ExtrasRealidade Brasileira Poder Judiciário Prot. ao Consumidor Min. Público Decisões Internacionais

Realidade Brasileira

Este boletim é um informativo da área de Cybersecurity & Data Privacy

de TozziniFreire Advogados.

SÓCIAS RESPONSÁVEIS PELO BOLETIM:

Marcela Waksman Ejnisman

Bruna Borghi Tomé

Carla do Couto Hellu Battilana

Patrícia Helena Marta Martins

Mais informações em: tozzinifreire.com.br/

Este material não pode ser reproduzido integralmente ou parcialmente sem consentimento e autorização prévios de TozziniFreire Advogados.

Publicada a Agenda Regulatória da ANPD para o biênio 2021-2022Em 28/01/2021 (dia internacional da privacidade de dados) foi publicada no Diário Oficial da União a Portaria nº 11/2021, que torna pública a Agenda Regulatória da Autoridade Nacional de Proteção de Dados (ANPD) para o biênio 2021-2022.

Levando em consideração os diversos pontos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) que precisam de regulamentação da autoridade, a ANPD estabeleceu e divul-gou a Agenda, priorizando os temas a serem tratados em três momentos:

Fase 1 - iniciativas com início em até 1 ano. Compõem a Fase 1 a regulamentação sobre: (i) Regimento Interno da ANPD; (ii) Planejamento Estratégico da ANPD; (iii) Proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos; (iv) Estabelecimento de normativos para aplicação do art. 52 e seguintes da LGPD (sanções legais); (v) Comunicação de inci-dentes e especificação do prazo de notificação; e (vi) Relatório de Impacto à Proteção de Dados Pessoais.

Fase 2 - iniciativas com início em até 1 ano e 6 meses. Compõem a Fase 2 a regulamentação sobre: (i) Encarregado de proteção de da-dos pessoais; e (ii) Transferência Internacional de Dados Pessoais.

Fase 3 - iniciativas com início em até 2 anos. Compõem a Fase 3 a regulamentação sobre: (i) Direitos dos titulares de dados pessoais; e (ii) Hipóteses legais de tratamento de dados pessoais.

Considerando a quantidade de temas relevantes a serem trata-dos pela ANPD, a Coordenação-Geral de Normatização ela-borará, semestralmente, o relatório de acompanhamento das iniciativas regulamentares constantes da Agenda aprovada, avaliando a necessidade de readequação das iniciativas e metas no último relatório de acompanhamento de 2021, se for o caso.

ANPD promove diálogo com setor privado em busca da concretização da Lei Geral de Proteção de Dados PessoaisFormalmente instituída em novembro de 2020, a Autoridade Nacional de Proteção de Dados (ANPD) é responsável por, entre outras atribuições, zelar e implementar a Lei Geral de Proteção de Dados Pessoais (LGPD) no território Nacional, representando papel relevante na concretização da Lei para cenários concretos específicos que demandam atenção especial em função de suas particularidades.

A ANPD tem mantido linha de diálogo com a iniciativa privada a partir das trocas com a Frente Empresarial em Defesa da LGPD e da Segurança Jurídica (Frente LGPD), grupo composto por entidades de diversos setores econômicos (representando mais de 70% do PIB brasileiro) que atuam em conjunto em prol da defesa da privacidade com segurança jurídica na condução desta pauta para cidadãos e organizações.

A partir deste maior contato com o setor privado, a ANPD já constatou que deve nortear sua atuação regulatória com enfoque na edição de normas, orientações e procedimentos simplificados que auxiliem no processo de adequação à LGPD de microempresas, empresas de pequeno porte, microem-preendedores individuais, startups e empresas de inovação. Fica clara sua preocupação, portanto, com a concretização do positivado na Lei também para negócios de menor porte, mantendo como pano de fundo a promoção da garantia dos direitos dos titulares andando em paralelo ao estímulo à inovação e ao desenvolvimento econômico neste processo regulatório.

