O que faz um perito especializado em proteção de dados e como atuar na área?

Contratar um perito digital particular: http://www.cyberexperts.com.br ou clique no botão do WhatsApp na página

No Brasil, a Lei Geral de Proteção de Dados (LGPD), estabelece deveres dos agentes de tratamento de dados pessoais e direitos dos titulares de dados. Incidentes e falhas em serviços de tecnologia, banco de dados e outros já demandam no Judiciário a análise por especialistas, peritos forenses digitais e peritos em privacidade e proteção de dados, com escopo de tecnicamente periciarem o contexto e responderem quesitos do juiz e das partes. O perito deve ser capaz de coletar evidências e identificar qual vulnerabilidade foi explorada, por quem, e qual a extensão dos danos, se possível, precisando como poderiam ser evitados.

Em tal ambiente de mudanças regulatórias, com advento da Lei 13.709/2018 (LGPD) e regulamentações da Autoridade Nacional de Proteção de Dados (ANPD), inúmeros processos estão surgindo, com o fundamento no tratamento irregular de dados, violações de segurança ou na ausência de segurança adequada em serviços online, fintechs, bancos, sistemas ou mesmo fundada na reparação por decisões equivocadas a partir da análise de dados imprecisos ou inferências, violação de princípios e direitos e incidentes com vazamentos de dados pessoais.

Deveres de segurança digital e resposta a incidentes

No que tange aos deveres de segurança da informação e notificação de incidentes, dispõe a LGPD em seus artigos 46 e 48:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I – a descrição da natureza dos dados pessoais afetados;

II – as informações sobre os titulares envolvidos;

III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV – os riscos relacionados ao incidente;

V – os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I – ampla divulgação do fato em meios de comunicação; e

II – medidas para reverter ou mitigar os efeitos do incidente.

3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

A importância do perito em proteção de dados

Considerando o disposto nos artigos, é evidente que o Data Protection Expert (DPE), perito ou auditor em proteção de dados se faz importante não apenas para comprovar maturidade de controles implementados em um agente de tratamento, mas é fundamental na fase de coleta e análise de evidências de um incidente de segurança da informação que possa ter comprometido dados pessoais.

Deste modo, até mesmo no contexto da dosimetria da pena, a adoção de medidas para mitigar o risco demonstra-se boa prática. O Data Protection Expert ou perito em proteção de dados, é profissional técnico, conhecedor de melhores práticas em computação forense e proteção de dados e preservação de provas informáticas e apto a auxiliar consumidores, advogados, DPOS e empresas, com o escopo de demonstrar tecnicamente o direito destes atores em processos administrativos e judiciais ligados a vazamento ou tratamento irregular de dados pessoais.

Assim, seja para comprovar um dano informático ou decorrente de violação de dados, ou mesmo quem deu causa a determinado incidente e qual o “modus operandi” do atacante, estar amparado por um perito em proteção de dados é fundamental. Ele será capaz de monitorar ambientes da rede para identificar a extensão do dano e repositórios com dados vazados, bem como, analisando os sistemas informáticos, logs e eventos, interpretar o ocorrido e comprovar por exemplo, a resposta aos seguintes quesitos do juiz, partes interessadas ou da Autoridade Nacional de Proteção de Dados, em processos administrativos ou judiciais:

Quesitos para o perito em proteção de dados pessoais

1. Se ocorreu ou não o tratamento de dados pessoais?
2. Qual vulnerabilidade explorada?
3. Quem deu causa ao incidente informático?
4. Os controles aplicados por aplicativos ou serviços eram adequados?
5. A empresa adotou medidas para mitigar o risco?
6. Qual a maturidade dos controles de proteção de dados da empresa?
7. A empresa mantinha um sistema de gestão e conformidade com a LGPD?
8. Em quais repositórios os dados vazados foram identificados?
9. Qual a natureza e categoria dos dados violados e os possíveis riscos da exposição?
10. Houve tratamento irregular de dados ou não?

Assim, a prova técnica pericial é indispensável e o comitê de proteção de dados e DPOs podem contar com engenheiros de privacidade, analistas de sistemas e técnicos, não só para que incorporem os requisitos de privacidade nos sistemas e tecnologias, mas também para condução de auditorias de controles, norteados por boas práticas de auditorias em proteção de dados, igualmente, para investigar causas de incidentes e atuar na defesa técnica de agentes de tratamento, controladores e operadores de dados pessoais, em apoio ao departamento jurídico em processos judiciais ou administrativos.

Atuação como assistente técnico

Importante destacar que a Autoridade Nacional de Proteção de Dados (ANPD), estabeleceu por meio Resolução CD/ANPD nº1/2021, o processo administrativo sancionador, e que prevê, nos processos administrativos a possibilidade de prova pericial, sendo importante a figura do perito em proteção de dados e informática, vejamos:

Art. 52. Caso seja deferida a produção de prova pericial, os peritos prestarão compromisso de bem e fielmente desempenhar o seu encargo, observando-se o seguinte:

   I – a Coordenação-Geral de Fiscalização definirá os requisitos relevantes para a instrução processual e os quesitos a serem respondidos pelo perito;

   II – o autuado poderá formular quesitos suplementares e requerer esclarecimentos ao perito; e

   III – a perícia poderá ser realizada por autoridade ou servidor da ANPD, especificamente designado para este fim pelo Conselho Diretor, ou de qualquer órgão público, ou por profissional objeto de Termo de Cooperação previamente celebrado, ou, ainda, por profissional especialmente contratado para tal fim, sendo possível ao interessado a indicação de assistente técnico.

Seja para comprovação técnica dos direitos dos titulares de dados, com analises de sistemas, repositórios, falhas, vulnerabilidades,  seja para assessorar empresas e agentes de tratamentos em processos de reporte e notificação de incidentes, ou mesmo em procedimentos investigativos, o perito em proteção de dados tem papel relevante, demonstrando, por exemplo, que a empresa não foi responsável pelo vazamento, o código/dados vazados não são tratados pela empresa, ocorreu fato de terceiro, ocorreu culpa exclusiva da vítima, ou mesmo demonstrando a robustez de seus códigos e sistemas, dentre outras constatações técnicas possíveis e de interesse das partes.

Assim, diante de um problema, incidente, ataque, litígio, ou vazamento de dados ou qualquer questão técnica ligada a proteção de dados pessoais, é imperioso preservar as evidências e buscar apoio de um perito em informática em proteção de dados, para procedimentos de coleta, preservação e análise técnica. A resposta a incidentes, que conte com um perito em informática em proteção de dados é, sem sombra de dúvidas, um procedimento que vai ao encontro das melhores práticas e pode ser decisiva para esclarecer o ocorrido, evitar penalidades e condenações.

Como contratar um perito em proteção de dados pessoais

A CyberExperts é consultoria especializada em computação forense, inteligência cibernética, perícia e auditorias em informática e proteção de dados e peritos digitais. Atuamos preventivamente ou em processos administrativos ANPD/Procon ou judiciais, para empresas e órgãos públicos na coleta, preservação e análise de evidências digitais, por meio de um rol de peritos com notória experiência profissional. Realizamos auditorias independentes de maturidade de controles de segurança digital e de conformidade. Profissionais com as principais certificações internacionais. Fale conosco (11) 3254-7616 ou acesso www.cyberexperts.com.br. Expertise, lealdade e ética. Conheça nosso curso de Perícia em Proteção de Dados Pessoais.

