Tag: Segurança de dados

Publicado em por Deixe um comentário

O CRESCIMENTO DOS ATAQUES CIBERNÉTICOS NO BRASIL E A INFLUÊNCIA DA INTELIGÊNCIA ARTIFICIAL

Entre 2022 e 2023, o Brasil registrou uma redução significativa no número total de ataques cibernéticos, caindo de 103 bilhões para 60 bilhões de tentativas. No entanto, esse declínio esconde uma mudança importante no perfil dos ataques, com a inteligência artificial (IA) desempenhando um papel cada vez mais central. Atualmente, mais da metade dos ataques recentes contra empresas brasileiras envolve algum uso de IA generativa.

Essas informações são oriundas do estudo “The State of Cybersecurity in LATAM 2024”, realizado pela FortiGuard Labs da Fortinet. Segundo o relatório, 54% das empresas brasileiras relataram um aumento nas tentativas de violações de segurança em 2023, em comparação com anos anteriores. Esse cenário tem exacerbado o estresse das equipes de TI, dado o aumento na sofisticação e na precisão das ameaças.

É imperativo que as empresas brasileiras compreendam a evolução do cenário de ameaças cibernéticas e invistam em soluções integradas de segurança, como o blockchain, para se protegerem contra ataques cada vez mais sofisticados. As organizações precisam estar preparadas para enfrentar ameaças que se tornam gradualmente mais complexas com o avanço da tecnologia.

Especialistas apontam que a manutenção constante de processos é essencial. À medida que as organizações implementam algoritmos de IA, novos pontos de vulnerabilidade surgem, sendo explorados por cibercriminosos. A necessidade urgente de proteção é clara: as empresas devem adotar uma postura proativa na defesa de seus dados e sistemas.

O uso crescente de IA por cibercriminosos sublinha a importância de uma abordagem ética e responsável no desenvolvimento e implementação dessas tecnologias. Para enfrentar os ciberataques, é vital investir em soluções de segurança avançadas e em constante atualização, além de promover uma cultura organizacional de conscientização e treinamento em cibersegurança para todos os colaboradores.

A complexidade das ameaças, especialmente com o uso crescente da inteligência artificial, exige que as empresas adotem práticas de segurança de dados robustas, como criptografia e verificação da integridade dos dados, para evitar adulterações ou corrupções que possam comprometer os resultados da IA.

Embora a inteligência artificial ofereça inúmeras oportunidades, é fundamental reconhecer e mitigar os desafios emergentes em termos de segurança cibernética. É essencial que líderes empresariais priorizem investimentos em cibersegurança e adotem medidas proativas para se protegerem contra ameaças cada vez mais sofisticadas.

Publicado em por Deixe um comentário

DESAFIOS DE COMPLIANCE NO SETOR DE TECNOLOGIA E TELECOMUNICAÇÕES

As empresas de tecnologia e telecomunicações estão na linha de frente dos desafios de compliance, devido à natureza altamente regulada de suas operações e ao vasto volume de dados pessoais que tratam diariamente. A gestão desses dados acarreta não apenas riscos regulatórios, mas também a possibilidade de incidentes de segurança que podem ter consequências significativas.

Para garantir maior eficiência e otimização, muitas empresas terceirizam parte de suas operações. Contudo, essa prática exige uma avaliação criteriosa dos terceiros contratados para assegurar que fornecedores e parceiros também estejam alinhados com as melhores práticas de compliance. Além disso, a natureza transfronteiriça das operações dessas empresas demanda a observância das regulamentações de diversos países, elevando o nível de complexidade e a necessidade de um programa de compliance robusto e integrado.

Consequências da Não Conformidade

A não conformidade com as regras de compliance no ambiente digital pode resultar em severas sanções e ações judiciais. Empresas que falham em proteger os dados pessoais podem enfrentar multas expressivas, proibições operacionais e outras penalidades administrativas. Além dos impactos financeiros, as empresas também podem sofrer danos irreparáveis à sua reputação e marca.

Desenvolvimento de Programas de Compliance

Desenvolver e implementar programas de compliance eficazes em um ambiente digital em constante evolução é crucial. O comprometimento da liderança é o primeiro passo fundamental para o sucesso de qualquer programa de compliance. A liderança deve compreender a importância do tema e alocar recursos adequados para manter um programa robusto e eficaz.

A criação de políticas e procedimentos de governança é essencial. Esses documentos devem ser amplamente divulgados e implementados de forma precisa no dia a dia das atividades empresariais.

Educação Digital e Governança Corporativa

A educação digital é outra peça-chave para a conformidade em um ambiente digital. Empresas têm a obrigação de educar os usuários sobre seus direitos e práticas de segurança para proteger dados pessoais. Esse esforço deve ser transparente e fornecer orientações claras sobre como os usuários podem proteger suas informações enquanto utilizam os serviços da empresa.

