Vazamentos de dados: empresas devem informar clientes em caso de risco
Saiba o que fazer e como se proteger
Pelo mundo, incluindo o Brasil, os vazamentos de dados têm sido frequentes. Os comunicados públicos de empresas que alertam sobre vazamentos, mais do que boa vontade, é uma exigência legal em diversos países que possuem leis de proteção de dados, seguindo uma tendência que veio para ficar: a transparência das informações.
Um dos ataques de grande magnitude mais recentes foi anunciado em 10 de outubro, pela Air Europa, que admitiu ter sido atingida por uma violação de sistema de cartão de crédito, sem revelar o número de clientes afetados. Neste mês, a 23andMe – empresa de testes genéticos – também admitiu uma quantidade não especificada de informações de perfis de clientes vazadas. No mês passado, a Sony confirmou o vazamento de dados de 6,7 mil funcionários da divisão responsável pelo PlayStation. Situação parecida ocorreu com a MGM Resorts.
No Brasil, os casos também avançam. Em 6 de outubro, a Agência de Tecnologia da Informação e Comunicação da UFMS (Universidade Federal de Mato Grosso do Sul) identificou um possível acesso não autorizado a dados pessoais coletados pelos sistemas de compartilhamento de arquivos durante um ataque cibernético. O Banco Central do Brasil também divulgou o vazamento de 239 chaves Pix de clientes de uma empresa de pagamentos – o quinto vazamento de dados desde o lançamento do sistema, em novembro de 2020. O mesmo aconteceu com informação do Auxílio Brasil e com o Instituto de Assistência ao Servidor Público Estadual de São Paulo (IAMSPE), entre outras inúmeras situações.
Segundo explica o Doutor em Direito Civil e especialista em Privacidade e Proteção de Dados, Luiz Fernando Plastino, esse tipo de vazamento de dados ocorre por acidente ou pela atuação de alguém mal-intencionado. “Ataques diretos de hackers explorando vulnerabilidades são relativamente pouco comuns, sendo que a maioria dos vazamentos é possibilitada por falhas na configuração de redes ou serviços ou realizado por engenharia social, em que alguém tenta fazer com que um empregado ou mesmo um diretor da empresa clique em um link para abrir brechas de entrada no sistema ou, então, revele informações que ajudem na invasão”, explica o advogado, que integra a equipe do escritório Barcellos Tucunduva Advogados (BTLAW).
Além da obrigação, prevista em lei, de informar incidentes à Autoridade Nacional de Proteção de Dados (ANPD), as empresas também precisam alertar seus clientes em determinadas situações. “A LGPD traz a obrigação de informar as pessoas afetadas quando o vazamento de dados pessoais pode gerar risco ou dano relevante, mas outras regulamentações setoriais, como no caso do PIX, podem obrigar uma empresa a comunicar vazamentos mesmo se, em tese, não houver esse risco”, esclarece Plastino.
Mas como monitorar e saber se meus dados foram vazados? O advogado explica que é possível utilizar serviços que procuram vazamentos de dados em tempo real. “Por exemplo, os assinantes de produtos do Google podem criar alertas para o caso de serem identificados dados vazados; o site HaveIBeenPwned também possibilita buscas gratuitas com base no endereço de e-mail”.
Luiz Fernando Plastino orienta que os usuários cuidem de sua própria privacidade. “No fim das contas, não há muito o que fazer depois que os dados vierem a público, resta cuidar da própria privacidade. As pessoas precisam se conscientizar de seus direitos, ler as políticas de privacidade, conhecer as empresas que querem obter os seus dados e evitar entregar os seus dados quando eles forem desnecessários ou quando a empresa que os solicitou tiver práticas inconsistentes de proteção de dados, ou um histórico de vazamentos em grande quantidade ou mal endereçados”, orienta.
Para que as empresas cuidem melhor de seus dados, elas precisam investir em medidas de proteção, como testes de invasão, monitoramento de novas ameaças, adoção de equipamentos e programas específicos como firewalls e anti-malware, além de conscientização e treinamento de equipes. “Tanto para evitar que sejam vítimas de engenharia social ou que causem a exposição acidental dos dados, como também para que saibam como agir de forma rápida e efetiva para interromper eventuais vazamentos e mitigar os seus efeitos”, pontua Plastino.
Caso uma pessoa receba a informação de que teve seus dados vazados, o advogado faz algumas recomendações: “É essencial trocar as senhas dos serviços afetados e ficar atento a comportamentos de serviços, e-mails e movimentações financeiras estranhas, informando parentes, amigos próximos e gerentes de contas para que tomem cuidado com a possibilidade de golpes em seu nome”. Além disso, é recomendável consultar regularmente o sistema Registrato, do Banco Central, nos dias posteriores ao vazamento. “Por meio dele, é possível identificar se alguém abriu uma conta, gerou uma chave Pix ou tomou algum empréstimo em seu nome. Com essas informações, será possível agir para contestar ações fraudulentas ou, em alguns casos, mover uma ação para ser ressarcido”, finaliza.