Contratar um perito digital particular: http://www.cyberexperts.com.br ou clique no botão do WhatsApp na página

José Antônio Milagre, perito forense digital, perito LGPD, perito e assistente técnico em informática, perito em proteção de dados, especialista em computação forense, analista de sistemas, técnico em processamento de dados, Pós Graduado em Gestão de Tecnologia da Informação, Mestre e Doutor em Ciência da Informação pela UNESP. Contato: [email protected] e (11) 3513-7844. Instagram @dr.josemilagre

Especialista em direito digital e proteção de dados, José Milagre, explica os riscos de exposição indevida de dados e fakenews na Internet e como pessoas e empresas podem se proteger e remover informações da rede, com 10 estratégias de atuação.

Danos catastróficos

É importante pensar que dados pessoais são, hoje em dia, considerados insumos para criminosos e fraudadores. Com estes dados, marginais podem criar contas, cadastros, contrair empréstimos, fazer compras, clonar chips, tomar perfis em redes sociais, cadastrar a pessoa em redes sociais sexuais, falsear identidade de alguém, além de inúmeras outras atividades que podem trazer inúmeros transtornos para o titular de dados e terceiros, sem contar o uso desabonador e vexatório, onde a vítimas poderá perder oportunidades de negócios, empregos, dentre outros.

Neste sentido, é possível falar ou cogitar em proteção de nossos dados pessoais, limpando-os da Internet? Notícias ou publicações com dados pessoais podem ser removidas? E falsas reclamações ou informações fake? Na verdade, é impossível vivermos sem que haja o compartilhamento de dados pessoais (ainda que inconscientemente), porém, podemos e devemos ter o controle de onde estes dados circulam e não podemos hesitar em agir caso estejam estampados para todo o mundo.

Não é bom que fiquem expostos em resultados de busca ou sites públicos dados financeiros, imagens antigas, de alta resolução, documentos, endereços, dados de familiares, vencimentos, dentre outras informações. No escritório especializado em direito digital, somos capacitados em gestão da reputação online (ORM), atuando com tools de última geração para detecção e procedimentos de remoção de conteúdos indevidos, atuando para empresas, políticos, personalidades, executivos, pessoas físicas e jurídicas em geral. Seja você uma pessoa pública ou não: Não é obrigado a conviver com exposição que pode lhe trazer danos morais, físicos e materiais, sempre que pesquisam por seu nome na Internet ou redes sociais.

Neste texto, selecionei algumas estratégias que podem ajudar nesta tarefa de manter-se seguro e sem dados pessoais ou desabonadores na Internet.

Mas, qual o problema?

Talvez, o principal problema sobre nossas informações pessoais na Internet seja o fato de que a maioria delas está lá sem a nossa autorização, à medida em que navegamos, compartilhamos informações na web, muitas vezes sem permissão ou de forma inconsciente. Estes dados podem ser coletados por mineradores, bots, crawlers e são agrupados, classificados e podem revelar informações sobre uma pessoa, preferências, status financeiro, doenças, interesses, posses, paradeiros, etc. Estas inferências podem ser usadas para golpes, crimes digitais, contra a honra e discriminação.

Dark web

Os dados vazados ou copiados atualmente vão parar em painéis feitos por crackers (cibercriminosos) na Darkweb e ficam à disposição para compras e aquisições. Pode-se comprar um ou centenas de registros. Quem compra, compra para aplicar golpes. Então, quando você recebe uma ligação do seu “gerente do banco” (bandido se passando por ele) e seus dados pessoais são confirmados ou ele sabia todas as suas informações, provavelmente ele se valeu destas fontes criminosas que fazem do mercado de registros e dados um negócio altamente lucrativo.

Como descobrir?

Um ponto de partida são os buscadores, que podem revelar indícios na web de superfície. É provável que ao digitar seu nome do Google encontre registros que sequer sabia que existiam, dados pessoais, informações falsas ou equivocadas, preferências, processos judiciais em sigilo, empresas no nome, reclamações falsas e outras informações que não deveriam ser públicas, para sua segurança e de seu negócio. Além disso, no escritório, atuamos com inteligência cibernética e investigações técnicas, de modo a identificar dados pessoais em repositórios não acessíveis por meios convencionais ou hospedados em serviços internacionais.

Dá para apagar tudo?

Apagar por completo a pegada digital é muito difícil, pois a cada dia estamos gerando mais e mais dados e “pedaços de informações”. Por isso, o monitoramento contínuo de exposição de dados pessoais ou dados corporativos sensíveis é fundamental, além do monitoramento da reputação, ataques indevidos ou falsas notícias e reclamações. Preparei opções para reduzir a exposição, com eliminação e controles sobre informações pessoais que aparecem sobre você na web.

Orientações preventivas

Dentre as estratégias para reduzir sua exposição digital e aumentar sua privacidade, posso citar dez essenciais:

1 Revise e exclua contas antigas em jogos ou em redes sociais. A ferramenta Mine® pode ajudar a você lembrar quais contas estão no seu nome/e-mail na Internet.

2 Revise configurações de privacidade de aplicativos e redes sociais, ativando controles de segurança que permitam que seus conteúdos só sejam vistos por amigos. Denuncie imediatamente contas fakes identificadas.

3 Aja imediatamente em face de sites indexadores que coletam dados públicos, de processos judiciais e fazem dossiês sobre pessoas. Não é porque o dado é público que ele pode ser usado de qualquer modo, inclusive para criação de perfis que possam te prejudicar, com a agregação de informações. Lembre-se que muitos sistemas processuais mantêm cópias de documentos de partes e dados sensíveis. Se for caso, peticione pedindo sigilo.

5 Jamais cadastre ou publique seu e-mail usado para autenticações bancárias em sites, redes sociais, blogs/fóruns na Internet. Prefira ter um e-mail privado, apenas para autenticação em bancos e fintechs. Cuidado com códigos via SMS para acesso a contas. Prefira sempre APPs autenticadores ou um e-mail seguro.

6 Limpe sempre os cookies e histórico de navegação, dificultando o rastreio virtual.

7 Troque o Google, que hoje totaliza 96% das pesquisas de usuários, por buscadores mais privados. Faça o mesmo com seu navegador. Hoje existem navegadores menos populares, mas muito mais seguros. Uma sugestão é o Duck Duck Go (https://play.google.com/store/apps/details?id=com.duckduckgo.mobile.android&hl=en_US&gl=US&pli=1) A consultoria de um privacy expert pode lhe orientar a criar ambientes seguros e privados, seja no âmbito pessoal ou empresarial.

8 Utilize uma VPN (Virtual Private Network), do mesmo modo, prejudicando a coleta de dados de navegação e o rastreio de suas atividades. Existem excelentes opções gratuitas. A minha indicação é a HotSpot Shield, acessível em https://www.hotspotshield.com/

9 Assine um sistema de gestão de reputação online ou vazamento de dados pessoais, monitorando em tempo real quando ocorrem, para que saiba rapidamente e aja para impedir que criminosos utilizem os dados ou causem danos. Uma plataforma gratuita que pode lhe dar inputs sobre dados vazados, contas em seu nome e outras informações, como chaves PIX criadas é o registrato, acessível em https://registrato.bcb.gov.br

10 Em caso de recusa, impossibilidade de remoção ou de identificação dos responsáveis, conte com um escritório de advocacia especializado em direito digital, para procedimentos especializados de identificação das ofensas e remoção de dados e informações falsas, desabonadoras ou prejudiciais, ou aplicação do direito ao esquecimento.