Avaliação de Riscos e Medidas Técnicas

As empresas devem estar constantemente atentas aos riscos de violação da privacidade dos dados. Avaliações periódicas dos riscos e impactos são essenciais para identificar vulnerabilidades. Medidas técnicas e organizacionais, como controles de acesso, autenticação multifatorial, gerenciamento de privilégios, monitoramento de atividades, criptografia e sistemas de detecção de ameaças, são cruciais para garantir a segurança dos dados.

Transferências Internacionais de Dados

Para transferências internacionais de dados, é necessário garantir que os dados sejam protegidos conforme os padrões regulatórios de cada localidade. Cláusulas contratuais robustas devem ser implementadas para assegurar o tratamento adequado dos dados e permitir auditorias regulares das práticas de segurança e conformidade.

Inovação e Tecnologia no Compliance

As novas tecnologias são ferramentas fundamentais para a inovação nos processos de compliance. Análises preditivas podem examinar grandes conjuntos de dados para identificar padrões e possíveis violações de compliance. Tecnologias avançadas também facilitam auditorias digitais, permitindo uma coleta e análise mais eficiente de evidências em casos de incidentes de segurança. Isso não apenas mitiga danos aos titulares de dados, mas também assegura a conformidade regulatória, atendendo princípios como o da responsabilização e prestação de contas previstos na Lei Geral de Proteção de Dados (LGPD).

A complexidade do ambiente digital e as crescentes exigências regulatórias impõem um desafio significativo às empresas de tecnologia e telecomunicações. No entanto, com um compromisso firme da liderança, políticas bem estruturadas, educação contínua e uso de tecnologias avançadas, é possível desenvolver um programa de compliance eficaz que proteja dados pessoais e sustente a confiança e a integridade da empresa.

Publicado em por Deixe um comentário

COMO A VENDA DE INFORMAÇÕES SENSÍVEIS AFETA OS CONSUMIDORES

A prática de vender dados sensíveis de consumidores para multinacionais de pesquisa de mercado tem gerado crescente preocupação entre especialistas em direitos do consumidor, especialmente no contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil. Empresas estão utilizando o CPF dos consumidores para obter informações detalhadas sobre suas prescrições médicas, que são depois repassadas para empresas privadas, possibilitando que estas tenham acesso a dados como o tipo de medicamento, classe terapêutica, dosagem, e muito mais.

Esse conjunto de informações é transformado em relatórios que ajudam as indústrias farmacêuticas a otimizar suas estratégias de vendas, marketing, e até mesmo identificar oportunidades para novos lançamentos de produtos. Ao fornecer o CPF nas farmácias para obter descontos, os consumidores, muitas vezes sem saber, estão contribuindo para a criação de um histórico de compras que é vendido para empresas de pesquisa de mercado.

Atualmente, algumas redes privadas possuem dados de milhões de brasileiros, uma quantidade significativamente maior do que a de programas governamentais. Isso ocorre porque os dados pessoais, especialmente os sensíveis, são extremamente valiosos para as empresas. Esses dados permitem a criação de propagandas direcionadas e outras estratégias de marketing altamente eficazes.

A LGPD exige que as empresas sejam transparentes sobre suas políticas de compartilhamento de dados, mas a realidade é que nem todas seguem essas diretrizes de forma adequada. Farmácias e outras empresas devem informar claramente como os dados dos consumidores serão usados e garantir que o consentimento seja obtido de forma explícita.

Uma questão comum é se os consumidores perdem os descontos se não fornecerem o CPF. A resposta é não. As farmácias podem e devem conceder o desconto mesmo que o cliente se recuse a fornecer seus dados pessoais. Se a farmácia negar o desconto sem o CPF, o consumidor tem o direito de denunciar ao Procon. É aconselhável sempre perguntar o preço do produto com e sem o desconto antes de fornecer qualquer informação pessoal.

Para aqueles preocupados com o uso indevido de seus dados, é possível consultar algumas das principais redes de farmácias para verificar quais informações elas possuem. Essa prática de solicitar o CPF para descontos pode ser considerada abusiva sob a LGPD, que exige consentimento explícito e transparência no compartilhamento de informações pessoais.

A Agência Nacional de Proteção de Dados (ANPD) tem monitorado essas práticas desde 2020, e o Instituto Brasileiro de Defesa do Consumidor (Idec) alerta para os riscos associados ao vazamento e uso indevido desses dados. O desconto em medicamentos não deve comprometer a liberdade do consumidor de decidir sobre o compartilhamento de suas informações.

Ademais, a Agência Nacional de Vigilância Sanitária (Anvisa) estabelece que farmácias e drogarias não devem ultrapassar o preço máximo permitido pela Câmara de Regulação do Mercado de Medicamentos (CMED), cujo preço máximo pode ser verificado no site da Anvisa. É fundamental que os consumidores estejam cientes de seus direitos e das práticas de proteção de dados para tomar decisões informadas sobre o compartilhamento de suas informações pessoais.

