Insights para sua Transformação Digital

LGPD na prática: conheça as primeiras sanções com base na Lei

Uma pesquisa da ICTS Protiviti com 296 empresas do Brasil mostrou que, apesar da LGPD já estar em vigor desde setembro de 2020, 82% das organizações ainda estão atrasadas em suas ações de adequação à lei.

Esse dado é tão alarmante quanto a quantidade de sanções e ações civis abertas com base na LGPD desde a sua vigência.

Se a LGPD ainda não é prioridade na sua empresa, continue a leitura e acompanhe uma linha do tempo das sanções já aplicadas desde 2020 com base nessa legislação.

Falha na Secretaria da Educação do DF expõe dados de quase 1,5 milhão de alunos – 22/02/2020

No dia 22/02/2021 o The Hack anunciou com exclusividade que uma vulnerabilidade no software I-Educar, criado pela Secretaria de Educação do Distrito Federal, expôs dados pessoais de quase 1,5 milhão de alunos da rede pública. 

O software é utilizado para acompanhamento do processo de matrícula e obtenção de um comprovante de matrícula. Nesse sentido, dados como nome completo do aluno e dos responsáveis, endereço, sexo, grau de escolaridade, data de nascimento, etc. 

Conforme cita a matéria do The Hack, a equipe de redação do site contatou a Secretaria da Educação do Distrito Federal, para informar sobre a vulnerabilidade e solicitar a correção da mesma. A Secretaria informou ao The Hack que a falha foi corrigida.

Fonte:

The Hack

Vazamento de mais de 100 milhões de contas de celular – 10/02/2020

A PSafe, através do dfndr lab, anunciou no dia 10/02/2021 que mais de 100 milhões de dados de contas de celular foram vazados na dark web. O vazamento foi descoberto no dia 03/02/2021.

Segundo notícia do NeoFeed, dentre as informações vazadas estão o número de celular, dados pessoais do dono do celular, tempo de duração das ligações e mais. Incluindo informações de personalidades como o presidente Jair Bolsonaro e o apresentador William Bonner. 

O CEO e fundador da PSafe, Marco DeMello, anunciou ao NeoFeed que enviará um documento acerca da investigação para a ANPD. Segundo o próprio criminoso que está vendendo as informações na dark web, elas são originadas das bases de dados da Vivo e da Claro. 

Segundo a PSafe, muitas das informações vazadas nesse caso mais recente batem com informações do BLB2020

Fonte:

NeoFeed

Eletronuclear sofre ataques hackers – 03/02/2021

A Eletronuclear, subsidiária da Eletrobras responsável pelas usinas Angra 1 e Angra 2, informou que seu setor administrativo sofreu um ataque hacker no dia 03/02/2021.

O ataque em questão se trata de um ransomware. A Eletronuclear suspendeu, portanto, temporariamente o funcionamento de alguns sistemas para proteger os dados. 

A empresa ressaltou em nota que a rede administrativa não está conectada aos sistemas operacionais das usinas nucleares Angra 1 e Angra 2. 

“O incidente, portanto, não trouxe impactos para a segurança, nem para o funcionamento da Central Nuclear Almirante Álvaro Alberto (CNAAA), muito menos prejuízos para o fornecimento da energia elétrica ao Sistema Interligado Nacional”, explicou a Eletrobras. 

A Eletronuclear liberou uma nota ao público acerca do incidente, tal como manda a LGPD. Confira a nota na íntegra aqui. 

Fontes:

MoneyTimes | Tecmundo | Terra

Copel sofre ataques hackers – 01/02/2021

A Copel (Companhia Paranaense de Energia) confirmou ter sofrido um ataque hacker aos seus sistemas no dia 01/02/2021. A Copel informou em comunicado aos acionistas que alguns de seus servidores ficaram instáveis. 

“Os sistemas de operação e proteção detectaram os ataques e, imediatamente, a companhia seguiu os protocolos de segurança, inclusive a suspensão do funcionamento de seu ambiente informatizado para proteger a integridade das informações”, afirmou a Copel em documento enviado à Comissão de Valores Mobiliários (CVM), tal como manda a LGPD. 

Segundo a Copel, não houve vazamento de dados e o fornecimento de energia elétrica e telecomunicações não foi afetado pelo ataque. A empresa ainda informou que a Polícia Civil está acompanhando o caso.