Aja imediatamente

A cada dia que os dados pessoais ou informações falsas e equivocadas permanecem no ar, maiores os riscos às pessoas, familiares e empresas. O escritório especializado em Direito Digital (http://www.direitodigital.adv.br) atua há mais de 15 anos e com expertise em remoção de dados pessoais, fakenews, informações equivocadas e descabidas da Internet. Além disso, atuamos com a apuração da autoria de boatos, calúnias, concorrência desleal, ofensas na Internet, mesmo que publicadas em domínios internacionais.

Temos parceria com a empresa de perícia digital CyberExperts (http://www.cyberexperts.com.br) e seu serviço Minha Imagem – Monitoramento de dados pessoais e exposição indevida da imagem. Com isso, oferecemos a clientes e empresas, monitoramento em tempo real de vazamentos, dados pessoais, informações inverídicas e boatos e imediatamente iniciamos procedimentos especializados, com objetivo de identificar responsáveis e remover os conteúdos, fazendo a gestão da reputação online de crises, com procedimentos técnicos e jurídicos.

Portanto, em tempo de dados pessoais como insumos de crimes, e de confiança cega no que “está na Internet”, adotar medidas para se proteger e atuar com segurança demonstra-se fundamental.

Canal Youtube

Você já conhece meu canal? No meu canal no Youtube você encontra inúmeros tutoriais e vídeos sobre como aprimorar sua privacidade e segurança digital. Acesse https://www.youtube.com/user/josemilagre/ e não deixe de se inscrever para ser avisado dos vídeos exclusivos semanais. Me siga no Instagram http://www.instagram.com/dr.josemilagre

José Milagre é Diretor de Forense Digital e Resposta a Incidentes da CyberExperts. Advogado e Perito Especialista em Segurança Digital, Resposta a Incidentes e Crimes Cibernéticos. Certificaçõs CIPM, CDPO IAPP, DPO EXIN, ISO 27701 Lead Implementer PECB, Graduação em Análise de Sistemas, Pós Graduado em Gestão de Tecnologia da Informação. Mestre e Doutor em Ciência da Informação pela Universidade Estadual Paulista UNESP, Presidente da Comissão de Direito Digital da OAB Barueri/SP.

“Estou sendo difamado e linchado na Internet! Como proceder? O que fazer e como produzir a prova técnica?”

Esta é uma das perguntas mais comuns que recebemos no escritório especializado em direito digital e crimes cibernéticos. É importante destacar que a Constituição Federal protege a liberdade de expressão, no entanto, este direito não é absoluto e pode ser restringido quando se caracteriza crimes contra a honra, como calúnia, injuria ou difamação ou mesmo conteúdos íntimos que são divulgados.

Pessoas podem ter desentendimentos comerciais, sofrerem processo ou cometerem danos e as vítimas tem direito de reclamação, opinião, o que não significa expor dados pessoais, intimidade, ameaças, ofensas, agressão a familiares e outras formas de linchamento e cancelamento, que destroem a honra e relações sociais e empresariais, gerando danos morais e materiais indenizáveis. Em muitos casos, pessoas sequer foram condenadas na justiça, mas na internet já foram, sem oportunidade de defesa. Posteriormente, podem ser absolvidas e amargurarem conviver com links, perfis falsos, e postagens ofensivas e caluniadoras, que precisam ser removidas.

O escritório JM&A Direito Digital é especializado em gestão de reputação online, crises, com adoção de medidas técnicas e jurídicas para identificação de ofensores, indenização, processo crime por ofensas e remoção de conteúdos ofensivos, dados pessoais, processos judiciais e conteúdo sensível da Internet, que podem ser utilizados para prática de crimes. Proteger a reputação online é fundamental, seja de uma empresa ou pessoa. Atuamos com o serviço Minha Imagem da CyberExperts, uma perícia especializada em questões ligadas a monitoramento de ofensas, focos de compartilhamento, etc.

Para empresas, negócios e pessoas que estão sendo vítima de linchamentos e ofensas na Internet, as recomendações técnicas são:

1) Inicialmente, salve e preserve todo o conteúdo, incluindo Links, URLS;

2) Encaminhe ao advogado especialista em Direito Digital e Difamação na Internet para avaliação se crime ou liberdade de expressão;

3)Sendo o caso, registre ata notarial das ofensas, o que evita a falta da provas caso as publicações sejam excluídas;

4) Registre a ocorrência policial, preferencialmente em delegacias especializadas;

Com estas medidas e assessorada por escritório especializado em crimes virtuais e difamação na Internet, deverão ser adotadas medidas jurídicas para remoção das ofensas, identificação dos usuários (caso a autoria seja incerta) e até mesmo medidas para proibição de menções sob pena de multa ou desobediência, bem como reparação pelos danos morais e materiais sofridos, sem prejuízo dos processos criminais cabíveis.

O Dano moral é caracterizado pelo abalo emocional e psicológico gerado. O Dano material representa perdas emergentes e lucros cessantes que o negócio ou pessoa tiveram diante das ofensas, fake news e difamações: Ex: Diante das ofensas, as vitimas tiveram que fechar os negócios, unidades, ou tiveram queda de clientes e faturamento, ou estão na iminência de quebrarem.

Agir rápido é fundamental. O Injusto não deve prevalecer. Nenhum direito é absoluto e o Judiciário tem condenado inúmeras pessoas por abusos no direito de reclamação, falsas reclamações e ofensas. A experiência demonstra que medidas jurídicas possuem efeito desencorajador para novos ataques infundados. É evidente que muitas pessoas, amparadas ou não pelo anonimato, só cessam suas atividades criminosas com o peso das decisões judiciais. Portanto, procure ajuda especializada. O Advogado José Milagre, especialista em crimes virtuais, preparou um vídeo onde explica como pessoas devem fazer e proceder diante de ofensas, crimes e difamações na Internet. Assista e já se inscreva no canal para receber conteúdo semanal.

 

Declarar suas bitcoins?

Você sabe como declarar criptoativos no imposto de renda? E não se trata de declarar somente bitcoins, mas qualquer criptoativo! No Brasil, o Ganho de capital obtidos com criptoativos são tributados sempre que as vendas totais superam R$ 35.000,00 no mês. E então aplica-se a tributação progressiva sobre os ganhos.

Tabela

Ganhos abaixo de R$ 5 milhões são tributados com alíquota de 15%, podendo-se chegar à alíquota de 22,%, em casos de ganhos acima de R$ 30 milhões. O pagamento deve ser feito até o último dia útil do mês seguinte ao mês das transações através de DARF. Se o DARF não foi pago, é importante usar o programa da Receita e pagar todos os meses passados. O próprio sistema calcula as multas.

Dedo duro!

Conforme regulamentação da Receita Federal IN 1888 (normas.receita.fazenda.gov.br/sijut2consulta/link.action?visao=anotado&idAto=100592), os agentes do setor de criptomoedas, como Exchange aqui estabelecidas e wallet, são obrigados a prestar informações para a Receita Federal. E se der inconsistência, o declarante pode cair na malha fina.

Posse

A posse dos criptoativos (independentemente de lucro ou ganho de capital) deve ser declarada se o valor for igual ou superior a R$ 5.000,00. Vale destacar que o valor não é cumulativo. Ou seja se você tem R$ 3.000,00 em Shiba Inu e R$ 2.000,00 Bitcoins, não precisa declarar.