Publicado em por Deixe um comentário

“Invasão Digital: Facebook da Prefeitura no Espírito Santo Exibe Conteúdo Sexual Após Ser Hackeado”

A Prefeitura de Castelo, localizada no sul do Espírito Santo, sofreu um ataque cibernético em seu perfil oficial do Facebook. A partir do dia 6 de maio, conteúdos de natureza sexual começaram a ser divulgados indevidamente pelos hackers.

Até a presente data, 25 de maio, as publicações inapropriadas continuam sendo feitas. Em resposta ao incidente, dois dias após o início das postagens indevidas, a administração municipal emitiu um comunicado por meio do Instagram. No aviso, informaram que o perfil havia sido comprometido e solicitaram desculpas pelo ocorrido.

Além disso, a Prefeitura de Castelo apelou à população para que ajudasse a combater a violação reportando a conta hackeada.

www.securitylgpd.com

PROTEJA SUAS REDES SOCIAIS

Proteger sua conta do Facebook de ataques cibernéticos é crucial para manter sua segurança digital. Aqui estão algumas dicas práticas para ajudar a evitar que sua conta seja hackeada:

  1. Use uma senha forte e única: Evite senhas simples ou que já tenham sido usadas em outras contas. Combine letras maiúsculas e minúsculas, números e símbolos para criar uma senha complexa.
  2. Ative a autenticação de dois fatores (A2F): Essa é uma das medidas de segurança mais eficazes. Mesmo que alguém consiga sua senha, ainda precisará de um código de acesso enviado ao seu telefone para entrar na conta.
  3. Mantenha seu e-mail seguro: Garanta que o e-mail associado à sua conta do Facebook também esteja protegido, pois é um ponto de entrada para redefinir sua senha.
  4. Revise as configurações de segurança e login: Regularmente, verifique as configurações de segurança do Facebook para qualquer atividade suspeita e assegure-se de que apenas dispositivos e sessões reconhecidos estão conectados à sua conta.
  5. Evite clicar em links suspeitos: Hackers frequentemente usam links que parecem legítimos para roubar suas informações. Verifique sempre a URL antes de clicar e não insira seus dados em sites que não pareçam confiáveis.
  6. Atualize seu software regularmente: Mantenha seu sistema operacional e aplicativos, incluindo o aplicativo do Facebook, atualizados para proteger-se contra vulnerabilidades de segurança.
  7. Use um gerenciador de senhas: Para ajudar a gerenciar e proteger suas senhas, considere o uso de um gerenciador de senhas confiável.
  8. Eduque-se sobre phishing: Esteja ciente de técnicas de phishing que podem tentar enganá-lo para que você revele informações pessoais ou de login. Desconfie de mensagens ou e-mails que solicitam informações confidenciais.
  9. Limite as informações compartilhadas online: Quanto menos informações pessoais você compartilhar, menor será o risco de ser alvo de hackers.

Implementando essas medidas, você aumentará significativamente a segurança da sua conta no Facebook e reduzirá o risco de invasões indesejadas.

www.securitylgpd.com

Publicado em por Deixe um comentário

REGULAMENTAÇÃO DA IA: LIÇÕES DA UNIÃO EUROPEIA E PERSPECTIVAS PARA O BRASIL

Em 10 de abril de 2018, vinte e quatro Estados-Membros da União Europeia assinaram um termo de cooperação durante o evento “Digital Day 2018” para tratar da inteligência artificial (IA). Em 25 de abril do mesmo ano, a Comissão Europeia emitiu uma comunicação sobre IA, sugerindo o avanço da capacidade tecnológica e industrial da União Europeia em prol da IA, a preparação para mudanças socioeconômicas decorrentes dessa tecnologia e a criação de um marco regulatório eficaz, baseado em valores democráticos e na proteção dos direitos fundamentais, para garantir o desenvolvimento ético da IA.

A Comissão Europeia solicitou que os Estados-Membros coordenassem planos estratégicos nacionais para a implementação da IA até o final de 2018. Na ocasião, foi criado o Grupo de Peritos de Alto Nível em Inteligência Artificial (AI HLEG), composto por pesquisadores, acadêmicos, representantes da indústria e da sociedade civil. Paralelamente, foi estabelecida a “Aliança Europeia para a IA” para fomentar a participação democrática, incluindo audiências públicas sobre diversos temas relacionados à IA.

Em 18 de dezembro de 2018, o AI HLEG submeteu à consulta pública o primeiro esboço das “Diretrizes Éticas para a Fiabilidade da Inteligência Artificial”. Após debates intensos, a versão final foi apresentada em 8 de abril de 2019, intitulada “Ethics Guidelines for Trustworthy AI”. Este documento delineou quatro princípios éticos fundamentais:

  1. Respeito à autodeterminação humana: A IA deve respeitar os direitos e garantias fundamentais, bem como a democracia.
  2. Prevenção de danos: Devem ser adotadas medidas robustas para evitar danos aos seres humanos.
  3. Justiça: Garantir uma distribuição equitativa dos benefícios e custos, eliminando qualquer tipo de preconceito.
  4. Transparência e clareza: Os sistemas de IA devem ser compreensíveis para os operadores humanos.