Guia do Ministério da Economia para a adequação à LGPD Desde o início da vigência da Lei Geral de Prote-ção de Dados Pessoais (LGPD), o Ministério da Economia, através de sua Secretaria de Governo Digital, vem lançando uma série de ações de fo-mento à cultura de proteção de dados e de apoio à adequação à LGPD, nos órgãos do Governo Federal. Como reforço dessa estratégia, desde outubro de 2020, estão disponíveis para consulta e acesso alguns guias operacionais que objetivam a implementação de uma estratégia para atuar, preventivamente, nas frentes de segurança da informação.

No portal eletrônico da Secretaria, podem ser encontrados alguns marcos de conformidade com a LGPD, por meio de guias, apresentações, vídeos explicativos, modelos (templates) e estudos de caso, tais como o “Programa de Governança em Privacidade”, o “Inventário de Dados Pessoais”, os “Termos de Uso”, a “Avaliação de Riscos”, a “Adequação de Contratos”, o “Relatório de Im-pacto de Proteção de Dados” e a “Resposta a Incidentes”.

A iniciativa demonstra a relevância e o destaque dado para a disciplina do tratamento, do armaze-namento e do controle pelos titulares dos dados pessoais não só pelo setor privado, mas também pelo setor público.

SUSEP divulga em seu site aspectos gerais da LGPD Em razão da entrada em vigor da Lei Geral de Proteção de Dados (LGPD), a Superintendência de Seguros Privados (SUSEP) passou a disponibilizar em seu site aspectos gerais da lei, a fim de proporcionar a sua ampla divulgação à sociedade. Desse modo, a iniciativa traz informações gerais sobre a lei e o tratamento de dados pessoais, bem como as hipóteses que o autorizam.

O informativo ainda aponta que a previsão legal que permite o tratamento de dados pessoais pela SUSEP é o Decreto-Lei nº 73, de 21 de novembro de 1966, que regulamenta o desempenho de suas atividades, visto que o órgão é responsável pelo controle e pela fiscalização dos mercados de seguro, previdência privada aberta, capitalização e resseguro.

Por fim, a página ainda traz informações de identificação e de contato do Encarregado de Dados Pessoais da Superintendência, designado pela Portaria nº 7.717, de 16 de dezembro de 2020.

Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações da ANATEL entra em vigorO Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações entrou em vigor em 4 de janeiro e é responsável por estabelecer con-dutas e procedimentos para a promoção da segurança nas redes e serviços de telecomunicações.

Aplicável a todas as prestadoras dos serviços de telecomunicações de interesse coletivo, ressalvadas as de Pequeno Porte, e com influência da Lei Geral de Proteção de Dados, o objetivo principal do Regulamento é a promoção da Segurança Cibernética, a qual é definida como ações voltadas para a segu-rança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético que possam comprome-ter a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis.

As diretrizes traçadas em seu texto são direcionadas a todos aqueles que estejam envolvidos direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações, sejam pessoas jurídicas sejam pessoas físicas. Algumas diretrizes apontadas pelo Regulamento são: a adoção de normas e padrões, nacionais ou internacionais, e referências de boas práticas em Segurança Cibernética; a atuação com responsabilidade, zelo e trans-parência; e a disseminação da cultura de Segurança Cibernética.

Entre as obrigações previstas, encontra-se a de implementar e manter uma Política de Segurança Cibernética, a qual deverá dispor as condutas e proce-dimentos adotados para a promoção da Segurança Cibernética e mitigação de riscos das Infraestruturas Críticas de Telecomunicações*. As prestadoras são obrigadas também a enviar, conjuntamente com a ANATEL, notificações de incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários.

O Regulamento prevê ainda a possibilidade de aplicação de sanções administrativas previstas na Lei nº 9.472, de 16 de julho de 1997, bem como no Regulamento de Aplicação de Sanções Administrativas da ANATEL, em caso de infração às disposições do Regulamento.

O Regulamento estabeleceu a constituição do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), cuja responsabilidade principal é auxiliar a ANATEL no acompanhamento da implantação das disposições do Regulamento.

Por fim, foi concedido um prazo de 180 (cento e oitenta) dias contados da data de entrada em vigor do Regulamento para que as prestadoras de serviços de telecomunicações se adequem às novas regras.