O atendimento aos usuários voltou a funcionar no dia 03/02/2021, após mais de 40 horas de indisponibilidade. A empresa, no entanto, segue com alguns sistemas indisponíveis para recuperação dos danos causados pelo ataque. 

Fontes:

Gazeta do Povo – Notícia 1 | Gazeta do Povo – Notícia 2 | Tecmundo | CBN Curitiba

Vazamento expõe dados de 223 milhões de brasileiros – 19/01/2021

Na semana do dia 22/01/2020 foi identificado pelo dfndr lab da PSafe um vazamento de dados que expôs o CPF, nome completo, data de nascimento, foto de rosto, telefone, email, salário, renda, score de crédito, nível de escolaridade, estado civil, entre outras informações de mais de 220 milhões de cidadãos brasileiros. Bem como informações de 40 milhões de CNPJs brasileiros.

As informações são fruto de dois vazamentos interligados que foram compilados em agosto de 2019 e estão disponíveis em um fórum da dark web. Segundo o Tecnoblog, são 37 bases de dados que incluem todo tipo de informação pessoal e sensível de cidadãos brasileiros. 

A ANPD (Autoridade Nacional de Proteção de Dados) manifestou-se no dia 27/01/2021 informando que está apurando informações sobre o vazamento de dados e trabalha em cooperação com órgãos investigativos para descobrir a origem do vazamento de dados, sua extensão e consequências. A ANPD também será a responsável por sugerir medidas cabíveis e previstas na LGPD para responsabilizar e punir os envolvidos no vazamento de dados. 

Ainda em 28/01/2021, a PF recebeu um pedido da ANPD para abrir uma investigação acerca do megavazamento de dados. Segundo o G1, o inquérito apurará todos os vazamentos de dados recentemente noticiados. 

Fontes:

Tecnoblog – Notícia 1 | Tecnoblog – Notícia 2 | Olhar Digital | CNN | G1 – Notícia 1 | G1 – Notícia 2

Vazamento de dados do Detran – 18/01/2021

Uma falha de segurança no site do Detran/SC denunciada ao portal Olhar Digital no dia 18/01/2021 tornou possível acessar informações privadas de motoristas multados no Estado com apenas os números do Renavam e placa do veículo.

No vazamento, ao alterar o número sequencial na URL da página o sistema mostrava informações como nome completo, CPF, local de infração e fotos do carro multado sem necessidade de nenhum tipo de autenticação para o acesso aos dados. 

No dia 20/01/2020, o Detran/SC se manifestou em nota ao Olhar Digital afirmando que: 

“a equipe técnica do Ciasc, responsável pela gestão do site do Detran/SC, identificou as inconsistências no sistema que expuseram a segurança do site e já realizou as correções necessárias. Importante salientar que não houve prejuízos aos cidadãos e ao Detran”.

Fonte:

Olhar Digital

Hospital Albert Einstein – 26/11/2020

No dia 26/11/2020 o jornal O Estado de São Paulo divulgou uma reportagem revelando um vazamento de dados que atingiu o Hospital Albert Einstein e expôs informações de mais de 16 milhões de brasileiros com diagnóstico de COVID-19.

Conforme a reportagem, importantes personalidades brasileiras, tais como o presidente Jair Bolsonaro, o presidente da Câmara, Rodrigo Maia, o presidente do Senado, Davi Alcolumbre, bem como informações de ministros e de mais de 16 governadores estaduais. 

A causa do vazamento foi uma falha humana e nos registros violados constavam informações como endereços, telefones, CPF e informações médicas, tal como doenças pré-existentes. 

Após a repercussão, o Hospital Albert Einstein foi notificado pelo Procon-SP para demonstrar, a partir do dia 30/11/2020, se adota medidas internas realmente capazes de proteger os dados pessoais e sensíveis. 

Fontes: 

Valor Investe | TI Inside | Zero Hora | Privacy Tech

Vazamento de dados Embraer – 25/11/2020

No dia 25/11/2020 a Embraer, conglomerado brasileiro fabricante de aviões, foi atingida por um ataque ransomware, divulgado ao público apenas 5 dias após  o ocorrido (30/11/2020). 

Segundo reportagem do jornal “O Globo”, mais de 300 megabytes de arquivos foram vazados e disponibilizados na Deep Web, incluindo documentos acerca da venda de um avião militar nomeado Super Tucano. De acordo com a Embraer, os dados foram vazados devido à recusa da empresa de pagar o valor do resgate aos hackers. 

