tomadas ou práticas
para mitigar os riscos (lembrando que este ponto ainda carece de regulamentação
na LGPD).

Se o
gerenciamento de incidentes de segurança da informação e resposta forense aos
incidentes era um requisito de normas de melhores práticas em si, agora, ele é
elevado a um dos itens de adequação para as normas de proteção de dados. Assim,
as equipes de resposta a incidentes são válidas, pertinentes e precisam se
adaptar aos requisitos e particularidades envolvendo proteção de dados. Vale
destacar que na consideranda 49 da GDPR a existência do CSIRT (time de resposta
a incidentes) apresenta-se como fundamental, definindo na consideranda 83 a
importância da análise de risco, disciplinando ainda a norma no seu art. 32 o
dever dos agentes de tratamento em assegurarem um nível de segurança adequado
ao risco, inclusive prevendo os testes em seus sistemas (como os pentests,
validações de programação segura, dentre outros), na sua alínea “d”, ao
estabelecer que os agentes devem adotar “Um processo para testar, apreciar e
avaliar regularmente a eficácia das medidas técnicas e organizativas para
garantir a segurança do tratamento.”

Ademais, no
Brasil, com base no art. 38 da LGPD, espera-se que a Autoridade Nacional de
Proteção de Dados passe a exigir relatório de impacto a proteção de dados dos
agentes de tratamento, que deverá indicar, pelo menos a metodologia utilizada
para coleta e segurança das informações tratadas. E o mais grave: Pela Lei
Brasileira, um tratamento de dados não será só considerado irregular quando
tratado sem uma premissa legal ou consentimento, mas principalmente, quando
“não fornecer segurança que o titular dele possa esperar”, sendo que
controladores e operadores poderão responder por danos diante do afrouxamento
de controles de segurança, previstos no artigo 46, que estabelece que os
agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e
de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Não bastasse todas
as relações acima trazidas, é importante destacar que uma empresa que se
demonstre madura em termos de segurança da informação e processos para
identificar e tratar incidentes de dados, poderá muitas vezes minimizar o
impacto da norma e sua responsabilização por incidentes. Procedimentos claros
de perícia digital em dados serão úteis para, a exemplo, demonstrar a inexistência
de violação (fakeleaks) a dados ou
mesmo a culpa exclusiva do titular dos dados, como estabelece o art. 43 da
norma brasileira. 

A perícia de
informática ou em dados também será útil nas controvérsias envolvendo a
realização ou não de um tratamento, onde o titular afirma que o controlador ou
operador fazem o tratamento, e estes negam. Além disso, será muito útil nas
questões envolvendo confirmação ou não de consentimento eletrônico (ou mediante
telas sistêmicas), onde a controvérsia está se houve ou não o referido
consentimento, dentre outras hipóteses em que se revela boa prática que as
empresas mantenham profissionais de digital e data forensics sempre por perto.

Como visto, a
segurança da informação é direito do titular, medida técnica e organizativa
indicada e elencada à princípio para as normas de proteção de dados, sendo
elemento fundamental para assegurar a conformidade de agentes de tratamento às
diretrizes das normas e principalmente, agora, para evitar responsabilizações
junto à ANPD (Autoridade Nacional Brasileira) e até judiciais, diante de danos
decorrentes de tratamento de dados. Do mesmo modo, uma resposta a incidentes
efetiva e adequada à norma, com recursos para investigação digital e em dados,
é mais que boa prática para empresas que queiram reduzir riscos de problemas
jurídicos e responsabilizações diante de incidentes envolvendo dados, aos quais
todo agente de tratamento está sujeito.  

Não é novidade que a LGPD, inspirada pela GDPR, entra em vigor em agosto de 2020. As normas mencionadas são bem claras quando o assunto é responsabilidade dos atores que recebem os dados no âmbito da expectativa do titular, com seu consentimento ou amparados por uma das premissas que permitem o tratamento.

A legislação estabelece, por exemplo, que o controlador poderá prever ou ceder dados do titular ao processador, orientando este para que siga as orientações e principalmente ofereça níveis aceitáveis de proteção de dados.

Por outro lado, nem sempre tudo é tão simétrico e os agentes de tratamento são claramente definidos. Em muitos casos, os dados chegam a terceiros de forma não autorizada pelo controlador, ou até mesmo sem que este saiba. Ferramentas que instrumentalizam técnicas de web scrapping e crawling ou mesmo automatizam pesquisas são constantemente utilizadas para tratamento (coleta) de dados de modo nem sempre convencional.