Além dos princípios, foram apresentados requisitos para a fiabilidade da IA, abrangendo supervisão humana, robustez técnica, privacidade e proteção de dados, transparência, diversidade, bem-estar social e ambiental, e prestação de contas.

Em 7 de dezembro de 2018, a União Europeia estabeleceu um plano coordenado de medidas para a implementação da IA, incentivando os Estados-Membros a elaborarem planos nacionais até meados de 2019. Posteriormente, em 19 de fevereiro de 2020, a Comissão Europeia lançou o relatório “White Paper on Artificial Intelligence: an European approach to excellence and trust”, reforçando as diretrizes éticas e destacando a necessidade de regulação da responsabilidade civil por danos causados por produtos e serviços de IA. Sugeriu-se a revisão da “Product Liability Directive” de 1985, para abordar as complexidades da IA, como a dificuldade de provar defeitos de programação em tecnologias como carros autônomos.

Na mesma data, a Comissão Europeia aprovou o plano estratégico para os dados, prevendo um aumento significativo no volume de dados na era do Big Data. Este plano destacou a cooperação internacional necessária para a aplicação de medidas regulatórias devido à circulação transfronteiriça de dados.

Nos Estados Unidos, o “Future of AI Act” de 2017 propôs diretrizes éticas para o desenvolvimento de IA, sem abordar diretamente a área da saúde. Documentos recentes, como o “Artificial Intelligence Act” europeu e o “Algorithmic Accountability Act” norte-americano, evitam discutir a terminologia de “inteligência”, preferindo referir-se a “sistemas decisionais automatizados” e reafirmando a importância de parâmetros éticos para o desenvolvimento de algoritmos.

No Brasil, várias iniciativas legislativas buscaram regulamentar a IA, mas com propostas inicialmente superficiais. Em fevereiro de 2022, foi instituída uma comissão de juristas para elaborar um substitutivo sobre IA, resultando no Projeto de Lei nº 2.338/2023. Este projeto, inspirado na abordagem europeia, estratifica soluções conforme o grau de risco de cada atividade de IA.

Desde sua apresentação, o projeto recebeu diversas emendas parlamentares e está sendo analisado pela Comissão Temporária Interna sobre Inteligência Artificial no Brasil, um fórum multissetorial que garante regulamentações abrangentes e eficazes, equilibrando inovação tecnológica e proteção de direitos fundamentais. A versão mais recente, proposta em abril de 2024, reflete uma preocupação com a parametrização ética, alinhando-se aos princípios europeus.

A aprovação do Regulamento Geral Europeu sobre IA representa um marco significativo, baseado em princípios éticos que contribuem para o debate sobre responsabilidade civil. Este esforço europeu, resultado de anos de discussões, serve de exemplo inspirador para outras nações, incluindo o Brasil, onde os trabalhos legislativos sobre IA continuam em andamento, merecendo atenção e acompanhamento cuidadoso.

Publicado em por Deixe um comentário

ENTENDA AS NOVAS DIRETRIZES E DESAFIOS COM O GUIA DA ANPD

Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) lançou o “Guia Orientativo – Hipóteses legais de tratamento de dados pessoais – Legítimo Interesse”, que aprofunda o entendimento sobre a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD). Este guia detalha o legítimo interesse (LI), uma base legal que autoriza o tratamento de dados pessoais (não sensíveis) para atender interesses legítimos do controlador ou de terceiros, desde que esses interesses não violem os direitos e liberdades fundamentais dos titulares dos dados.

O guia apresenta interpretações da ANPD sobre o uso do LI, incluindo exemplos práticos e um modelo de teste de balanceamento. Este teste é crucial para que as empresas possam demonstrar um equilíbrio adequado entre os interesses envolvidos, garantindo que o tratamento dos dados seja proporcional e seguro.

A adoção da base do legítimo interesse representa um desafio para as empresas, que precisam realizar o teste de balanceamento para assegurar a proporcionalidade e a segurança no tratamento dos dados pessoais. Apesar de a minuta inicial do documento sugerir a obrigatoriedade do registro do teste, a versão final do guia não confirma essa exigência, mas indica que o registro contribui para a transparência e a prestação de contas, além de permitir a avaliação da conformidade pela ANPD.

O guia ressalta que os controladores devem avaliar os riscos e a necessidade de registrar o teste de balanceamento caso a caso, sendo obrigatório apenas no tratamento de dados de crianças e adolescentes baseado no legítimo interesse.

O documento também detalha os passos que o agente de tratamento deve seguir, desde a identificação da natureza dos dados até a avaliação dos interesses do controlador ou de terceiros. A ANPD considera a coletividade como um terceiro relevante, permitindo a aplicação do conceito de legítimo interesse em situações que beneficiem a sociedade como um todo, desde que respeitados os preceitos legais.