* Segundo o artigo 3º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, Infraestruturas Críticas de Telecomunicações são todas as infraestruturas de instalações, serviços, bens e sistemas, afetos à prestação de serviços de telecomunicações, que, caso interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.

CNJ aprova resoluções sobre incidentes de segurançaApós os recentes ciberataques ocorridos em novembro de 2020 nos sistemas computacionais do Superior Tribunal de Justiça (STJ) e do Tribunal Supe-rior Eleitoral (TSE), o Conselho Nacional de Justiça (CNJ) aprovou, em 17 de dezembro de 2020, três resoluções sobre o tema de cibersegurança, mais precisamente a respeito da prevenção, da gestão de incidentes de segurança e da investigação quanto a ciberataques eventualmente ocorridos.

A Resolução CNJ nº 360/2020 determina a adoção do Protocolo de Geren-ciamento de Crises Cibernéticas no âmbito do Poder Judiciário (PGCC/PJ), conforme previsto na Portaria CNJ nº 290, de 17/12/2020, bem como a cria-ção, em sessenta dias, de Protocolos próprios por cada órgão do Poder Judici-ário. O escopo é impor ações responsivas quando verificado que o incidente de segurança cibernética não será mitigado ou perdurará por longo período.

Já a Resolução CNJ nº 361/2020 compreende a criação do Protocolo de Prevenção a Incidentes Cibernéticos (PPICiber/PJ), que traz um conjunto de diretrizes para a prevenção a incidentes de segurança da informação. Neste escopo, nos termos da Portaria CNJ nº 292, de 17/12/2020, serão criadas Equipes de Tratamento e de Resposta a Incidentes de Segurança Cibernética (ETIR), que poderão solicitar o apoio, entre outras, das áreas de tecnologia, jurídico, pesquisas judiciárias, comunicação e controle interno.

E a Resolução CNJ nº 362/2020 institui o Protocolo de Investigações para Ilícitos Cibernéticos no âmbito do Poder Judiciário (PGCC/PJ), objetivando criar procedimentos básicos para a coleta e a preservação de evidências, bem como para a comunicação dos fatos criminalmente relevantes ao órgão de polícia judiciária.

Conforme expressado pelo representante do Gabinete de Segurança Insti-tucional da Presidência da República no Comitê de Segurança Cibernética, Marcelo Fontenelle, referidos protocolos constituem um primeiro conjunto normativo de segurança cibernética a ser observado pelos órgãos do Poder Judiciário. Por meio deles, estabelecem-se padrões mínimos e uniformes de segurança no Poder Judiciário, aumentando a sua segurança sob a perspectiva cibernética.

São criados cinco grupos de trabalho no Comitê de Segurança Cibernética do Poder JudiciárioNa mesma toada do CNJ em prol da segurança cibernética do Poder Judiciário, o Comitê de Segurança Cibernética do Poder Judiciário estabeleceu, em 17 de dezembro de 2020, cinco subgrupos de trabalho, com o objetivo de reforçar de maneira colaborativa a necessidade de esforços em prol da segu-rança do ecossistema digital dos tribunais. Conforme se verifica abaixo, eles desenvolverão estudos e protocolos acerca de temas específicos referentes à proteção de dados pessoais e às medidas de combate a ataques cibernéticos:

1º subgrupo: elaboração de proposta de estratégia e governança cibernética, incluindo protocolos de prevenção, de gerenciamento de crises e de investi-gação;

2º subgrupo: elaboração de anexo com manual abordando política de cultura e de educação cibernética, com treinamento e medidas para o desenvolvi-mento de habilidades em segurança cibernética para profissionais que atuam na área e usuários que utilizam recursos de tecnologia, bem como elabora-ção de diretrizes para pesquisa e desenvolvimento de inovações na área de segurança cibernética;

