“O projeto também estabelece que o incidente deve ser notificado à ANPD – Autoridade Nacional de Proteção de Dados. Contudo, este tópico já consta do texto da LGPD – Lei Geral de Proteção de Dados Pessoais,no art. 48“, explica o advogado sócio-head da Lee, Brock, Camargo Advogados e especialista em Direito Digital, Paulo Vinícius de Carvalho Soares.

SAIBA MAIS: Brasileiros sofrem 208 golpes por hora; alta é de 37,9%

Para o advogado, o projeto aumenta a transparência que deve cercar os incidentes de segurança, como por exemplo no caso de vazamento de informações, por dois  motivos: para que  agentes de tratamentos de dados tomem ciência de incidentes semelhantes e ampliem seus  conhecimentos para evitar novos riscos e propiciar ao titular de dados a garantia de seus direitos e liberdades, evitando algum tipo de ilícito com seus dados.

Os incidentes de segurança na LGPD, segundo Soares, ocorrem quando há qualquer ato de tratamento de dados pessoais não autorizado ou desprovido de base legal como qualquer evento adverso, tais como: perda, violação, fraudes, acesso não autorizado etc.

SAIBA MAIS: Alcance da cláusula chargeback de fraudes

Que leve à violação na segurança de dados pessoais. Um caso muito comum é a tentativa de venda de dados, por exemplo. A LGPD (art. 48, § 1º) específica como sendo obrigatório que o  DPO – Data Protection Officer/Encarregado comunique à ANPD, em prazo razoável, e ao  titular de dados sobre  o incidente segurança, no caso de risco ou dano relevante, além de especificar as medidas tomadas de análise e mitigação dos riscos.

O PL 1.876/23 tramitará em caráter conclusivo pelas CCJ – Comissões de Comunicação, Constituição e Justiça e de Cidadania da Câmara dos Deputados, sendo dispensada a votação em plenário para ser aprovada. Isso só ocorre no caso de haver recurso assinado por 52 parlamentares.

Fonte: Migalhas

O post Advogado analisa PL que amplia divulgação de incidente de segurança apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Os vazamentos têm ligação com o ritmo de produção de dados?

Temos de pensar que vivenciamos um cenário novo. Nunca produzimos tanto dados na história do mundo. Isso acontece o tempo todo, cada interação com celular, com o computador, com as redes sociais, o streaming de um filme, tudo isso gera dados. Atualmente conseguimos ter uma noção de que 1 terabyte equivale a 1 mil gigabytes.Um celular top, por exemplo, tem 500 gigabytes. Mas cada big tech processa por dia algo em torno de 20 petabytes (20 mil terabytes). Há projeções que os dados vão crescer 175 zetabytes até 2025. Para baixar isso na velocidade média da internet levaria 1,8 bilhões de anos para completar o download. Mas à medida que o volume de dados cresce exponencialmente, a segurança deve evoluir conjuntamente.

As senhas vazadas são de e-mails com domínio “br”?

Foi um megavazamento global de milhões de domínios e calcula-se que ficaram expostas cerca de 10 milhões de senhas de e-mails brasileiros, com domínio “br”.Isso, sem falar, nos serviços de e-mail que possuem domínio “com”, que também são usados no Brasil.

Isso traz inseguranças para os usuários brasileiros?

Sim, os dados vazados por cibercriminosos geralmente são comercializados em fóruns na “dark web”. E como quase 100 milhões de e-mails de pessoas físicas e jurídicas tiveram mais de uma senha vazada, isso permite ao hacker entender o padrão de criação de senhas por parte do usuário, consistindo em um risco a mais.

Há senhas também do Executivo, Legislativo e Judiciário incluídas no vazamento?

O megavazamento inclui mais de 60 mil senhas de e-mails do domínio “gov.br”, empregado pela administração pública , incluindo ministérios, BNDES e bancos públicos, empresas estatais e “ 5 mil do domínio “jus.br”, utilizado pelo Judiciário, incluindo os tribunais superiores. Há também e-mails com domínio “ câmara.leg.br”, “senado. gov.br” e “cnv.presidencia.gov.br”, este último ligado à Presidência da República. O arquivo vazado indica que reúne dados de violações realizadas em diferentes períodos e fontes. Agora, espera-se o início da investigação pela Autoridade Nacional de Proteção de Dados (ANPD) para esclarecer os usuários sobre mais esse vazamento criminoso.