Nestas técnicas, hoje, estão assentados o núcleo de muitos negócios envolvendo empresas de marketing digital, inteligência de dados, background screening e scoring, sendo hoje também a base para inúmeros negócios digitais e startups.

Nesta modalidade, via de regra, o controlador não disponibilizou ao agente de tratamento um webservice, uma API, uma exportação ou qualquer meio “legal”, “previsto”, “dimensionado” ou “regular” para que terceiros acessem dados de seus titulares.

Uma pessoa física ou jurídica acessa alguma interface de exibição de dados do cliente e coleta os mesmos, iniciando um novo ciclo de tratamento. E que nem se argumente que estes dados “foram tornados públicos”, logo, fora do escopo das normas de proteção de dados, pois quem torna um dado público é o titular e muitos crawlers operam inclusive em ambiente logado ou contornando barreiras tecnológicas. Assim, cada caso deverá ser analisado em minúcia.

Mas as atividades seriam ilegais? Neste ponto vale destacar que o artigo 17 da GDPR é claro ao prever que o titular dos dados tem inúmeros direitos, inclusive o direito a exclusão, quando os dados forem tratados ilicitamente. A própria consideranda 39 da norma, deixa claro que os dados pessoais deverão ser tratados de modo a não serem utilizados por pessoas não autorizadas. Não bastasse, a definição de “Violação de dados pessoais” também engloba um acesso não autorizado ou ilícito.

O mesmo se repete no art. 46 da LGPD, que estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Não bastasse, na LGPD, está previsto no artigo 18 o direito do titular dos dados à eliminação de dados tratados em desconformidade com a Legislação, estabelecendo a lei nacional no seu artigo 44 o conceito de tratamento irregular de dados, incluindo quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais o modo que é realizado.

Neste sentido, a menos que exista uma relação clara com o controlador e uma premissa válida de tratamento, o crawling pode ser considerado irregular. Na maioria dos casos o consentimento será a hipótese válida para estas operações, o que se sabe não é tarefa fácil de se conseguir. A nós, parece muito temerário e forçoso tentar demonstrar que um serviço baseado em crawling opera com base em interesse legítimo, considerando que muitas vezes o titular e até mesmo o controlador não sabem da atividade (Este, que poderá detectar mediante monitoramento de requisições a seu serviço).

Na Europa, serviços de crawling já estabelecem em seus termos que há raspagem de dados apenas com o consentimento. Para estas empresas, recomenda-se analisar quais dados tratam e compõe sua base de dados e que foram objeto de raspagem. Após, é importante avaliar qual a premissa válida para tratar estes dados que foram empregados. Não estando abrangido por uma premissa válida e sem consentimento, a recomendação é exclusão ou anonimização dos dados. E diante de qualquer nova iniciativa que envolva raspagem, a recomendação básica para minimizar riscos é um contato com o controlador para compreender sua expectativa e a do próprio titular dos dados pessoais.

Com efeito, conquanto não possam ser considerados ilegais em todos os casos, que deverão ser cuidadosamente analisados em suas peculiaridades, é evidente que existem cautelas necessárias para empresas que fazem este tipo de tratamento de dados, considerando que controladores que tratem dados legalmente, de modo até a assegurarem os princípios e diretrizes das normas e minimizar riscos de problemas com titulares, poderão não só dificultar o acesso não convencional, mas periciar seus sistemas, identificar coletas indevidas e processar os referidos serviços.

E por falar nas medidas de controladores e operadores, as recomendações para estes, caso passem por uma ação legal ou intervenção administrativa diante de um tratamento não autorizado de dados que lhes foram confiados é, justamente, revisar não só como dados são armazenados na base, mas como são expostos em suas interfaces de acessibilidade, revisando os processos para que possam demonstrar claramente que adotaram medidas técnicas e organizativas possíveis para redução da formação de ciclos de vida indevidos e desconhecidos, estando preparados para apresentar estas medidas a qualquer momento.

Do mesmo modo, é muito importante, diante de uma violação de dados a partir de tratamentos feitos por terceiros sem relação com o controlador ou operador que estes tenham procedimentos claros para demonstrar que não realizaram o referido tratamento, considerando o disposto no art. 82 da GDPR e art. 43, I da LGPD, que é claro ao prever que os referidos agentes de tratamento são isentos de responsabilidade se provarem que não são de modo algum responsáveis ou não realizaram o tratamento indevido. Não se pode desconsiderar, em alguns casos (e cada caso, como dito, terá suas peculiaridades), controladores e operadores sejam “tão vítimas”, quanto os próprios titulares dos dados.