Como declarar?

Para declarar, no programa da RFB, vá na ficha “bens e direitos”, “novo”, selecione o “grupo 8”, criptoativos e escolha o código das criptomoedas que tiver (Até mesmo NFTs já são tributadas). Posteriormente, informe se é titular ou dependente, localização e em “discriminação” detalhe a quantidade, modelo de carteira e como está custodiando as criptos. O campo de “Situação em 31/12/2022” deve informar o valor de aquisição e não de criptoativos. Se não tiver criptos no ano anterior, pode deixar o campo correspondente de 2021 em branco. Se o valor total de venda, excedeu R$ 35.000,00  você irá declarar o rendimento clicando na ficha no menu lateral “Rendimentos Sujeitos à Tributação Exclusiva/Definitiva”, clicar em  “Novo”,  e selecionar o rendimento, no caso,  “código 12 outros”. Na sequência, informe os dados de beneficiário/titular, CNPJ e nome da Exchange e na descrição informe “ganhos com criptoativos” e depois informe o valor total dos rendimentos e clique em “ok”.

Isento

Você também deve declarar rendimentos isentos. Se o valor não passou de R$ 35 mil, ele será isento. Então no programa da RFB, selecione, “Rendimentos Isentos e não tributáveis”, no menu que surgir selecione, “Código 05”, “Ganho de capital”. Por fim, informe o lucro total no campo “Valor Informado pelo contribuinte”.

Youtube

No meu canal no Youtube eu comento este e muitos outros temas ligados à inovação, tecnologia e segurança da informação. Acesse http://www.youtube.com/josemilagre Envie sua dúvida ou tema na área de tecnologia e  segurança digital para [email protected]

Advogado

Você precisa de assessoria jurídica tributária e patrimonial em criptomoedas. Nossa assessoria pode lhe ajudar. Entre em contato.

Início

No dia 27 de fevereiro foi publicado pela Autoridade Nacional de Proteção de Dados Pessoais o regulamento de dosimetria e aplicação de sanções administrativas. O regulamento estabelece quais os critérios serão analisados e considerados para aplicação de penas para aqueles que estiverem realizando tratamento irregular de dados pessoais.

Processo fiscalizatório

A Autoridade Nacional já havia estabelecido o processo administrativo e fiscalizatório, que prevê os processos ligados a autuação e produção de provas diante de uma denúncia ligada a tratamento irregular de dados.

Penalidades

A partir de agora, as penalidades previstas na LGPD já podem ser aplicadas às empresas e pessoas que façam tratamento de dados irregular. As multas podem chegar a R$ 50 milhões de reais, porém, como é sabido, com o regulamento de dosimetria, critérios transparentes são avaliados, antes que se aplique penalidades mais severas. A penas previstas são: Advertência; Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões, por infração; Multa diária; Publicização da infração; Bloqueio dos dados pessoais; Eliminação dos dados pessoais; Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação; Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período; Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. As penalidades também se aplicam a órgãos públicos, menos a de multa. As multas devem ser pagas até 20 dias após a notificação. As alíquotas são definidas de acordo com a natureza da infração, que pode ser leve, grave ou média.

Sem desculpas!

Não existem desculpas para que aqueles que não se adequaram. A Lei 13.709 é de 2018 e negócios tiveram um bom tempo para adequação até a aplicação da norma. Mais que isso, como faltavam os regulamentos, mais tempo foi concedido às empresas e negócios que tratam dados pessoais. Ao que parece, muitos negócios, de forma desavisada, acabaram por relaxarem em relação ao compliance, sobretudo diante da demora na fiscalização e regulamento de aplicação de penas. Acreditavam que “não ia dar em nada”. Mas este cenário mudou.

PROCON

Apesar de agora a Autoridade Nacional de Proteção de Dados ter tudo que precisa para fiscalizar e aplicar multas, os PROCONS de diversos estados, na proteção ao direito do consumidor, já atuam de forma incisiva e no recebimento de denúncias por violação a dados pessoais. Inúmeras empresas no Brasil já receberam penalidades altíssimas, por não respeitarem a Lei Geral de Proteção de Dados, e não criarem um sistema de gestão que demonstre conformidade.

ANPD começa julgar casos

Como o regulamento de dosimetria, a entidade começará julgar o estoque de processos. A ANPD já recebeu cerca de 7 mil denúncias e tem oito processos sancionadores e que irá apreciar. Na maioria das denúncias, pedidos de dados excessivos pelos e-commerces ou venda de dados pessoais.

Justiça também se movimenta

Independentemente, o Judiciário Brasileiro já conta com inúmeros processos ligados à violações de dados pessoais. Farmácias, bancos, prefeituras e outros figuram como Requeridos. No site da Associação Nacional de Profissionais de Privacidade de Dados é possível ver este radar.

Como denunciar

No site da ANPD é possível ainda fazer uma petição contra o controlador de dados (agente de tratamento), denunciar o descumprimento da LGPD ou comunicar incidentes de segurança. O site é https://www.gov.br/anpd/pt-br

Momento impulsiona PrivacyTechs

Diante da aplicação das penalidades, começou a corrida da adequação e isso tem motivado a criação de inúmeras PrivacyTechs, startups do ramo de tecnologia. Se a empresa realiza tratamento de dados pessoais, deve iniciar a adequação. O https://privacyoffice.com.br/ é uma startup interessante, que modulariza a adequação em áreas: a) Compliance, para empresas pouco maduras ou que não iniciaram o tratamento, b) Auditoria e Perícia, para negócios que precisam auditar controles implementados e efetividade do programa de proteção de dados, c) DPO as a service e time de resposta a incidentes, para empresas que querem terceirizar o encarregado de proteção de dados e a resposta a incidentes e d) Educação, que são treinamentos e palestras de conscientização. O site da Startup é https://privacyoffice.com.br/

Tome ciência!

O processo de fiscalização pode ser consultado em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021 e o regulamento de dosimetria em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077

No dia 27 de fevereiro foi publicado pela Autoridade Nacional de Proteção de Dados Pessoais o regulamento de dosimetria e aplicação de sanções administrativas. O regulamento estabelece quais os critérios serão analisados e considerados para aplicação de penas para aqueles que estiverem realizando tratamento irregular de dados pessoais.

Processo fiscalizatório

A Autoridade Nacional já havia estabelecido o processo administrativo e fiscalizatório, que prevê os processos ligados a autuação e produção de provas diante de uma denúncia ligada a tratamento irregular de dados.

Penalidades

A partir de agora, as penalidades previstas na LGPD já podem ser aplicadas às empresas e pessoas que façam tratamento de dados irregular. As multas podem chegar a R$ 50 milhões de reais, porém, como é sabido, com o regulamento de dosimetria, critérios transparentes são avaliados, antes que se aplique penalidades mais severas. A penas previstas são: Advertência; Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões, por infração; Multa diária; Publicização da infração; Bloqueio dos dados pessoais; Eliminação dos dados pessoais; Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação; Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período; Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. As penalidades também se aplicam a órgãos públicos, menos a de multa. As multas devem ser pagas até 20 dias após a notificação. As alíquotas são definidas de acordo com a natureza da infração, que pode ser leve, grave ou média.

Sem desculpas!