3º subgrupo: elaboração de anexo com manual e checklist para tratar da prevenção e da mitigação de ameaças cibernéticas e promoção da confiança digital, incluindo a formulação de padrões mínimos de gestão de riscos de segurança da informação, bem como a elaboração de requisitos que assegu-rem confiança digital, prevenção e mitigação de ameaças cibernéticas; previsões para a fiscalização da adequação dos requisitos de segurança mediante contratação externa ou criação de rotina de inspeções cruzadas entre tribunais do mesmo porte; e política de gestão de identidade e de acessos;

4º subgrupo: desenvolvimento de estudos para elaboração de manual e checklist sobre proteção estratégica, com foco nas infraestruturas críticas, defi-nindo padrões mínimos para proteção de ativos tecnológicos que adotem soluções integradoras, além de padrões mínimos de resiliência e continuidade dos serviços em caso de incidentes de segurança e indisponibilidade de sistemas, bem como elaboração de política de encriptação de dados sensíveis; e requisitos de software e hardware;

5º subgrupo: consolidação de todos os estudos desenvolvidos no âmbito dos subgrupos precedentes, a fim de garantir a confluência de ideias, ausência de redundância e de contradições, bem como adequada sistematização.

Com base nesses estudos, o Comitê de Segurança Cibernética do Poder Judiciário irá apresentar, no dia 16 de março de 2021, a minuta Estratégia da Segurança Cibernética e da Informação do Poder Judiciário. Seu coordenador, o juiz auxiliar da Presidência do CNJ Alexandre Libonati, afirmou que, embora o trabalho do Comitê seja voltado exclusivamente para o Poder Judiciário, os seus participantes já debatem a criação de uma rede nacional para contribuir com a segurança das instituições do Poder Executivo e do Legislativo, unindo os poderes no combate aos ataques cibernéticos.

Com isso, o Comitê de Segurança Cibernética do Poder Judiciário vem demonstrando que está tomando a frente no cenário da cibersegurança no âmbi-to do poder público.

PROCON/SP lança cartilha sobre a LGPDO PROCON/SP publicou agora, em janeiro de 2021, uma cartilha informativa que busca orientar o consumidor sobre aspectos importantes da Lei Geral de Proteção de Dados (Lei Federal no 13.709/2018 – LGPD). Ela pode ser encontrada no seguinte endereço: https://www.procon.sp.gov.br/wp-content/uploads/2020/12/Cartilha-LGPD-2020-L.pdf.

Nela, são abordados aspectos importantes, tais como: a quem se aplica a LGPD; o que são dados pessoais sensíveis e dados ano-nimizados; quais as circunstâncias em que é obrigatório haver o consentimento do titular dos dados para seu processamento; quais os direitos do consumidor em relação ao tratamento de seus dados e os possíveis canais para denúncia.

Embora a LGPD se aplique sempre que houver o tratamento de dados pessoais, seja em âmbito online ou offline, a Cartilha do PROCON-SP deu especial atenção ao primeiro cenário. Ao elencar um rol de situações para as quais se recomenda ao consumidor redobrada atenção no que diz respeito ao tratamen-to de seus dados pessoais, o PROCON-SP destacou a coleta de “cookies” na navegação em sites na internet, bem como reco-mendou leitura atenta, pelos consumidores, dos termos de uso e políticas de privacidade pertinentes aos sites e plataformas que acessem na web.

Proteção de dados pessoais e MPDFT: retrospectiva e perspectivas 2021

Desde a 1ª edição do Cybernews, publicada em setembro de 2020, temos reportado a recorrente atuação do Ministério Público do Distrito Federal e Territórios (MPDFT) no que diz respeito à LGPD. Mesmo com a progressiva estruturação da Autoridade Nacional de Proteção de Dados (ANPD), o MPDFT anunciou que seguiria atuando firmemente em matéria de proteção de dados pessoais de consumidores. E assim tem feito.

Conforme reportado na 2a edição do Cybernews, ele ajuizou a primeira ação civil pública com lastro na LGPD. Referida ação civil pública teve por obje-to a alegada venda de acervos de dados pessoais pela empresa Infortexto Ltda., através de seu site, mas acabou sendo extinta sem julgamento do mérito em razão da alegada venda de acervos de dados pessoais pela empresa acionada já ter cessado à época de sua propositura.