Em 2017 ocorreu o “boom” das moedas virtuais que revolucionou o mercado com o aumento da compra e venda de criptomoedas, sendo o Bitcoin a mais conhecida. Nestes anos, as transações vêm se popularizando cada vez mais, tendo em vista suas grandes vantagens e crescente aceitação. Proporcionalmente, é cada vez mais comum a procura do Poder Judiciário em questões envolvendo criptomoedas.

Há uma constante busca por plataformas on-line, também conhecidas como Exchanges, por aqueles que visam comprar os referidos ativos virtuais. Estas têm o objetivo de auxiliar a compra e venda da moeda, ou seja, facilitando a negociação. As transações são registradas na “Blockchain”, uma espécie de livro virtual de registros das operações, considerada uma das principais responsáveis pela segurança das transações em criptomoedas, registradas, em tese, de forma indelével e sem a presença de um intermediário avalizador, como uma Instituição Bancária, por exemplo.

Recentemente, tendo em vista o Agravo de Instrumento n° 2237253-77.2018.8.26.0000, o Tribunal de Justiça do Estado de São Paulo reconheceu a validade das provas na Blockchain na ação referente do ex-governador de Goiás, Marconi Perillo, que alega a existência de publicações em páginas do Facebook, Instagram e Twitter de “conteúdos inverídicos e ofensivos, com o objetivo de produzir o descrédito do autor junto à opinião pública”.  De acordo com a visão da desembargadora Fernanda Gomes Camacho:

(…) não se justifica a pretensão de abstenção de comunicação de terceiros a respeito dos requerimentos do agravante e dos termos da demanda, inclusive porque o próprio recorrente afirmou que “a partir do conhecimento dos fatos, o Autor providenciou a preservação de todo o conteúdo via Blockchain, junto à plataforma OriginalMy, hábil a comprovar a veracidade e existência dos conteúdos”.

Em conformidade com a ACT (Autoridade Certificadora do Tempo), a utilização de carimbo de tempo já foi regulamentada na ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira), sendo assim, cada arquivo no sistema possui um carimbo de tempo que determina a data e o horário com precisão em que ele foi adicionado e uma assinatura digital específica, conhecida como hash (algoritmo que transforma um grande número de informações em uma sequência numérica hexadecimal, para mapear dados),  contribuindo assim para um alto grau de segurança, o que torna impossível a modificação da prova apresentada. Em vista disso, há a possibilidade do encaminhamento do arquivo, que contêm informações referentes ao usuário, para ser certificado em blockchain, servindo de prova para garantir a veracidade dos conteúdos que ferem a honra e a dignidade da vítima. Por outro lado, argumenta-se que conteúdos forjados também poderiam ser registráveis, o conduziria a necessidade de uma prova judicial para esclarecimento do ocorrido.

O crescimento das transações em criptomoedas se justifica considerando que a estrutura assegura um funcionamento contínuo, sendo possível enviar a moeda (ou ativo digital) para qualquer pessoa independente do dia e horário; por ser considerada uma transação rápida; ter anonimato parcial, já que os dados contidos no blockchain são apenas códigos, com exceção de alguns casos de transações nas quais é necessário a apresentação de um endereço vinculado a uma identidade; é considerada uma moeda universal, ou seja, pode ser usada em todos os países facilitando a comercialização; não há interferência de bancos e governos para determinar seu valor ou quantidade, dentre outros benefícios que ostenta.

É admirável as inúmeras vantagens que a compra de criptomoedas apresenta, porém deve-se levar em conta que há um grande risco de perda, uma vez que pagamentos feitos por meio de Bitcoins não podem ser contestados e nem devolvidos, o que atrai a atenção de crackers. Logo, é cada vez mais corriqueiro julgados a respeito de ilicitudes envolvendo o furto e a fraude de Bitcoins nos Tribunais brasileiros.