Não existem desculpas para que aqueles que não se adequaram. A Lei 13.709 é de 2018 e negócios tiveram um bom tempo para adequação até a aplicação da norma. Mais que isso, como faltavam os regulamentos, mais tempo foi concedido às empresas e negócios que tratam dados pessoais. Ao que parece, muitos negócios, de forma desavisada, acabaram por relaxarem em relação ao compliance, sobretudo diante da demora na fiscalização e regulamento de aplicação de penas. Acreditavam que “não ia dar em nada”. Mas este cenário mudou.

PROCON

Apesar de agora a Autoridade Nacional de Proteção de Dados ter tudo que precisa para fiscalizar e aplicar multas, os PROCONS de diversos estados, na proteção ao direito do consumidor, já atuam de forma incisiva e no recebimento de denúncias por violação a dados pessoais. Inúmeras empresas no Brasil já receberam penalidades altíssimas, por não respeitarem a Lei Geral de Proteção de Dados, e não criarem um sistema de gestão que demonstre conformidade.

ANPD começa julgar casos

Como o regulamento de dosimetria, a entidade começará julgar o estoque de processos. A ANPD já recebeu cerca de 7 mil denúncias e tem oito processos sancionadores e que irá apreciar. Na maioria das denúncias, pedidos de dados excessivos pelos e-commerces ou venda de dados pessoais.

Justiça também se movimenta

Independentemente, o Judiciário Brasileiro já conta com inúmeros processos ligados à violações de dados pessoais. Farmácias, bancos, prefeituras e outros figuram como Requeridos. No site da Associação Nacional de Profissionais de Privacidade de Dados é possível ver este radar.

Como denunciar

No site da ANPD é possível ainda fazer uma petição contra o controlador de dados (agente de tratamento), denunciar o descumprimento da LGPD ou comunicar incidentes de segurança. O site é https://www.gov.br/anpd/pt-br

Momento impulsiona PrivacyTechs

Diante da aplicação das penalidades, começou a corrida da adequação e isso tem motivado a criação de inúmeras PrivacyTechs, startups do ramo de tecnologia. Se a empresa realiza tratamento de dados pessoais, deve iniciar a adequação. O https://privacyoffice.com.br/ é uma startup interessante, que modulariza a adequação em áreas: a) Compliance, para empresas pouco maduras ou que não iniciaram o tratamento, b) Auditoria e Perícia, para negócios que precisam auditar controles implementados e efetividade do programa de proteção de dados, c) DPO as a service e time de resposta a incidentes, para empresas que querem terceirizar o encarregado de proteção de dados e a resposta a incidentes e d) Educação, que são treinamentos e palestras de conscientização. O site da Startup é https://privacyoffice.com.br/

Tome ciência!

O processo de fiscalização pode ser consultado em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021 e o regulamento de dosimetria em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077

A popularização das criptomoedas tem chamado a atenção dos criminosos. O FBI já informou que as criptos tem se tornando o meio de pagamento preferencial para a maior parte dos scams (golpes digitais).

Nos Estados Unidos, um em cada cinco americanos já utilizam as criptomoedas, o que representa algo em torno de 59 milhões de pessoas. Segundo a FTC, nos primeiros quatro meses de 2022, mais de 46.000 pessoas reportaram perdas que somam 1 bilhão em fraudes com criptomoedas.

Os reguladores americanos já advertiram os bancos que lidam com criptomoedas sobre os vetores de riscos. Dentre alguns motivos que favorecem a fraude, podemos citar a ausência de uma entidade central para análise e bloqueio de fraudes, a impossibilidade de reversão de transações e o grau de conhecimento das pessoas, que ainda não estão familiarizadas com a tecnologia.

No Brasil, igualmente, as fraudes com criptomoedas estarão em alta. Listamos abaixo os principais golpes com criptomoedas para ficar atento e evitar ser vítima:

• Golpes de investimento: São os golpes que promete, que a pessoa irá ficar rica, sem qualquer risco, ou grandes rentabilidades. As vítimas são assediadas por meio de redes sociais ou mesmo aplicativos de relacionamento. As vítimas são motivadas a comprar criptomoedas e conectar aplicativos maliciosas na wallet, permitindo o furto. Em outros casos, transferem voluntariamente para a carteira do atacante, acreditando na estória contada.
• Golpes de romance: Após se conectarem com as vítimas e ganharem a confiança em aplicativos de encontros, os contatos informam que são especialistas em investimentos e convencem a vitima a transferir criptos, motivadas por promessas de bons lucros e pela paixão.
• Golpes da falsificação de identidade ou emprego: Criminosos se passam por governos, empresas ou bancos e convencem usuários a comprar criptomoedas emitidas por estas empresas. Estas criptomoedas são normalmente falsas. Pessoas chegam a pagar criptos, igualmente, para conseguir uma oportunidade de trabalho ou emprego.
• Golpes Rug Pull: Os criminosos propõem à vitima uma nova oportunidade em criptomoedas ou tokens não fungíveis (NFTs) que precisam de investimento inicial. Quando os iniciadores do projeto recebem os fundos, desaparecem deixando os investidores sem qualquer retorno.
• Phising Scam: O Phishing scam se vale de e-mails e mensagens com links maliciosos para coletar a key de wallets ou mesmo permitir conexões diretas de uma aplicação descentralizada na wallet vítima, fazendo com que ela perca seus tokens.
• Social Media Scam: Os criminosos também se valem de anúncios patrocinados, postagens ou mensagens nas redes sociais para lesar vítimas. As plataformas mais usadas são Facebook, Whatsapp e Telegram.
• Pirâmides ou Esquemas Ponzi: Esquemas de pirâmides são ilegais e via de regra os fundos dos investidores recentes vão para os antigos e não ocorre a sustentação.
• Golpes de upgrades: Os criminosos enviam para as vítimas falsos anúncios de plataformas, exchanges ou wallets de “atualização”. Quando a vitima instala o “upgrade”, pode coletar as credenciais de acesso.
• Sim-swap: Embora não seja um golpe específico de criptomoedas, este golpe é listado considerando que os criminosos, a partir do momento que conseguem clonar o celular da vítima, vão tentar acessar ou resetar as senhas de exchanges e wallets, já que comumente tem acesso ao segundo fator de autenticação.
• Falsas wallets ou exchanges: Usuários menos experientes podem ser conduzidos a investirem em uma “oportunidade” de uma Exchange, porém estas oportunidades não existem. Outra submodalidade é o golpe do pool de mineração, onde criminosos usam a identidade visual de grandes exchanges para roubar as vítimas. Em alguns casos as vítimas serão conduzidas a acessar ou baixar uma aplicação que se conecta na wallet e tira todo o dinheiro.

Algumas orientações são muito importantes e podem evitar que pessoas sejam vítimas destes crimes digitais envolvendo criptomoedas:

1. Somente fraudadores prometem retornos surreais e lucratividade, já que não existem garantias em investimentos com criptomoedas;
2. Nenhuma entidade irá requerer que você faça compra de criptomoedas;
3. Não confunda relacionamentos com investimentos. Se um relacionamento amoroso está lhe pedindo para investir em cripto, fuja;
4. O governo ou empresas não tem legitimidade para lhe mandar e-mails ou mensagens para você comprar criptomoedas;
5. Nunca clique em links que receber sobre o tema em mensageiros e redes sociais;
6. Nenhuma empresa pede criptomoedas para que você participe de processo seletivo;
7. Jamais conecte uma aplicação de investimentos na sua wallet, sem uma análise detalhada;
8. Nunca pague mais criptomoedas para ter direito a “sacar” o investido ou “roubado”;
9. Sempre cheque o endereço de destino colado ou lido via qr-code antes de transferir criptos;
10. Ative sempre os níveis máximos de segurança e privacidade de sua wallet ou Exchange.