Para que o legítimo interesse seja válido, o controlador deve identificar e justificar o interesse, garantindo sua compatibilidade com as regras jurídicas, evitando situações especulativas ou futuras, e vinculando-o a finalidades legítimas e explícitas. O guia exemplifica a aplicação do legítimo interesse, permitindo que instituições de ensino enviem promoções aos seus alunos e professores, desde que observadas as disposições legais.

Apesar da clareza do guia, a aplicação do legítimo interesse é passível de questionamento, tanto pela ANPD quanto pelos titulares dos dados. Portanto, é essencial que os controladores sigam rigorosamente as orientações do guia, assegurando transparência e mecanismos que permitam aos titulares exercerem seus direitos.

O “Guia Orientativo – Hipóteses legais de tratamento de dados pessoais – Legítimo Interesse” da ANPD é um marco importante na regulamentação do tratamento de dados pessoais no Brasil, trazendo clareza e novos desafios para as empresas na implementação da LGPD.

Publicado em por Deixe um comentário

NOVA RESOLUÇÃO DO TSE IMPÕE REGRAS PARA USO DE IA NA PROPAGANDA ELEITORAL

Recentemente, o Tribunal Superior Eleitoral (TSE) aprovou uma nova resolução que impactará a propaganda eleitoral para as eleições municipais de 2024, especificamente abordando o uso de inteligência artificial (IA), proteção de dados e fake news. A Resolução Nº 23.732/24 altera a Resolução nº 23.610/19 e traz à tona questões cruciais sobre a identificação e rotulagem de conteúdo sintético multimídia em peças publicitárias.

Uma das mudanças mais notáveis é a exigência de rotulagem de qualquer peça publicitária que utilize IA. Esta determinação visa informar o público sobre o uso de tecnologia avançada na criação de imagens, textos ou vídeos. No entanto, a aplicação prática dessa exigência gera dúvidas, pois a IA pode ser utilizada em várias fases do desenvolvimento publicitário, desde a pesquisa até a produção final. A resolução esclarece que o rótulo deve ser aplicado ao conteúdo final veiculado ao público, garantindo transparência sobre o uso de IA no material divulgado.

Além disso, o uso de chatbots e avatares foi restringido, proibindo qualquer simulação de conversas com candidatos ou pessoas reais, com o objetivo de evitar a disseminação de informações falsas ou enganosas. A vedação ao uso de deepfakes também é destacada, proibindo a utilização de qualquer conteúdo artificialmente gerado ou modificado que possa influenciar negativamente o processo eleitoral.

A resolução também aborda a proteção de dados, classificando campanhas em cidades com menos de 200.000 eleitores como agentes de tratamento de pequeno porte, aplicando-se as disposições da Resolução CD/ANPD nº 2 de 2022. Há uma exigência de registro detalhado das operações de tratamento de dados, incluindo informações sobre o tipo de dado, sua origem, categorias de titulares, finalidade e medidas de segurança adotadas.

Outra medida significativa é a exigência de um relatório de impacto à proteção de dados (RIPD) para campanhas que realizem tratamento de dados de alto risco, especialmente aquelas que envolvem tecnologias inovadoras ou dados sensíveis. Esse relatório deve ser elaborado pela candidata ou candidato e pelo partido político, detalhando os tipos de dados coletados, os riscos identificados, as metodologias de tratamento e as medidas de mitigação de riscos.

Essas regulamentações são essenciais para garantir que a IA e outras tecnologias emergentes sejam usadas de maneira responsável no contexto eleitoral, preservando a integridade do processo democrático e protegendo os direitos dos eleitores. Em um cenário global onde o uso irresponsável da IA em campanhas eleitorais tem sido reportado, como em casos nos EUA onde telefonemas automatizados enganam eleitores, a iniciativa do TSE representa um avanço significativo na busca por um processo eleitoral mais justo e transparente.

Publicado em por Deixe um comentário

RISCOS E IMPLICAÇÕES DO TRATAMENTO DE DADOS MÉDICOS

A proteção de dados pessoais é um tema central quando se fala em prescrição médica, especialmente porque as informações contidas nesses documentos são consideradas dados pessoais sensíveis, conforme a Lei Geral de Proteção de Dados (LGPD), Lei Nº 13.709/18. A recente revelação de que a indústria farmacêutica monitora receitas médicas sem consentimento coloca em evidência uma possível violação sistemática do direito à proteção de dados dos médicos.

Conforme noticiado, o procedimento envolve a captura e comercialização de dados de receitas médicas pelas indústrias farmacêuticas. Quando uma receita é registrada no sistema da farmácia, empresas especializadas acessam esses registros, processam as informações e as vendem para as farmacêuticas. Com esses dados, é possível traçar um perfil dos médicos e influenciá-los a prescrever os medicamentos produzidos por essas indústrias. Esse ciclo se repete quando a prescrição influenciada é registrada na farmácia, que é remunerada pelo fornecimento dos dados. Estima-se que pelo menos 250 milhões de receitas sejam processadas anualmente desta forma.