Não é raro litígios envolvendo traders (responsáveis por intermediar a relação de compra e venda), que oferecem rentabilidade fixa aos investidores e não cumprem com o contratado. Os Tribunais em sua maioria vêm entendendo que tais hipóteses não se enquadram nos crimes tipificados nos arts. 7, II e 11 da Lei N° 7.492/1986, que define os crimes contra o sistema financeiro nacional e os ilícitos contra o mercado de capitais, nem o delito apresentado pelo art. 27-E da Lei n°6.385/1976, que dispõe sobre o mercado de valores mobiliários e cria a Comissão de Valores Mobiliários, pelo fato da operação envolvendo compra e venda de criptomoedas não encontrar regulação no ordenamento jurídico pátrio, visto que as moedas virtuais não são classificadas pelo Banco Central do Brasil (BCB) como moeda em si, nem são consideradas como valor mobiliário pela Comissão de Valores Mobiliários (CVM), portanto não caracteriza sua negociação.

Além do mais, além dos casos envolvendo a validade das provas na Blockchain, furto de criptomoedas e litígios com traders, há casos no Judiciário Brasileiro em que foram constatadas falhas na prestação do serviço pelas plataformas envolvendo saque indevido, o que demonstra a vulnerabilidade em alguns sistemas, aplicativos, wallets e intermediários  de transações e a existência crescente de fraudadores especializados em lesar detentores de ativos digitais. O Judiciário, na maioria dos casos analisados, vem se posicionando no sentido de que é cabível a restituição do valor perdido, visto que a responsabilidade civil dos fornecedores de serviços é objetiva, fundada no risco da atividade por eles desenvolvida, não se fazendo necessário a existência de culpa (CDC, art. 14; CC, arts. 186 e 927). Por outro lado, resta um grande desafio vem existindo na apuração da autoria dos fraudadores, sendo que se por um lado o Judiciário vem se valendo do Marco Civil da Internet, de outro, a arquitetura privada da Blockchain e classifica-la como um “provedor de aplicações”, não vem sendo tão simples, considerado ser a estrutura distribuída.

Identificados, analisando os recentes pleitos no Judiciário, em casos envolvendo vítimas de fraude com bitcoins, o pedido de danos morais, considerando que para muitas delas o desfalque afetou sua personalidade, ofendendo a moral, a honra e a dignidade da pessoa humana (CF, art. 5º, V e X; CDC, art. 6º, VI).  Na maioria dos casos analisados nas cortes do Brasil, no entanto, não fora deferido danos morais às vítimas, uma vez que a Justiça entende que não passa de mero inadimplemento contratual ou danos materiais, levando em conta os altos riscos que envolvem a compra e venda da criptomoedas, pelo fato de não ser emitida nem garantida por qualquer autoridade monetária no Brasil.

Por ser considerado um tema muito recente, o Judiciário vem fundamentando decisões com base no Código de Defesa do Consumidor (CDC) e naquilo que os órgãos reguladores, até então, tenham emitido sobre criptomoedas, lembrando que o BACEN não reconhece as Criptomoedas como moedas e a CVM entende no que cabe, a aplicação da modalidade de ativos mobiliários, quando por exemplo, ocorre o chamado “contrato de investimento coletivo” ou o chamado “fundo”, onde uma empresa promete utilizar um algoritmo para comprar na baixa e vender na alta (com um crescimento de denúncias ao órgão).  Já a Receita Federal, expediu normativa em que exige inclusive que a “wallet” seja declarada ao fisco.

Destarte, sem pretensão de esgotar o tema, apresentamos um panorama das tendências em litígios envolvendo criptomoedas e a Blockchain como meio de prova no Brasil, esta, que vem tendo seus registros considerados em alguns cenários. Em conclusão, conforme análise dos litígios deduzidos no Judiciário brasileiro, resta evidente que cabe atenção reforçada aos que pretendem investir em criptomoedas, sobretudo um planejamento jurídico, pois apesar de ser considerado um negócio promissor, ainda apresenta questões omissas em termos regulatórios e certa insegurança, instabilidade financeira e vulnerabilidade quanto a garantia das transações e integridade de alguns dos agentes envolvidos, considerando ainda riscos envolvendo a atuação de criminosos especializados em furtar criptoativos, que vem crescendo no País.

José Antônio Milagre

Advogado especialista em Direito Digital, Dados e Criptomoedas. Perito em Informática. Mestre e Doutorando pela UNESP, Sócio do José Milagre & Associados, Diretor de Compliance da CyberExpers Brasil. www.direitodigital.adv.br

Carolina Bonfim Coelho

Especialista em Direito Digital, Dados e Criptomoedas, membro do escritório José Milagre & Associados. www.direitodigital.adv.br