Caso tenha sido vítima, preserve todas as provas, registre a ocorrência e procure um advogado especialista em criptomoedas para que se possa seguir os procedimentos jurídicos visando responsabilização civil e reparação de danos.

José Antonio Milagre, PhD. Advogado especialista em Crimes Cibernéticos. Diretor de Forense Digital e Resposta a Incidentes da CyberExperts. Perito Especialista em Segurança Digital, Resposta a Incidentes e Crimes Cibernéticos. Certificações CIPM, CDPO IAPP, DPO EXIN, ISO 27701 Lead Implementer PECB, Graduação em Análise de Sistemas, Pós Graduado em Gestão de Tecnologia da Informação. Mestre e Doutor em Ciência da Informação pela Universidade Estadual Paulista UNESP, Presidente da Comissão de Direito Digital da OAB Barueri/SP.

Site: https://www.direitodigital.adv.br
Youtube: http://www.youtube.com/josemilagre

A Amazon anunciou desligar mais de 18 mil funcionários. As demissões em massa nas Big Techs já atingem cerca de 50 mil pessoas. Além da Amazon, Google e Microsoft também enxugam custos na proporção da desaceleração da economia global. A Alphabet, controladora do Google, anunciou a demissão de aproximadamente 12 mil funcionários. A Microsoft, por sua vez, comunicou o desligamento de 5% do seu quadro de colaboradores, algo em torno de 10 mil profissionais. Soma-se a estas empresas, Meta, Salesforce, Twitter, Cisco, dentre outras. Mark Zuckerberg anunciou, no final de 2022, a demissão de mais de 11 mil funcionários.

Segundo o portal Layoffs, em 2022 foram demitidos 154 mil profissionais de tecnologia. As demissões em massa das Bigtechs já atingem 50 mil pessoas. O site Layoffs.fyi, acompanha os cortes nas empresas de tecnologia e a todo momento mais informações são adicionadas. O site indicou que por dia, 1,6 mil colaboradores de TI são demitidos.

A justificativas são similares: Realidades econômicas diferentes entre o momento pandêmico e o atual (na pandemia ocorreram mais contratações para atender a demanda digital) e corte de custos ou “enxugar despesas”. As empresas de tecnologia da informação esclarecem que clientes aceleraram seus gastos digitais na pandemia, só que tudo mudou. A alta nos juros americanos também é apontada como justificativa para as demissões. Empresas de tecnologia demandam muito capital para inovar e isso ficou dificultado, logo, tiveram de tirar receita de outras fontes.

No Brasil, a PagSeguro, que inclui a divisão Pagbank, demitiu 7% do seu quadro de funcionários, o equivalente à 500 pessoas, sob a justificativa de ajustes de estrutura.  Os cortes também podem impactar as startups. A Ebanx, empresa brasileira de tecnologia, anunciou em 2022 a demissão de cerca de 20% dos seus funcionários. E a lista de empresas não para de aumentar.

A demissão em massa ou dispensa coletiva é algo muito delicado e impacta na vida de colaboradores e suas famílias. O RH precisa seguir alguns protocolos. Para que seja considerada em massa, deve se dar ao mesmo tempo, com motivo único e com base na redução de quadros. No entanto, desde 2017, as empresas só poderiam realizar demissões em massa após negociação com Sindicato, de modo a diminuir os efeitos que o desligamento pode causar. Ainda, os Sindicatos têm direito de participar das negociações, embora não possam impedir as demissões.

Os mesmos direitos do desligamento individual sem justa causa tem os que forem demitidos em massa no setor de tecnologia, sendo eles:

• multa de 40% do FGTS;
• saldo de salários;
• aviso-prévio indenizado;
• décimo terceiro salário proporcional;
• férias proporcionais e vencidas;
• seguro-desemprego.

Dependo da situação, pode-se também caracterizar o salário família e o recebimento pelas horas armazenadas em bancos de horas. Além disso, assim como muitos profissionais de outras áreas, os profissionais de TI têm o direito à “desconexão” e a obrigatoriedade de uso de equipamento, notebook ou celular, fora do horário de trabalho, pode caracterizar a hora de sobreaviso.

De acordo com convenção do SINDP, o banco de horas pode ser concedido até 120 (cento e vinte) dias a contar da prestação do serviço extraordinário. E caso não seja concedido dentro do prazo estabelecido, o empregador deverá pagar as horas extras realizadas.

Importante destacar que através da Lei 12.551/11 ficou estabelecida a equiparação do teletrabalho (home office) à função exercida de maneira pessoal e direta. A Lei 14.442/2022 regulamenta o teletrabalho. O trabalho remoto deverá constar do contrato de trabalho. A MP 1108 estabeleceu ainda a possibilidade do regime por produção e não somente o de controle de jornada e que os profissionais em home office recebam os equipamentos ou possam ser reembolsados com auxílios adicionais, como conta de energia, maquinário, softwares, ou o chamado “kit home office” (envolvendo cadeira, mouse, monitor, etc.). Lembrando que horas extras continuam valendo em home office, se a modalidade de contrato não for por atividade.

Dado de uma pesquisa denominada Pulso, informou que apenas 16,2 dos profissionais de TI são contratados formalmente, o que gera a precarização dos empregos no Brasil. Para tentar burlar a legislação e reduzir gastos, algumas empresas de TI impõem este tipo de contratação, com um falso contrato de prestação de serviços, compelindo trabalhadores a abrirem um CNPJ. No entanto, caracterizada subordinação, pessoalidade, onerosidade e não eventualidade, este trabalhador de TI pode ter reconhecido seu vínculo trabalhista através de uma ação judicial, com direito à anotação na carteira e todas as verbas reflexas e inerentes.

O escritório José Milagre & Associados, especializado em Direito Digital, pesquisa diariamente os desafios do trabalho tecnológico e seus reflexos nos direitos e fica à disposição para o esclarecimento de dúvidas.

José Antonio Milagre, PhD. Advogado especialista em Crimes Cibernéticos. Diretor de Forense Digital e Resposta a Incidentes da CyberExperts. Perito Especialista em Segurança Digital, Resposta a Incidentes e Crimes Cibernéticos. Certificações CIPM, CDPO IAPP, DPO EXIN, ISO 27701 Lead Implementer PECB, Graduação em Análise de Sistemas, Pós Graduado em Gestão de Tecnologia da Informação. Mestre e Doutor em Ciência da Informação pela Universidade Estadual Paulista UNESP, Presidente da Comissão de Direito Digital da OAB Barueri/SP.

Site: https://www.direitodigital.adv.br
Youtube: http://www.youtube.com/josemilagre

2023 será o ano das fraudes com criptomoedas. Saiba como se proteger de um dos principais golpes ligados a criptoativos.

A cada dia mais e mais pessoas são atraídas para investimentos envolvendo criptomoedas, ativos digitais negociados em Exchanges ou entre seus adquirentes na modalidade p-2-p. São inúmeros os atrativos e apelos para que pessoas convertam seu dinheiro em moedas virtuais e comecem a participar de esquemas de investimento que prometem altíssimas rentabilidades.