Esse tipo de atividade representa um significativo tratamento de dados pessoais. Segundo a LGPD, dado pessoal é qualquer informação relacionada a uma pessoa identificada ou identificável. Assim, o medicamento prescrito em uma receita médica torna-se um dado pessoal quando associado ao nome e CRM do médico.

As operações de coleta, armazenamento, compartilhamento, classificação e criação de perfis de médicos devem estar em conformidade com a LGPD, ou seja, baseadas em uma das hipóteses legais para o tratamento de dados pessoais, com finalidades legítimas e informadas aos titulares dos dados. Os dados coletados devem ser adequados, necessários e relevantes para as finalidades especificadas, e as operações devem ser transparentes, evitando discriminações e garantindo a prestação de contas.

Os médicos devem ser informados sobre seus direitos garantidos pela LGPD, incluindo o livre acesso aos dados, a forma de tratamento, a duração desse tratamento, a identidade do responsável pelo tratamento, o uso compartilhado dos dados, e a finalidade do compartilhamento. Eles têm o direito de solicitar às farmácias, laboratórios ou empresas intermediárias uma declaração completa que indique a origem dos dados, os critérios utilizados e as finalidades do tratamento.

Além disso, o uso posterior dos dados pessoais para fins diferentes da finalidade original não é permitido sem a devida conformidade com a LGPD. A finalidade original das informações constantes da prescrição é a aquisição do medicamento pelo paciente na farmácia, e qualquer uso diverso disso deve ser devidamente justificado e conforme a lei.

No que diz respeito aos compartilhamentos, tanto farmácias quanto empresas intermediárias e indústrias farmacêuticas devem ser capazes de justificar a base legal para o tratamento de dados e garantir que esse tratamento seja legítimo, específico e informado aos titulares dos dados.

Essa atividade de tratamento de dados é de alto risco devido ao volume e à escala dos dados pessoais envolvidos, ao monitoramento dos titulares e à tomada de decisões automatizadas para criar perfis de médicos. O objetivo final de influenciar as prescrições médicas é particularmente problemático, pois pode levar a decisões que não refletem a melhor opção de tratamento para o paciente, mas sim a influência comercial sobre o médico.

Segmentar médicos por especialidade e média de preço dos medicamentos que prescrevem, e usar essas informações para abordagens comerciais, pode comprometer a autonomia dos médicos e representar uma significativa limitação do exercício de direitos. Isso caracteriza infrações graves à LGPD, especialmente quando há intenção de vantagem econômica, ausência de base legal para o tratamento de dados, e tratamento com efeitos discriminatórios.

O direito à proteção de dados inclui a liberdade e a autonomia na tomada de decisões, e o princípio da transparência é fundamental para equilibrar a relação entre agentes de tratamento e titulares dos dados. Influenciar decisões de maneira furtiva, sem o conhecimento do titular, contraria os princípios de boa fé e lealdade.

O princípio da transparência, vinculado aos princípios de boa fé e “accountability”, deve ser observado durante todo o ciclo de vida do tratamento de dados. Ele garante que o titular dos dados esteja ciente do uso de suas informações e possibilita o controle sobre o uso dos dados, bem como a responsabilização dos agentes de tratamento em casos de abuso ou uso ilícito. A proteção de dados não é apenas uma questão de conformidade legal, mas um imperativo ético para assegurar a confiança e a integridade na relação entre médicos, pacientes e a indústria farmacêutica.

Publicado em por Deixe um comentário

WORLDCOIN: COLETA DE DADOS BIOMÉTRICOS E PROTEÇÃO DE DADOS

Em 2019, uma inovadora empresa no setor de inteligência artificial lançou um projeto ambicioso conhecido como Worldcoin. O objetivo principal deste projeto é coletar imagens digitais da íris das pessoas que consentem voluntariamente, oferecendo em troca um pagamento em criptomoedas equivalente a cerca de 70 euros. Este esforço tem sido implementado em vários países, inclusive na União Europeia, onde a legislação de proteção de dados pessoais é notoriamente rigorosa.

Diante das denúncias recebidas, a Autoridade de Proteção de Dados da Espanha iniciou uma investigação em fevereiro de 2024. Em março, foi emitida uma ordem cautelar para suspender as atividades de coleta e tratamento de dados pessoais da empresa no país, além de bloquear os dados já coletados. Estima-se que cerca de 400 mil pessoas tenham tido seus dados coletados.

A Lei Geral de Proteção de Dados (LGPD) do Brasil, fortemente inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, também prevê medidas semelhantes. Qualquer empresa que colete e trate dados pessoais no Brasil, expondo os titulares a riscos desproporcionais, está sujeita a medidas rigorosas, semelhantes às tomadas pela autoridade espanhola no caso do Worldcoin.