Confira  as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Por que estamos enfrentando tantos megavazamentos de dados? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

Nas últimas semanas, dois grandes incidentes chamaram a atenção: a exposição de dados de mais de 223 milhões de pessoas, incluindo já falecidas, e a descoberta de um banco de dados com informações detalhadas de mais de cem milhões de números de celular.

No entanto, investigações, prisões e condenações de cibercriminosos não aparecem na mesma intensidade.

Para especialistas, baixa capacidade de investigação, falhas na legislação e penas muito brandas na comparação com as previstas em outros países para crimes digitais criam um ambiente de impunidade no país que favorece a expansão da ação de hackers mal intencionados.

— Hoje em dia, invadir dados pessoais pode ser mais danoso que invadir uma casa, mas a punição para estes crimes digitais é imensamente mais leve no Brasil que o roubo tradicional — diz Renato Opice Blum, economista e advogado, sócio do Opice Blum Advogados e membro do Conselho da EuroPrivacy, certificadora europeia de dados.

Os problemas, segundo especialistas, começam nas leis brasileiras. Um levantamento feito para O GLOBO pelo advogado Solano de Camargo, sócio do Lee, Brock e Camargo Advogados (LBCA) e especialista em direito digital, aponta que, no Brasil, uma pessoa condenada por crimes digitais vai enfrentar penas bem mais brandas que em outras nações.

Especialistas: Vazamento de dados não foi isolado e terá risco maior de se repetir com 5G

A chamada Lei Carolina Dieckmann — criada em 2012 com o nome da atriz que teve fotos íntimas roubadas de seu computador — prevê punição de três meses a um ano para hackers. Na prática, isso configura um crime de menor gravidade, que termina por não levar o criminoso à cadeia.

Em outros países, a compreensão do risco coletivo que as atividades criminosas na internet representam já se reflete no endurecimento de penas para punir infratores digitais.

Nos EUA, crimes cibernéticos podem dar 20 anos de prisão. Na Coreia do Sul, dez, e no Reino Unido, cinco. Mesmo os países europeus com leis que tradicionalmente preveem menos encarceramento são mais duros que o Brasil. Penas variam de três a cinco anos em França, Alemanha e Itália.

Falta tipificação

O advogado Opice Blum reconhece que o Direito moderno busca mais formas alternativas de punição. Mas neste tipo de crime, diz ele, essa premissa não funciona porque os criminosos hackers não têm capital para pagar pesadas multas a ponto disso inibir os ataques.

Risco? Eletrobras diz que a Eletronuclear sofreu ataque cibernético, mas sem risco à segurança das operações

— Hoje em dia, com a legislação que há, mesmo que alguém seja condenado, dificilmente vai para a cadeia. O mais provável é que a pessoa seja condenada a pagar cestas básicas ou realizar trabalho social. O resultado da ação criminosa é muito maior do que a pena que a pessoa pode pagar. A lei defasada incentiva e pode fazer compensar a prática do crime — diz o advogado. — O Brasil precisa assinar a convenção de Cibercrimes de 2001, de Budapeste, pois cria uma colaboração mútua investigativa e obriga o país a a melhorar suas leis.

Vazamento de dados: Brasil é o país com mais informações roubadas de cartões

Alguns crimes digitais sequer são previstas na legislação penal, dificultando a tipificação dos delitos. É o caso, por exemplo, de infecção de sistemas por malware, programas maliciosos que funcionam como um vírus que contaminam sistemas, computadores ou celulares.

Também não há previsão legal para enquadrar quem for flagrado em posse de algum equipamento utilizado para crimes cibernéticos ou de fornecedores de equipamentos com objetivo criminoso.

A falta de leis específicas obriga autoridades a se utilizar de leis ultrapassadas. No caso da chamada “negação de serviço”, quando um ataque coordenado derruba um servidor, a pessoa por trás da ação é enquadrada no artigo 266 do Código Penal, que fala de interromper serviços telegráficos, radiográficos ou telefônicos.

— A gente está muito atrasado em relação a outros países — diz o Opice Blum, que explica que a nova Lei Geral de Proteção de Dados (LGPD) trata mais das obrigações das empresas que detêm os dados, e que podem ser multadas em até R$ 50 milhões em casos de vazamento, do que dos criminosos que invadem sistemas.

O advogado Solano de Camargo lembra que o Brasil sequer centraliza informações sobre crimes digitais ou ações na Justiça relacionados a eles, mais um sinal da pouca importância dada ao tema.

Assim, há pouca estatística oficial sobre registros de ataques, investigações e condenações. No entanto, dados coletados por empresas de segurança digital indicam o Brasil como o segundo país mais atacado pela internet, atrás apenas da China.

Casos não vão à Justiça

A Central Nacional de Denúncias de Crimes Cibernéticos, uma parceria da ONG Safernet Brasil com o Ministério Público Federal, recebeu no ano passado 156.692 denúncias anônimas, o dobro das 75.428 registradas em 2019.

O advogado Filipe Silveira, sócio e responsável pela área penal empresarial do Silveira Athias Advogados, diz que o Brasil tem uma cultura de não dar o devido valor à informação. Ele vê falta de preparo das instituições governamentais no tratamento das denúncias.

— O Judiciário, na maioria das vezes, sofre com outros problemas. O governo investe em concurso, mas não em captação. Policiais vão aprendendo sobre crimes cibernéticos na marra, no dia a dia. Não há centro de perícia científica. O que chega no Judiciário são poucos casos de injúria, difamação ou estelionato por meio eletrônico, não necessariamente cibercrimes de invasão de dados — diz Silveira.

A Polícia Federal abriu inquérito sobre o megavazamento de dados descoberto em janeiro, mas ainda não houve resultados. A instituição não divulga o que foi apurado até agora.

Silveira alerta ainda que as leis brasileiras não diferenciam corretamente a gravidade dos crimes. Um caso da invasão de um único celular tem o mesmo tipo de pena prevista para um vazamento de grande porte.

Viu?Golpes no FGTS aumentam, e perdas chegam a R$ 2 milhões por mês. Saiba se proteger

Ana Frazão, advogada e professora da Universidade de Brasília (UnB), diz que o país precisa avançar também na cooperação internacional:

— A internet neutraliza a geografia e, infelizmente, a lei não leva isso em consideração. A LGPD até prevê a proteção de dados de brasileiros armazenados no exterior, mas é uma teoria. Na prática, não vemos como responsabilizar um hacker em outro país.

Ação de hackers custará US$ 6 tri

Qual o custo exato dos crimes digitais no mundo, com empresas e cidadãos no alvo? De acordo com estudo da Cybersecurity Ventures, empresa americana de pesquisa sobre a economia cibernética global, será de US$ 6 trilhões em 2021. Só dois países têm PIB maior que isso: EUA e China.

— Os custos do cibercrime incluem danos e destruição de dados, dinheiro roubado, perda de produtividade, roubo de propriedade intelectual, roubo de dados pessoais e financeiros, desfalque, fraude, interrupção das operações normais após um ataque, perícia, recuperação e eliminação de dados e sistemas hackeados e danos à reputação — disse Steve Morgan, fundador da Cybersecurity Ventures, ao apresentar o estudo, em novembro.

Esse impacto cresce rapidamente no mundo com a expansão das ações de criminosos. O custo estimado era metade disso, US$ 3 trilhões, em 2015. Segundo as projeções do trabalho, essa conta continuará crescendo a um ritmo médio de 15% ao ano até atingir US$ 10,5 trilhões em 2025.

Cibercrimes aumentaram na pandemia, com maior tráfego de dados na internet. Dados parciais de 2020 do Centro de Reclamações de Crimes na Internet (IC3) do FBI apontaram de três mil a quatro mil denúncias por dia. Em 2019, eram cerca de mil diárias.