Dentre os golpes e esquemas fraudulentos que crescem silenciosamente e furtam milhões por dia, estão os golpes ligados aos “pools de minerações”. Em síntese, nos pools o investidor é “mentorado” por um especialista, que lhe convida a converter moeda fiduciária em uma moeda virtual, comumente USDT (Tether) e a partir daí, investir no POOL. O POOL atuaria com as criptos em atividades de mineração, que seriam lucrativas e gerariam grandes dividendos para seus investidores.

Uma das maiores corretoras do mundo, a BINANCE, por exemplo, muito usada no Brasil, possui seu serviço de Mineração (Acessível em “Finanças, Binance Pool”), onde é possível colocar o processamento de placa de vídeo para mineração, recebendo em criptomoedas para isso.

Comumente é feito um download de um app de mineração (como MBMiner) e insere-se a URL de mineração no arquivo de texto ligado ao referido programa, inserindo-se também o hash da wallet do minerador, sendo que a mineração já começa a atuar e onde o usuário já pode ir acompanhando em estatísticas o quanto minerado e os ganhos em Ethereum, que podem ser transferidos da conta pool para a carteira spot do usuário.

Por outro lado, cientes deste aspecto, surgem os golpes onde criminosos irão usar a identidade visual de grandes Exchanges e convencer investidores a ingressarem em “lucrativos pools de mineração”. Lamentavelmente, muitas vezes estes bandidos chegam até as vítimas por meio de dados pessoais vazados das próprias Exchanges e fazem abordagens do tipo “Sei que você já é cliente nosso e tem uma wallet conosco”.

Assim, insere-se a vítima em grupos de WhatsApp ou Telegram, ou ainda, em alguns casos, adicionam vitimas a partir de aplicativos de relacionamento, como Tinder, Happn, dentre outros e lá se apresentam como agentes de investimentos das Exchanges.

A abordagem é sempre mesma, com algumas derivações: “Sou especialista em investimentos e quero lhe mostrar uma oportunidade de multiplicar seu dinheiro com piscina de mineração de criptomoedas”. Inicialmente, para ganhar a confiança da vítima, pedem para ela inserir uma pequena quantia financeira, momento em que um lucro rápido é obtido e devolvido sem maiores problemas, o que desarma qualquer desconfiança da vítima.

Confiante se tratar de uma mega oportunidade, a vítima é condicionada a criar uma carteira TrustWallet, Crypto.com ou em outra empresa e inserir USDT, para que possa dedicar à mineração. Em dado momento, o falso mentor informa que passará o link da mineração (aplicativo) pois é ele que permite acompanhar os ganhos e até mesmo solicitar o resgate. A vítima, então, insere o link no browser da wallet, que se conecta à mesma.

A partir deste momento, a vítima começa a ver rendimentos no aplicativo fraudulento, vendo o saldo aumentado. No entanto, sua wallet vai sendo esvaziada, já que o smart contract executado com o acesso ao link dá permissões para remoção de fundos.

Ao tentar sacar os valores, a vítima se depara com desculpas de que precisa pagar mais, ou pagar impostos e o dinheiro nunca é liberado. Inúmeras desculpas são ditas pelos fraudadores, até mesmo a de que a vitima está tendo muitos rendimentos e precisa pagar mais pois se tornou “vip”. São milhões de dólares e reais em ativos criptográficos roubados em wallets como Coinbase Wallet, TrustWallet, Metamask, etc.

Para se proteger, é muito importante desconfiar de contatos que lhe adicionam “do nada” ou a partir de apps de relacionamento e lhe convide para ingressar em pools de mineração. Jamais acesse links ou conecte carteiras auto-custodiadas a sites desconhecidos. Nunca mantenha ativos de alto valor em carteiras usadas para interagir com DAPPS (aplicações descentralizadas).

Em algumas Exchanges, é possível ativar um verificador de aprovação de token para validar a permissão real em carteiras e revogar aprovações que você não autorizou. Você pode conferir se um token é confiável em https://etherscan.io/tokenapprovalchecker inserindo o endereço informado pelo suposto “mentor”. Cuidado com contatos de supostos “mineradores profissionais de criptomoedas”.

Uma estratégia interessante é a criação da Vaults associadas à sua wallet, que evitam que contratos removam os fundos ou adicionam necessidades adicionais para que isso seja feito. Infelizmente, muitas wallets e exchanges “by default” não oferecem aos consumidores o mínimo em segurança que deveriam oferecer para evitar golpes desta natureza. Estão, no Brasil, para prestar serviços e lucrar, mas não possuem nenhuma medida de segurança da informação, ligada a conscientização, técnica ou administrativa para reduzir o número de clientes que são vitimados.

Pior, os criminosos usam descaradamente dados, logomarca, identidade das empresas em grupos e perfis, que por sua vez, se mantém sem silêncio. Neste sentido, não se pode descartar a responsabilidade civil destas empresas em reparar os clientes que forem lesados a partir do furto de criptomoedas em Exchanges e Wallets. Ao contrário de uma instituição bancária, por exemplo, que pode bloquear uma chave PIX suspeita, cautelarmente, ou exigir outros critérios de segurança para a aprovação da transação, muitas wallets falham nos processos simples que poderiam evitar os golpes e já são responsabilizadas judicialmente.

Um exemplo de controle que deveria se esperar de uma Exchange seria avaliar se o link representa um scam, quando o cliente aplicasse o mesmo em sua wallet, tarefa simples que poderia mostrar as reais permissões do contrato e alertar o consumidor.

Nada é feito pela maioria das responsáveis pela custódia de criptomoedas. De outra ordem, as Wallets deveriam bloquear transações que fogem ao comportamento “padrão” do cliente, o que não é feito. Além disso, poderiam observar localidade, endereços IPS, dados do dispositivo e outras indicações atípicas para aquela conta e imediatamente bloquear o furto.

Por outro lado, no Brasil, estas empresas (exchanges e wallets) se equiparam a instituições financeiras e, neste sentido, o Judiciário aprecia casos de responsabilidade civil destas empresas, que de sua parte, não realizaram ou implementaram controles mínimos para evitar golpes, cada dias mais comuns, tendo sua parcela de responsabilidade. Já existem condenações destas empresas, sobretudo por prestarem um serviço defeituoso, nos termos do Código de Defesa do Consumidor:

Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.

• 1° O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais:

I – o modo de seu fornecimento;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – a época em que foi fornecido.

Importa dizer que o crime praticado pelos que falseiam o pool é fraude eletrônica, previsto na Lei 14.155/2021, com pena que pode chegar a oito anos de reclusão. Caso tenha sido vítima, não utilize, sob nenhuma hipótese, a wallet comprometida, salve todas a provas dos contatos recebidos, e procure um jurídico e advogado especializado em criptomoedas para rastreio forense das criptomoedas, quebra de sigilo dos contatos dos envolvidos e adoção das medidas de responsabilização das aplicações e atores envolvidos, visando o ressarcimento dos fundos.

José Antonio Milagre, PhD. Advogado especialista em Crimes Cibernéticos. Diretor de Forense Digital e Resposta a Incidentes da CyberExperts. Perito Especialista em Segurança Digital, Resposta a Incidentes e Crimes Cibernéticos. Certificações CIPM, CDPO IAPP, DPO EXIN, ISO 27701 Lead Implementer PECB, Graduação em Análise de Sistemas, Pós Graduado em Gestão de Tecnologia da Informação. Mestre e Doutor em Ciência da Informação pela Universidade Estadual Paulista UNESP, Presidente da Comissão de Direito Digital da OAB Barueri/SP.