Conforme reportado nas edições precedentes do Cybernews – respectivamente, em suas edições de números 3 e 4 –, seguiu-se o ajuizamento de outras ações da mesma classe, também pelo MPDFT e com lastro na LGPD. Dentre elas, merece destaque, aquela que foi ajuizada pelo MPDFT contra a Serasa Experian, em razão da alegada venda de conjuntos abrangentes de dados pessoais de consumidores, por meio de seu site (seriam comercializados dados como, por exemplo, nome, número de CPF e telefone). Nela, o pedido liminar para a cessação da venda de dados pessoais restou indeferido na origem sob o argumento de que se tratava de dados habitualmente compartilhados pelos usuários e, além disso, para o juízo, as provas colecionadas não demonstravam a probabilidade do direito. Contudo, o pedido liminar acabou sendo deferido em decisão monocrática pelo Tribunal de Justiça do Dis-trito Federal e Territórios com base no entendimento de que ainda que se trate de dados habitualmente fornecidos pelos usuários, é preciso o consenti-mento do titular dos dados para referida comercialização. Atualmente, aguarda-se julgamento de mérito na origem e do recurso de agravo interposto.

Tendo em vista a prática já recorrente do MPDFT em propor ações civis públicas com base nas normas da LGPD e visando à defesa de consumidores nesse sentido, a perspectiva para 2021 é de forte ratificação dessa prática. Os desdobramentos relevantes nesse sentido, bem como as demais iniciativas de outras unidades do Ministério Público na mesma linha, serão reportados nas próximas edições do Cybernews, em 2021.

Poder Judiciário

Proteção ao Consumidor

Ministério Público

Decisões Internacionais

Autoridade de Dados Irlandesa impõe multa de 450 mil euros ao Twitter A Autoridade de Dados Irlandesa (Data Protection Commis-sion ou DPC) concluiu sua investigação acerca de incidente de segurança envolvendo o Twitter, referente à disponibilização de tweets de contas privadas ao público em geral sem o consenti-mento do usuário. O incidente foi gerado por um erro de design da rede social que tornava públicos os tweets daqueles usuários que trocavam o e-mail associado às suas contas por meio de um dispositivo Android. Aproximadamente 88 mil usuários da União Europeia e do Espaço Econômico Europeu foram afetados por esse erro entre 2017 e 2019.

A sanção de 450 mil euros foi baseada nas disposições do arti-go 33 do Regulamento Geral de Proteção de Dados da União Europeia (GDPR), o qual prevê a necessidade de notificação à autoridade de proteção de dados competente, no prazo de 72 (setenta e duas) horas, sobre o incidente de segurança, bem como a necessidade de documentação do incidente de segurança, a qual deverá conter os fatos, os efeitos e as medidas tomadas frente ao incidente.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) dispõe que é responsabilidade do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD), bem como ao titular, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares em prazo razoável. Mencionada comunicação deverá conter a descrição da natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizadas; os riscos relacionados ao incidente; os motivos da demora, no caso de a comunicação não ter sido imediata; além das medidas que fo-ram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo decorrente do incidente. Caberá à ANPD dispor sobre o que será considerado como “prazo razoável” para a comunicação de incidentes de segurança no contexto da LGPD.

Proteção de dados para além da responsabilidade civilUma funcionária de uma indústria automotiva especializada no fornecimento de seguros foi condenada a 8 (oito) meses de prisão e suspensão por 2 (dois) anos em investigação iniciada pela Autoridade de Proteção de Dados Inglesa (Information Commissioner’s Office ou ICO). A funcionária transfe-ria dados pessoais de segurados para firma especializada em reparação de automóveis.

A funcionária confessou as acusações de fornecimento de acesso não autorizado à base de dados e a venda de dados pessoais obtidos ilegalmente. Os dados pessoais vendidos, sem a permissão dos empregadores da funcionária, eram dados de acidentes de trânsito e incluíam nome, número de telefone e números de documentos. Transferidos para a firma de reparação de automóveis, tais dados eram usados para realização de ligações indesejadas.