Em comunicado oficial, a empresa afirmou que: “A Companhia segue investigando as circunstâncias do ataque e a quantidade de informações exfiltradas ou divulgadas, avaliando a existência de impactos sobre seus negócios e terceiros, bem como determinando e tomando as medidas cabíveis.” 

O site de notícias ZDNet, os dados da Embraer foram vazados pelo mesmo grupo hacker que atacou o STJ no início de novembro. 

Fontes:

O Globo | CybersecurityHelp | The Hack | G1 | MoneyTimes | Tecnoblog | Gazeta do Povo

Suspensão de venda de dados Serasa Experian – 20/11/2020

No dia 20/11/2020 o MPDFT informou, com base na LGPD, a interrupção da venda de dados pessoais de consumidores pela empresa Serasa Experian. 

Essa decisão foi tomada a partir de uma ação civil pública movida pela Espec, a qual identificou que a Serasa Experian realizava a venda de informações pessoais de clientes para terceiros para captação de clientes e utilização para publicidade.

Os dados, segundo apuração da Folha de São Paulo, eram vendidos através dos serviços “Lista Online” e “Prospecção de Clientes”. Dentre as informações comercializadas estavam: nome, CPF, endereço, gênero e classe social de clientes do banco de dados da Serasa Experian.

Economia – Uol | Folha de São Paulo | Exame | Suno Research | Valor Econômico | Baguete

ENEL vazamento de dados – 09/11/2020

No dia 09/11/2020 a concessionária de energia elétrica Enel de Osasco (SP) começou a informar seus clientes sobre um vazamento indevido de dados que afetou cerca de 4% da base de clientes na localidade.

Entre os dados vazados constam nome, data de nascimento, endereço e dados bancários. Em comunicado oficial, a Enel afirmou ter iniciado um processo de verificação interna sobre o ocorrido, bem como comunicou o vazamento dos dados para as autoridades competentes

A concessionária avisou os clientes afetados através de email ou carta, conforme determina o texto da LGPD. A Enel, no entanto, não poderá ser punida antes de agosto de 2021, que é a data estabelecida para o início da validade das sanções pela LGPD, conforme ressalta o veículo jornalístico Convergência Digital.

Fontes:

Uol – Tilt | Olhar Digital | Convergência Digital

STJ vazamento de dados – 03/11/2020

Em 03/011/2020 o Superior Tribunal de Justiça foi atacado pelo ransomware RansomExx, que também fez vítimas nos EUA desde maio de 2020. Na ocasião, todos os julgamentos foram suspensos por uma semana, bem como foram derrubados os links de acesso à internet do STJ e houve o bloqueio de todas as contas de usuário que acessaram a rede nas 24 horas antecedentes ao ocorrido.

Segundo o site de notícias CISO Advisor, mais de 1.200 servidores foram comprometidos no ataque, bem como os backups. 

Após o ataque, o Conselho Nacional de Justiça (CNJ) aprovou três novos protocolos de segurança cibernética através do  Ato Normativo 0010158-46.2020.2.00.0000, chamado de Protocolo de Prevenção a Incidentes Cibernéticos (PPICiber/PJ), que estabelece diretrizes para gestão de risco e prevenção de incidentes tal como o ataque ao STJ.

Fontes:

The Hack | Tecnoblog | Gizmodo | TecMundo | Olhar Digital | Canal Tech | Conjur

Facilita Info – 21/10/2020

No dia 21/10/2020, exatamente um mês após a primeira sanção com base na LGPD, o Ministério Público do Distrito Federal e Territórios (MPDFT) movimentou – e venceu – uma nova ação em prol da proteção dos dados pessoais.

Também com base na LGPD, o site Facilita Info foi condenado a um “congelamento” de seu domínio, bem como ao pagamento de uma multa de R$15 mil para cada movimentação realizada após a decisão judicial.

Segundo o MPDFT pela sua Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec), foi identificado que o site realizava venda em massa de dados pessoais de brasileiros incluindo informações como: nome, telefone, cidade, Estado e profissão.

Na decisão, a juíza do caso afirma que: “[…] o direito a ter privacidade e intimidade protegidos está previsto na Constituição Federal, rol dos direitos fundamentais, e se espraia pelo ordenamento jurídico capilarizado em diversos diplomas, sejam os citados na peça inaugural, sejam ainda outros em que também pode se encontrar irradiações do direito fundamental à privacidade e intimidade. […] Assim o sendo, entendo que o “congelamento” do site é medida profilática adequada, pois inibe o aumento da atividade empresária do requerido, evitando que mais e mais pessoas possam ser prejudicadas.”