No Brasil, a Embraer foi uma das empresas que foram alvo desse tipo de ação no país recentemente. A fabricante de aviões sofreu um ataque por ransomware, tipo de software malicioso que, uma vez dentro do sistema, criptografa dados e restringe acesso para que hackers cobrem um resgate.

O post Penas para golpes digitais como vazamentos de dados não passam de um ano de prisão apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.

1 – Quais as definições de dado pessoal e dado pessoal sensível?

Dispõe a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, em seu artigo 5º, que dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. E, dado pessoal sensível é o dado  sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

2 – O que são Incidentes com Dados Pessoais e Plano de Resposta a Incidentes (PRI)?

Um Incidente com Dados Pessoais  é um evento que leva à segurança a destruição, perda, alteração, divulgação ou acesso não autorizados, de forma acidental ou ilícita, a dados pessoais transmitidos, armazenados ou processados pela (inserir o nome da empresa). Já o Plano de Resposta a Incidentes é um plano que serve para orientar os colaboradores acerca dos procedimentos mais adequados a serem executados quando da ocorrência de Incidentes com Dados Pessoais.

3 – Como atuar em casos de Incidentes com Dados Pessoais?

Ao ter ciência sobre qualquer incidente com dados , é preciso comunicar imediatamente o Comitê de Privacidade (ou qualquer outra equipe correspondente) e o Encarregado pelo Tratamento de Dados Pessoais (DPO), que deverão acionar o Departamento de Tecnologia da Informação e o Departamento Jurídico. O colaborador deve seguir as orientações dos responsáveis, pois a adoção de medidas por conta própria pode agravar o problema ou danificar evidências do Incidente com Dados Pessoais. Ainda, é importante manter sigilo sobre a comunicação recebida, pois tornar a informação pública pode prejudicar a investigação do suposto Incidente com Dados Pessoais e a identificação do autor da comunicação.

4. – Como atuará o Encarregado pelo Tratamento de Dados Pessoais?

Se for o caso, realizará a comunicação do Incidente com Dados Pessoais à ANPD (Autoridade Nacional de Proteção de Dados), com base nas análises técnicas e jurídicas realizadas pela área de Tecnologia da Informação, pelo Comitê de Privacidade (ou qualquer outra equipe correspondente) e pelo Departamento Jurídico. Ainda, deve aprovar e autorizar a divulgação de comunicado, aos titulares envolvidos no Incidente com Dados Pessoais, validar e assinar quaisquer comunicados ao público, imprensa e clientes, orientar e/ou informar as equipes interessadas a respeito das práticas a serem adotadas com relação ao Incidente com Dados Pessoais, coordenar todas as ações decorrentes do Incidente com Dados, com o intuito de mitigar os impactos percebidos, atuar como porta-voz da empresa perante a ANPD, demais autoridades competentes e os Clientes, supervisionando os contatos e comunicações junto ao público, decorrentes do Incidente com Dados Pessoais, dentre outras atividades.

5 – No caso de incidentes com dados pessoais quais serão as consequências?

Em caso de descumprimento da LGPD e de infrações comprovadas, com dados pessoais ou dados pessoais sensíveis, podem ocorrer as seguintes sanções administrativas: advertência, multa simples, de até 2% do faturamento da pessoa jurídica, limitados até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, multa diária, publicização da infração (quando devidamente apurada e confirmada); bloqueio dos dados pessoais e eliminação dos dados, dentre outros, todas elencadas no art. 52 da LGPD. Importante, também, prestar atenção aos danos reputacionais e possíveis ações judiciais por parte dos titulares dos dados pessoais! É primordial ter uma equipe multidisciplinar, com objetivos e prazos bem definidos, a fim de realizar a adequação à lei e evitar prejuízos futuros.

Confira as últimas atualizações jurídicas sobre o impacto do Coronavírus no Brasil e no mundo/a></a

O post Ocorreu um incidente de segurança com dados pessoais. E agora? apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.