A responsabilização pelas ações da funcionária foi fundada em disposições do Data Protection Act 2018 (legislação britânica sobre proteção de dados do Reino Unido), do GDPR, do Freedom of Information Act 2000 (legislação britânica responsável por dispor sobre o acesso público a informações armazenadas por autoridades públicas), e do Computer Misuse Act 1990 (legislação britânica sobre segurança de material informático contra acesso e alteração não autorizados).

Na realidade brasileira, o Código Penal em seu artigo 154-A tipifica a invasão a dispositivo informático alheio realizada por meio de violação indevida de mecanismo de segurança, visando a obtenção, adulteração ou destruição de dados ou informações, sem autorização expressa ou tácita do titular do dispositivo, bem como a instalação de vulnerabilidades em dispositivo para obter vantagem ilícita.

Na esfera civil, além das normas de responsabilidade civil aplicáveis, a Lei Geral de Proteção de Dados (LGPD) prevê que o controlador é obrigado a reparar danos patrimoniais, morais, individuais ou coletivos causados em razão do exercício de atividades de tratamento de dados pessoais (o que inclui, de maneira geral, a responsabilidade do controlador pelos danos causados por atos de seus empregados e contratados).

A operacionalização do direito à portabilidade de dados à luz do entendimento europeuCom a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em setembro de 2020, diversos agentes de tratamento de dados passaram a receber solicitações dos seus titulares com pedidos de exercício de direitos relacionados aos seus dados pessoais (com fundamento no artigo 18 da referida Lei). Entre as questões mais recorrentes, é comum a ocorrência de pedidos de eliminação de dados pessoais da base dos agentes ou ainda aqueles relacionados à revogação do consentimento fornecido anteriormente.

Dentre os possíveis pedidos que podem ser apresentados pelos titulares, o encaminhamento de solicitações referentes ao exercí-cio do direito à portabilidade de dados vem gerando dúvidas por parte dos agentes de tratamento de dados. Enquanto a Autorida-de Nacional de Proteção de Dados (ANPD) não dispõe a respeito do assunto, é importante entender como este tópico vem sendo tratado na Europa, visto que o direito à portabilidade de dados pessoais previsto na LGPD foi inspirado em direito equivalente constante do Regulamento Geral de Proteção de Dados da União Europeia (GDPR).

Recentemente, o Comitê Europeu para a Proteção de Dados (EDPB) endossou o guia “Orientações sobre o Direito à Portabi-lidade dos Dados” emitido pelo Working Party 29. Nesse sentido, foi esclarecido que referido direito implica viabilizar a transfe-rência dos dados pessoais para outro agente de tratamento, o que inclui tanto os dados pessoais que tenham sido fornecidos pelo titular dos dados (de forma ativa e consciente), quanto aqueles gerados que digam respeito ao titular dos dados na base de dados do agente. Vale ressaltar que a LGPD também impõe limites a esse vasto escopo de dados objeto de transferência ao delimitar a necessidade de se observar os segredos comercial e industrial do controlador de dados original.

Ainda, os agentes de tratamento devem fornecer os dados pessoais solicitados em um formato que possibilite sua reutilização, mais especificamente, conforme disposto no GDPR, em “formato estruturado, de uso corrente e de leitura automática”. Por mais que não haja uma definição específica para tanto, é relevante que o controlador que vier a receber uma solicitação desta ordem preze por uma estrutura digital que assegure não apenas a efetivi-dade da portabilidade solicitada como ainda a segurança da informação transferida contra incidentes no curso do fluxo.

Período de transição do Brexit ainda não acabou para a proteção de dadosEm razão de acordo comercial e de cooperação celebrado entre Reino Unido e União Europeia em 24 de dezembro de 2020, o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) continuará aplicável por mais 6 (seis) meses, até 1 de julho de 2021, no âmbito de transferência de dados pessoais da União Europeia (UE), bem como do Espaço Econômico Europeu (EEE), para o Reino Unido. A prorrogação do período de transição permite que empresas e órgãos públicos britânicos, de todos os setores, continuem a receber dados pessoais da UE e do EEE livremente.