A empresa por trás do projeto Worldcoin afirma que todas as informações coletadas são anônimas e que os indivíduos mantêm controle sobre seus dados. No entanto, as denúncias dirigidas à Autoridade de Proteção de Dados da Espanha alegam insuficiência de informações fornecidas, coleta de dados de menores e impossibilidade de retirada do consentimento dado.

A imagem digital da íris é considerada um dado biométrico e recebe proteção especial tanto pelo GDPR quanto pela LGPD. Este tipo de dado é classificado como sensível devido ao elevado risco que seu tratamento representa para os direitos e liberdades dos titulares, incluindo a possibilidade de usurpação de identidade.

A decisão da autoridade espanhola, embora preliminar, foi tomada com base em circunstâncias excepcionais, sendo considerada necessária e proporcional como medida preventiva para evitar a cessão dos dados a terceiros e salvaguardar o direito fundamental à proteção de dados pessoais.

No Brasil, o direito à proteção de dados é também um direito fundamental, garantido pela Constituição Federal. As autoridades brasileiras, portanto, possuem um amplo espectro de medidas à disposição para proteger este direito.

A LGPD exige o consentimento do titular para o tratamento de dados biométricos, salvo em circunstâncias específicas. O consentimento deve ser livre, expresso, específico, inequívoco e informado. Qualquer consentimento obtido de forma viciada, mediante informações genéricas ou enganosas, é considerado nulo.

O Supremo Tribunal Federal (STF) já declarou que a permissão para tratamento de dados pessoais é uma relativização do direito fundamental à proteção de dados. Assim, a transparência e clareza das informações fornecidas para a obtenção do consentimento são essenciais para garantir que os titulares compreendam plenamente o uso de suas informações.

Além disso, mesmo que o tratamento de dados pessoais seja baseado em uma base legal, ele deve ser realizado dentro de uma atividade lícita. Se a atividade principal for ilícita, o tratamento de dados também será considerado ilícito, independentemente da base legal formal utilizada.

As regras da LGPD visam reduzir o desequilíbrio entre o agente de tratamento e o titular dos dados, exigindo lealdade, transparência e informação. A não observância desses princípios ou a ausência de fundamento legal desequilibra a relação e configura uma conduta abusiva.

No Brasil, qualquer empresa que atue de maneira semelhante ao projeto Worldcoin, coletando e tratando dados pessoais que possam colocar em risco os direitos e liberdades das pessoas, viola os fundamentos do regime de proteção de dados e o direito fundamental à proteção de dados. Consequentemente, está sujeita à fiscalização e repressão da Autoridade Nacional de Proteção de Dados (ANPD) e pode ter suas atividades suspensas judicialmente desde a fase de coleta, em ações propostas pelo Ministério Público ou outros legitimados para a Ação Civil Pública.

Publicado em por Deixe um comentário

TCU APONTA VIOLAÇÃO DE DADOS E FALHAS DE CONTROLE DE ACESSO

O Tribunal de Contas da União (TCU) identificou várias deficiências na Plataforma de Governança Territorial, desenvolvida pelo Instituto Nacional de Colonização e Reforma Agrária (Incra). A plataforma, projetada para centralizar e simplificar a gestão dos sistemas do órgão, apresentou falhas críticas, sobretudo na segurança de dados e conformidade com a Lei Geral de Proteção de Dados (LGPD).

A auditoria operacional realizada pelo TCU revelou que o sistema possui um baixo nível de maturidade nos mecanismos de controle de acesso, expondo dados sensíveis e violando os princípios da LGPD. Além disso, os procedimentos burocráticos não estão totalmente alinhados com as diretrizes de desburocratização da Lei 14.129/2021, resultando em atrasos nas análises.

Um dos serviços digitais avaliados, o “Ingresso de Famílias no Programa Nacional de Reforma Agrária (PNRA)”, ainda depende de processos manuais de seleção, contrariando os princípios de eficiência, eficácia e economicidade que se espera de uma plataforma digital. A auditoria também revelou a ausência de estratégias para disseminar o uso da plataforma entre os beneficiários, limitando seu alcance.

A falta de uma política de controle de acesso coordenada pelo Incra coloca os dados sensíveis em risco de acessos não autorizados, comprometendo a integridade das informações. Isso viola o artigo 46 da LGPD e permite que pessoas não autorizadas insiram dados incorretos ou incompletos.

Para remediar as falhas, o TCU recomendou ao Incra que formalize e implemente uma política eficaz de controle de acesso, integrando todos os seus sistemas ao login único do governo federal (gov.br). O órgão também deve adotar medidas para obter documentos oficiais necessários à prestação dos serviços digitais e garantir que os sistemas sejam seguros, confiáveis e aderentes às diretrizes de proteção de dados e desburocratização.