Site: https://www.direitodigital.adv.br
Youtube: http://www.youtube.com/josemilagre

Tributação do Metaverso e NFTS. O que você precisa saber a respeito dos impostos e dos ativos digitais

O que é metaverso ?

As novas tecnologias proporcionaram a criação de metaversos, que transformaram a Internet em uma experiência de imersão, com pessoas reais representadas em avatares, realizando negócios, como compra de ativos digitais, terrenos, prestação de serviços e demais atividades. Trata-se de um mundo virtual em que pessoas se conectam por meio de realidade virtual e aumentada.

Tendência!

Um estudo da Gartner revela que até 2026, uma em cada quatro pessoas (25%) passará pelo menos menos uma hora por dia nos metaversos, realizando atividades como trabalho, compras, educação, lazer, serviços, dentre outras.

Tecnologias convergentes

Dentre as tecnologias que se integram ao metaverso ou são base, temos a blockchain, criptomoedas e tokens não fungíveis, os chamados NFTs. Sob o aspecto econômico, no entanto, sabemos que em se havendo relações que tenham fato gerador, poderá existir a incidência de tributos. No entanto, sabemos que as Leis do Brasil não estão preparadas para esta temática e nem mesmo a reforma tributária cuida destes aspectos.

ICMS ou ISS?

Haveria a incidência de ICMS (Imposto sobre Circulação de Mercadorias e Serviços) na venda de itens e artigos virtuais no metaverso? Ou mesmo, os Municípios, poderiam instituir impostos sobre serviços prestados nas plataformas? Na Resolução de Consulta COSIT 214/2021  a Receita Federal entendeu que as transações realizadas no metaverso devem ser objeto de tributação por regras gerais do IRPF. A mesma consulta trata como compra e venda a permuta de criptoativos, o que é questionável pois nem sempre trocar um criptoativo por outro acarretará acréscimo patrimonial ao contribuinte.

Desafios sobre terrenos virtuais

E as compras de terrenos virtuais? Poderíamos classificar como imóvel? Licenciamento? Prestação de serviços? Ou apenas ativos digitais? O tema é arenoso e a OCDE (Organização para a Cooperação e Desenvolvimento Econômico) já discute tributação para bens virtuais. Seja como for, analisar a tributação de criptomoedas é algo que deve considerar, além da natureza jurídica dos negócios e sujeitos envolvidos, duas categorias de ativos.

Criptomoedas x NFTs

Os terrenos e itens virtuais podem ser comprados com criptomoedas, mas normalmente são transferidos por meio de NFTS, tokens não fungíveis. No que diz respeito a criptomoedas, a IN 1888/19 da Receita Federal já as define como um “ativo financeiro”, sendo que o contribuinte detém o dever de declarar e recolher IR sobre ganho de capital com alienação com lucro.  Por outro lado, quando estamos falando de NFTs, a despeito de serem tokens, não são fungíveis e nos metaversos podem ser usados para provar propriedade de um bem digital ou de uma fração, por meio de um registro único e indelével. A Receita Federal já compreende NFT como um criptoativo, mas o desafio é enorme, pois ao contrário das criptomoedas, uma NFT não é facilmente mensurada. Deste modo, em que pese uma NFT possa futuramente ser considerada um bem digital, o desafio é de avaliação. Posso comprar uma NFT hoje por R$ 100 e daqui a um ano ela estar a valer R$ 1.000.000,00.

Domicílio ou competência para tributar a propriedade de terrenos?

Outro ponto importante a se considerar em projetos de metaversos são localidades com cenários regulatórios mais seguros ou definidos. Se um terreno é vendido e alugado por uma plataforma, a renda é obtida na jurisdição dos servidores da plataforma ou da sede plataforma? Ao que parece, a tributação ocorreria na sede, mas muitos pontos omissos ainda carecem de análise e alguns Estados americanos começam a se posicionar.

Pessoas Jurídicas

Para pessoas jurídicas, algumas teses novas podem surgir, como por exemplo, a permissão na lei tributária que despesas consideradas operacionais necessárias ao desenvolvimento de atividades empresariais do contribuinte sejam deduzidas do IRPJ, o que poderia se estender ao metaverso em uso por empresas.

Cenário novo e em constante mudança

Como se vê, na ausência de regulamentação clara e em um cenário de insegurança, serão os profissionais da área, advogados especializados em tributário, digital e criptomoedas, que terão papel relevante nos debates e discussões sobre os possíveis enquadramentos dos modelos de negócios centrados em metaversos e ativos digitais. Por isso, estruturar um projeto ou negócio com base em metaverso e tokens deve preceder um estudo tributário na busca de melhores caminhos para que se evite erros que possam implicar em multas, inviabilidade do negócio e outras penalidades.

A importância de um advogado especialista caso tenha sido vítima de um crime ou golpe na Internet. 

• Podemos afirmar que a internet é um lugar seguro?

Definitivamente a Internet oferece riscos e considerando que as pessoas estão mais online e muitas vezes sem preparos com a segurança digital. A criminalidade cibernética vem aproveitando inúmeras vulnerabilidades para lucrar, fraudando e aplicando golpes.

• O que faz um crime ser classificado como cibernético?

Crime cibernético é qualquer delito cometido contra ou através de ativos informáticos. É um fato típico, antijurídico, culpável e cometido por meio da tecnologia da informação.

• Existe alguma legislação que proteja o cidadão de crimes cibernéticos?

Sim, no Brasil desde 2012 temos Lei 12.737, Lei Carolina Dieckmann e recentemente, em 2021, tivemos a edição da Lei 14.155 que endureceu as penas para os crimes cibernéticos, incluindo a fraude eletrônica, e invasão de dispositivo informático.  No Brasil, aquele que comete fraude por meio de dispositivo eletrônico ou informático, conectado ou não à rede de computadores, com ou sem a violação de mecanismo de segurança ou a utilização de programa malicioso, ou por qualquer outro meio fraudulento análogo, pode responder por uma pena de até 8 anos de reclusão.

• Quais são os casos mais usuais em relação aos crimes cibernéticos?

Os crimes contra o patrimônio cresceram assustadoramente, dentre eles o furto mediante fraude, o estelionato e a fraude eletrônica. Também temos delitos contra honra, como calúnia, injúria e difamação. Outro crime bem cometido é o stalking, trazido pela Lei 14.132/2021, onde o agente criminoso persegue alguém, reiteradamente e por qualquer meio, ameaçando-lhe a integridade física ou psicológica, restringindo-lhe a capacidade de locomoção ou, de qualquer forma, invadindo ou perturbando sua esfera de liberdade ou privacidade. Os golpes a cada dia se valem de dados pessoais e as quadrilhas cada vez mais estruturadas.

• Caso o cidadão seja vítima de crime cibernético, quais são as medidas que precisam ser tomadas?

De imediato, deve registrar todas as provas, não apagar nenhum conteúdo e registrar a ocorrência. Em casos de crimes financeiros, notificar a Instituição bancária o mais rápido possível. É importante buscar ajuda de um advogado especializado em crimes cibernéticos e fraudes digitais para receber as orientações adequadas e providenciar a adoção de medidas visando a reparação pelos danos causados ou responsabilização do agressor.