Com o fim deste período complementar, as transferências de dados pessoais para o Reino Unido passarão a ser consideradas como transferências para países estrangeiros. Com isso, tais transferências dependerão de decisão que as aprove, ou de comprovação do cumprimento das garantias previstas no artigo 46 do GDPR, como adoção de cláusulas-padrão contratuais, assim como dos meios disponíveis para exercício de direitos dos titulares de dados.

As principais mudanças referentes à proteção de dados trazidas pelo Brexit pautam-se na transferência internacional de dados e na indicação de um re-presentante responsável pelas obrigações dispostas no GDPR e pela comunicação com titulares de dados e autoridades de proteção de dados europeias.

British Airways enfrenta a potencial maior ação coletiva com base em privacidade da história do Reino UnidoNa 3ª edição do Cybernews, noticiamos que a Autoridade de Proteção de Dados Inglesa (a Information Comissioner’s Office - ICO) aplicou, com fundamento no GDPR, multa no valor de £ 20.000.000,00 (vinte milhões de libras) à companhia aérea British Airways, em razão da não adoção de medidas de segurança aptas a identificar e a resolver falhas de segurança no âmbito de ataque cibernético sofrido pela companhia em 2018. Tratou-se, então, da maior multa aplicada pelo ICO desde que o GDPR entrou em vigor em 25 de maio de 2018.

O ataque cibernético em questão, sofrido pela British Airways, resultou na exposição de dados de aproximadamente 430.000 funcionários e clientes da companhia, exposição esta que ocor-reu no decorrer de duas semanas (foram revelados desde dados cadastrais de funcionários e clientes, até suas informações finan-ceiras). Esse incidente de segurança somente foi identificado pela empresa dois meses após o ocorrido.

Ocorre que, para além da multa imposta pela ICO, mais de 16.000 pessoas cujos dados pessoais restaram expostos como fruto do mencionado incidente uniram-se para ajuizar ação em face da empresa. Atualmente, está aberto um formulário no site do escritório inglês Goodhead, Mousinho, Bianchini e Martins, que advoga pelos proponentes, para que os possíveis impactados possam inserir informações que possivelmente lastrearão poten-ciais pedidos indenizatórios e que podem chegar a £ 2.000,00 (duas mil libras) para cada proponente.

IMAG

ENS:

AKS

HAR

DAV

E, A

RIE

WU

BBEN

, AU

STIN

DIS

TEL,

FR

ANÇO

IS G

EON

, MIK

A BA

UM

EIST

ER, U

NSP

LASH

, RAC

HIT

TAN

K

5a edição | 2021cybernews

IBM Security publica o Relatório 2020, sobre o prejuízo de um vazamento de dados

Produzido a partir de pesquisa conduzida pelo Ponemon Institute, patrocinado e publicado pela IBM Security, o relatório “Prejuízo de um vazamento de dados” apresenta os fatores que reduzem ou aumentam o prejuízo de um vazamento de dados, além de identificar tendências de vazamentos, demons-trando consistências e flutuações nos prejuízos analisados.

Para a confecção do estudo, foram recrutadas 524 organizações de variados portes, de 17 países e regiões, abrangendo 17 setores, e que sofreram com vazamentos de dados pessoais entre agosto de 2019 e abril de 2020. Foram entrevistadas mais de 3.200 pessoas com conhecimento acerca dos inciden-tes de vazamento de dados pessoais, nos locais onde trabalham.

Dentre as principais conclusões do relatório, destaca-se que o prejuízo total médio de um episódio de vazamento de dados, embora grave e de impacto e dimensões importantíssimas, diminuiu levemente no relatório de 2020: no relatório de 2019, constara prejuízo médio de 3,92 milhões de dólares e, no relatório de 2020, constou prejuízo médio de 3,86 milhões de dólares.

Além disso, ressalta-se que o tipo de registro comprometido com maior frequência e o que mais causou prejuízo foi o das informações de identificação pessoal (PII) dos clientes. Estima-se que os registros que contêm informações de identificação pessoal custem às empresas 150 dólares por registro comprometido.

A principal causa dos vazamentos foi a de nuvens mal configuradas, e o país que mais sofreu prejuízos com vazamentos de dados no mundo continua sendo os EUA. Já o setor com maior prejuízo foi o da saúde, com 7,13 milhões de dólares em prejuízos decorrentes de vazamentos de dados: um aumen-to de 10,5% em relação ao estudo de 2019.

Em relação ao tempo médio para identificar e conter um vazamento, verificou-se ampla variação. O ciclo de vida de um vazamento chegou, em média, a 329 dias no setor de saúde, e 96 dias mais curto no setor financeiro.

Por fim, o fator que mais reduziu o prejuízo das empresas foi a preparação para a resposta a incidentes (RI), que possibilitou diminuir os prejuízos na média de 2 milhões de dólares. Não à toa, noticiamos na seção Poder Judiciário que o CNJ determinou a adoção do Protocolo de Prevenção a Incidentes Cibernéticos (PPICiber/PJ), por meio da Resolução CNJ nº 361/2020.

Desinformação por detrás da atualização da política de privacidade do WhatsAppAo final do ano de 2020, o WhatsApp comu-nicou aos seus usuários a atualização de sua política de privacidade, bem como de seus termos de uso, informando os novos recursos comerciais e opcionais do aplicativo e garan-tindo a transparência acerca das operações de tratamento de dados desde 2016.

Com o fito de combater as distorções inter-pretativas da nova política, a empresa esclare-ceu que desde 2016 o aplicativo se utiliza da criptografia de ponta a ponta, o que impede o acesso aos conteúdos relacionados às mensa-gens pessoais trocadas por seus usuários. Ou seja, esclareceu-se que:

• Nenhum funcionário do WhatsApp conse-gue ler ou ouvir mensagens das quais não seja destinatário, tampouco podem ver a localização que você compartilha;

• Não são armazenados os registros de conta-tos por mensagem ou ligação; e

• Não são compartilhados contatos com o Facebook.

E mais: informou-se que o recurso de men-sagens temporárias pode ser usado para ter ainda mais privacidade, com a opção de enviar mensagens que desaparecem após 7 dias da data do envio. Além disso, é possível saber quais são as informações que o WhatsApp mantém sobre si próprio, bastando baixar um relatório diretamente do aplicati-vo.

O WhatsApp também garantiu que as previsões relativas à privacidade e à segurança das mensagens e chamadas pessoais – que não são trocadas com empresas – permanecem inalteradas em relação às previsões anteriores. A atualização impacta apenas as conversas comerciais, mas mesmo nessa hipótese os usuários serão notificados em um bate-papo se a empresa optou por dar ao Facebook acesso ao conteúdo de suas mensagens comerciais do WhatsApp e poderão decidir não interagir com essa empresa.

O compilado de informações e esclarecimentos relativos às atualizações dos Termos e Políticas de Privacidade estão disponíveis para consulta por meio do seguinte endereço eletrônico no link.

28 DE JANEIRO | DIA INTERNACIONAL DA PRIVACIDADE DE DADOS

Extras

https://www.procon.sp.gov.br/wp-content/uploads/2020/12/Cartilha-LGPD-2020-L.pdfhttps://www.procon.sp.gov.br/wp-content/uploads/2020/12/Cartilha-LGPD-2020-L.pdfhttps://faq.whatsapp.com/general/security-and-privacy/answering-your-questions-about-whatsapps-privacy-policy?lang=pt_brmailto:mejnisman@tozzinifreire.com.brmailto:bborghi@tozzinifreire.com.brmailto:ccouto@tozzinifreire.com.brmailto:pmarta@tozzinifreire.com.brtozzinifreire.com.br/tozzinifreire.com.br/

Marcador 1Marcador 2Marcador 3Marcador 4Marcador 7Marcador 8Realidade BrasileiraPoder JudiciárioProteção ao ConsumidorMinistério PúblicoDecisões InternacionaisExtras

Botão 34: Botão 28: Botão 29: Botão 30: Botão 32: Botão 35: Botão 48: Botão 52: Botão 53: Botão 54: Botão 55: Botão 56: