O primeiro trimestre de 2021 já trouxe casos graves de vazamento de dados de operadoras de telefonia.
No dia 10 de fevereiro, detectou-se que mais de 103 milhões de contas de celular de operadoras como Oi, Claro, Tim e Vivo sofreram ataques nos seus sistemas, colocando em risco a privacidade dos seus clientes. É fácil pensar nas consequências reais desse caso: informações como os números de telefone, valores de contas e gastos por minuto desses clientes foram vazados e vendidos na dark web.
Milhões de pessoas ficaram suscetíveis à fraudes e tiveram a integridade de seus dados violada. As operadoras têm que explicar o vazamento ao Ministério da Justiça, mas justificá-lo não irá mitigar os danos já feitos. Empresas estão mais disponíveis a esse tipo de situação do que pensam! Esse caso pode ilustrar como organizações de diversos setores devem se prevenir. Principalmente, sob a luz da LGPD e as sanções da ANPD, que serão colocadas em prática a partir de agosto desse ano.
Nesse artigo, vamos falar mais sobre o caso de vazamento de dados de operadoras de telefonia em 2021 sob a ótica da LGPD.
O que é violação de dados?
A Violação de Dados é caracterizada por um Incidente de Segurança da Informação que tenha ocorrido e que contempla Dados Pessoais de Titulares. Esses dados são de pessoas singulares, clientes ou não de uma organização.
Neste caso, também é correto sugerir que estes mesmos dados pessoais podem ter tido sua confidencialidade ou integridade violadas durante tal incidente. Falamos mais especificamente sobre a violação de dados pessoais aqui, mas o importante é saber que esse problema pode ter várias origens. E não necessariamente são frutos de invasões de hackers ou outros agentes maliciosos.
Por exemplo, uma má configuração em um website pode expor dados de Titulares. Pode dar acesso não legítimo a sistemas, proporcionar escalada de privilégios, dentre tantas outras questões temidas e indesejadas.
Até mesmo um colaborador que atende ao telefone, pode ser vítima de uma Engenharia Social. E, por não ter tido o devido treinamento, acaba passando dados pessoais de forma indevida a quem está solicitando do outro lado da linha telefônica.
As consequências para empresas como as operadoras de telefonia
Muitas organizações temem as violações de dados sob a ótica da LGPD, em virtude das multas anunciadas que podem chegar a 2% do faturamento do seu último exercício, com a limitação de R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Mas há também de se observar as multas diárias.
Nesse sentido, acontece que as multas deveriam ser o último recurso da Autoridade Nacional de Proteção de Dados. E, ainda, existem outras sanções administrativas previstas no Art. 52 da LGPD.
Portanto, um bom exemplo é como ocorre no GDPR (Regulamento Geral de Proteção de Dados da União e Área Econômica Europeia). Como a proibição de realizar tratamento de dados pessoais, o bloqueio ou eliminação destes mesmos dados, o que pode inviabilizar o negócio da organização, ou ainda, tornar pública a infração, o que pode causar algum outro tipo de dano reputacional.
Como proteger sua empresa e seus clientes
Mostramos através do caso de vazamento de dados de operadoras de telefonia, que tomar atitudes proativas para a proteção dos seus clientes é importante! A Lei Geral de Proteção de Dados Pessoais prevê que a organização disponha do tratamento de dados pessoais com o princípio da boa-fé aplicando governança de dados e boas práticas.
Nessa lógica, um Sistema de Gestão de Segurança da Informação, por exemplo, baseado na ISO 27001:2013, pode ajudar as organizações na implementação de controles específicos que façam face aos riscos à privacidade dos Titulares de Dados. Novos padrões de privacidade como a ISO 27701:2019 sugerem implementações de controles específicos para que uma organização esteja em conformidade constante com as leis de privacidade de dados.
Entretanto, não é uma exigência da LGPD que a ISO 27001:2013 ou ainda a ISSO 27701:2019 sejam implementadas nas organizações.
Contudo, observa–se que são padrões internacionalmente respeitados e perseguidos. Isso ocorre por terem o propósito firme de aplicar e manter um sistema de compliance e ainda passível de auditoria. Também, pode auxiliar no cumprimento das obrigações legais perante a Autoridade Nacional de Proteção de Dados (ANPD).
Ainda, esses padrões revelam, dentre outros entregáveis, a necessidade de um processo eficaz de Gestão de Riscos à Privacidade. Como: um Plano de Resposta à Violação de Dados, um canal de atendimento ao Titular de Dados, um Plano de Proteção e Retenção de dados, bem como mecanismos que comprovem a legalidade os tratamentos realizados pelas organizações.
A missão da Unirede
A Unirede, como parceira das organizações que buscam o compliance, desenvolveu um plano de trabalho que visa dar mentoria aos profissionais que estão na Jornada LGPD, rumo à implementação da mesma nas organizações.
Mantemos um Programa de Educação Continuada e Assistida, com aulas específicas sobre os temas acima abordados, no formato hands-on, além é claro já abrimos a possibilidade de consultoria direta.
_________________________________________
Fonte de informações sobre o caso de vazamento: O Globo.