Publicado em por Deixe um comentário

FRAUDES FINANCEIRAS AMEAÇAM INTEGRIDADE DO SISTEMA GOVERNAMENTAL

O Sistema Integrado de Administração Financeira do Governo Federal (Siafi) recentemente se tornou alvo de ações fraudulentas, que levantaram sérias questões sobre a segurança de nossas infraestruturas digitais nacionais. Inicialmente, o desvio de R$ 3,5 milhões em fundos do Ministério responsável pela Gestão e Inovação em Recursos Públicos chamou a atenção para vulnerabilidades que talvez tenham sido subestimadas. Felizmente, uma rápida resposta resultou na recuperação de R$ 2 milhões desses recursos, embora o restante tenha sido sacado ou transferido antes de qualquer intervenção.

O episódio se agravou com uma segunda tentativa de movimentação fraudulenta envolvendo R$ 9 milhões, que, por sorte, foi frustrada graças à vigilância e aos mecanismos de segurança atuais. Este incidente ressalta não apenas a audácia dos cibercriminosos, mas também a perene batalha entre manter sistemas seguros e a inovação constante dos métodos de ataque.

Além dessas tentativas diretas de fraude, houve relatos de uma campanha de phishing direcionada a funcionários do governo. Mensagens suspeitas foram enviadas aos celulares dos funcionários, instruindo-os a clicar em um link para uma suposta atualização necessária para continuar a acessar o sistema com segurança. Esta tática, embora comum, destaca a necessidade de uma educação robusta em segurança cibernética para todos os envolvidos na gestão de recursos sensíveis.

Em resposta a esses incidentes, o governo alterou as regras de acesso ao sistema. Agora, um certificado digital, emitido exclusivamente por uma entidade governamental específica, é requerido para qualquer movimentação significativa de recursos. Esta mudança não é apenas uma medida de fortalecimento da segurança, mas também uma resposta necessária para restaurar a confiança no manejo dos recursos públicos.

Estes eventos são um lembrete contundente de que a segurança cibernética deve ser uma prioridade incessante. As implicações de falhas de segurança são vastas, potencialmente afetando desde a eficiência administrativa até a integridade nacional. Embora a Polícia Federal e a Agência de Inteligência estejam investigando esses incidentes, e um dos suspeitos tenha sido identificado, a jornada para uma segurança digital mais robusta é contínua. A colaboração entre agências, a atualização constante das tecnologias de segurança e a formação contínua dos funcionários são essenciais para prevenir futuras infrações e garantir a proteção dos ativos nacionais.

Publicado em por Deixe um comentário

LEGISLAÇÃO E TECNOLOGIA: A NECESSIDADE DE PROTEÇÃO CONTRA ‘DEEPFAKES’

As ferramentas de inteligência artificial (IA) que criam “deepfakes” sexualmente explícitos têm sido alvo de críticas crescentes devido à sua natureza predatória, que visa principalmente as mulheres. Este tipo de tecnologia, que manipula imagens para criar representações sexualmente explícitas sem consentimento, é uma forma particularmente invasiva de abuso digital. Alarmantemente, estes algoritmos são projetados especificamente para afetar as mulheres, destacando um uso malicioso da tecnologia sem neutralidade alguma.

Um estudo recente revelou que o número de vídeos “deepfake” explícitos aumentou em mais de 550% entre 2019 e 2023, demonstrando a escalada preocupante deste fenômeno. A criação desses vídeos tornou-se surpreendentemente acessível e rápida, sendo possível gerar uma “deepfake” em menos de meia hora utilizando uma única fotografia clara do rosto da vítima.

A discussão sobre como combater essa forma de violência digital tem se intensificado, especialmente na União Europeia, que está à beira de implementar uma diretiva focada na violência contra as mulheres, que inclui medidas contra a ciber-violência. Esta legislação busca uniformizar a proteção em todos os estados-membros, fortalecendo as leis de privacidade e aumentando as responsabilidades sobre a disseminação de conteúdos digitais abusivos.

No entanto, a natureza transnacional da internet e a facilidade com que os conteúdos digitais cruzam fronteiras complicam a aplicação dessas leis. Vítimas podem estar em um país, enquanto os servidores que hospedam o conteúdo abusivo e os agressores podem estar em outros. Isso ressalta a necessidade de uma cooperação internacional mais robusta para efetivamente enfrentar esses desafios.

Além das medidas legais, existem plataformas dedicadas a combater a disseminação de conteúdo íntimo não-consensual. Estas plataformas utilizam tecnologias de IA para identificar e eliminar imagens abusivas em várias redes, auxiliando na mitigação do dano.

Especialistas em ciber-segurança destacam que, além da remoção rápida de conteúdos prejudiciais, é vital uma conscientização maior sobre as armadilhas da segurança digital. A prevenção não deve se basear na restrição do compartilhamento de imagens pessoais, que é parte integrante da expressão individual e da vida social moderna, mas sim no fortalecimento das estruturas legais e tecnológicas que protegem a integridade digital das pessoas.

À medida que a IA continua a evoluir rapidamente, as legislações terão que se adaptar com a mesma velocidade para oferecer proteções adequadas, um desafio que legisladores em todo o mundo precisarão enfrentar continuamente.