Fontes:

Jornal de Brasília | Metrópoles | Política Distrital | Grupo Assaf

MercadoLivre – 19/10/2020

Em 19/10/2020 o Mercado Livre foi sentenciado a suspender um anúncio referente a venda de banco de dados pelo juiz da 17ª Vara Cível de Brasília, com base na LGPD. 

Na liminar, também houve a determinação de que a empresa Sidnei Sassi se abstenha de disponibilizar dados pessoais de quaisquer indivíduos com multa fixada em R$ 2 mil para cada operação. 

Segundo o Ministério Público do Distrito Federal e Territórios (MPDFT), que foi o autor da ação, houve identificação de venda de dados pessoais de brasileiros através do marketplace Mercado Livre sendo a beneficiária uma empresa localizada no Rio Grande do Sul. Conforme análise do juiz do caso, a comercialização ocorria sem o consentimento dos titulares dos dados, caracterizando-se como irregular. 

Conforme afirma na decisão: “Tal prática, portanto, está em patente confronto com o princípio constitucional da inviolabilidade do sigilo de dados, insculpido no artigo 5º, XII, da Constituição Federal e o fundamento do respeito à privacidade, previsto no artigo 2º, I, da Lei Geral de Proteção de Dados Pessoais, sem prejuízo de outros Diplomas Legais aplicáveis à espécie, a demonstrar a probabilidade do direito invocado. O perigo de dano, por sua vez, dessai da persistente violação à privacidade dos titulares dos dados, a tornar impositiva a suspensão do comércio erigido pelo réu.”

Fontes:

Convergência Digital | Jornal Jurid | Migalhas | Grupo Assaf

Cyrela compartilha dados de clientes é a 1ª multada pela LGPD no Brasil – 29/09/2020

No dia 29/09/2020 a construtora Cyrela, com sede em São Paulo e operações em 16 estados brasileiros, foi condenada a pagar uma multa de R$10 mil pelo compartilhamento indevido de dados de um cliente com outras organizações parceiras.

Segundo a juíza Tonia Yuka Koroku:  “Resta devidamente comprovado que o autor (do processo) foi assediado por diversas empresas pelo fato de ter firmado instrumento contratual com a ré para a aquisição de unidade autônoma em empreendimento imobiliário”. Na decisão complementa: “Patente que os dados  independentemente de sensíveis ou pessoais (art. 5o, I e II, LGPD)  foram tratados em violação aos fundamentos de sua proteção (art. 2º, LGPD) e à finalidade específica, explícita e informada ao seu titular (art. 6º, I, LGPD).”

Em nota à imprensa, a construtora afirmou que tomaria as medidas judiciais cabíveis, bem como comentou acerca da realização de um programa para atender às determinações da LGPD.  

Fontes:

Conjur | Olhar Digital | Convergência Digital | Época Negócios | Grupo Assaf

Lembrete Digital  – 21/09/2020

Apenas 3 dias (21/09/2020) após a vigência da LGPD (18/09/2020), o Ministério Público do Distrito Federal (MPDFT) abriu a primeira ação civil pública com base na LGPD contra o serviço Lembrete Digital, operado pela empresa Infortexto de Belo Horizonte.

A ação foi aberta após a empresa ser acusada de comercializar bancos de dados para fins de publicidade e mala direta. Segundo o processo aberto pelo MPDFT, dados de cerca de 500 mil residentes de São Paulo constavam entre os dados comercializados pelo Lembrete Digital. Além disso, os dados eram vendidos por segmentação, tal como atuação profissional, ou por regiões do país.

A venda de dados acontecia em uma forma similar à venda de produtos em marketplaces.

Após a abertura do processo, o site foi desativado para manutenção e atualmente o domínio se encontra fora do ar.

Fontes:

Terra | Canaltech | Olhar Digital | Mobile Time | Grupo Assaf

Confira na íntegra o Planejamento Estratégico 2021-2023 da Autoridade Nacional de Proteção de Dados.

Dê o próximo passo na jornada de adequação à LGPD! Contate nossos especialistas e conheça as melhores soluções em tecnologia, processos e treinamento de usuários para a segurança de dados e o compliance com a legislação. Vamos juntos nessa jornada!

Compartilhe nas redes sociais

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Outros artigos: