Transformação Digital

Desafios

Patricia Peck
Novembro / 2021
Patricia Peck
_Resumo Profissional–
▪ Conselheira Titular no Conselho Nacional de Proteção de Dados
▪ CEO e Sócio Fundadora do Peck Advogados
▪ Advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança.
▪ Graduada e Doutorada pela Universidade de São Paulo, PhD em Direito Internacional.
▪ Pesquisadora convidada do Instituto Max Planck de Hamburgo e Munique, e da Universidade de Columbia nos EUA.
▪ Professora convidada da Universidade de Coimbra em Portugal e da Universidade Central do Chile.
▪ Professora convidada de Cibersegurança da Escola de Inteligência do Exército Brasileiro.
▪ Presidente da Comissão Especial de Privacidade e Proteção de Dados da OAB-SP, Embaixadora Smart IP Latin
America do Max Planck Munique para o Brasil.
▪ Advogada Mais Admirada em Propriedade Intelectual por 15 anos consecutivos desde 2007.
▪ Recebeu o prêmio Best Lawyers 2020/2021, Leaders League 2021/2020/2019, Compliance Digital pelo LEC em 2018,
Security Leaders em 2012 e 2015, a Nata dos Profissionais de Segurança da Informação em 2006 e 2008, o prêmio
Excelência Acadêmica – Melhor Docente da Faculdade FIT Impacta em 2009 e 2010.
▪ Condecorada com 5 medalhas militares, sendo a Medalha da Ordem do Mérito Ministério Público Militar em 2019,
Ordem do Mérito da Justiça Militar em 2017, Medalha Ordem do Mérito Militar pelo Exército em 2012, a Medalha
Tamandaré pela Marinha em 2011, a Medalha do Pacificador pelo Exército em 2009.
▪ Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP.
▪ Autora/co-autora de 33 livros de Direito Digital.
▪ Presidente do Instituto iStart de Ética Digital.
▪ Programadora desde os 13 anos.
▪ Certificada em Privacy e Data Protection pela EXIN.
33 Obras Publicadas
Dra. Patricia Peck
 Mundo digital

http://www.google.pt/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http://www.techebizz.com/apps/now-ott-services-fuelling-data-growth-
india&ei=gnyNVfvqDuip7AaAzrOAAw&bvm=bv.96782255,d.d24&psig=AFQjCNHreH5dhsxzRkY5V9famTGVyyJhkg&ust=1435422140813944
 A pessoa digital
Titulares de Dados
pessoais
Informação relativa a
pessoa natural

Atores do mundo digital

Dados pessoais
presentes em múltiplos
bancos de dados

Detentores de direitos
Relativos aos dados
pessoais que circulam no
mundo digital
Cenário mundial

Do Cenário Atual
 DIREITOS DIGITAIS = DIGITAL RIGHTS
➢As tecnologias digitais estão transformando o modo em que direitos básicos são
exercidos, protegidos e violados, da mesma forma que propiciam o reconhecimento
de novos direitos. Portanto, a legislação precisa se adaptar a esta nova era, com o
desenvolvimento dos DIREITOS DIGITAIS e da CIDADANIA DIGITAL. A
hiperconectividade gera a necessidade de regular esse tráfego de informação
garantindo os direitos das pessoas.

oRede 5G;
oInternet das Coisas;
oBig Data;
oInteligência Artificial, dentre outros.
https://www.citisystems.com.br/industria-4-0/. Acesso em 16/11/2021.
 Open Banking Resolução Conjunta BACEN/CMN nº 1, de
04/05/2020

Cronograma de Implementação

Fase 2 Fase 3
Envio da solicitação de compartilhamento
Fase 4
Fase 1 pela interface, a partir do consentimento,
sem informar a finalidade

Início em Início em Início em

Início em 01/02/2021
13/08/2021 29/10/2021 15/12/2021

Disponível em: https://www.bcb.gov.br/estabilidadefinanceira/openbanking. Acesso em: 11/10/2021.

https://www.mobiletime.com.br/noticias/14/06/2021/barreiras-do-open-banking-vao-da-gestao-de-dados-a-compreensao-do-consumidor/

https://invest.exame.com/opina/open-banking-tem-desafio-de-marketing-a-frente
https://www.correiobraziliense.com.br/economia/2021/08/4943880-open-bank-
apesar-de-falhas-especialistas-se-mantem-otimistas.html

https://www.cnnbrasil.com.br/business/febraban-alerta-sobre-tentativas-de-
fraude-com-2-fase-do-open-banking/
Outra dificuldade: desenvolvimento do API
Da mesma forma que uma API de pagamento, uma API Open Banking reúne instruções e padrões de
programação que permitem que duas (ou mais) plataformas se comuniquem.
Quando falamos em Open Banking, o conceito traz a ideia de compartilhar dados, informações e o
histórico bancário dos usuários de produtos e serviços financeiros entre instituições, desde que, claro,
haja prévia autorização.

A automatização de processos, usando uma API Open Banking, é um decisão que

garante mais agilidade nas transações, reduz os riscos de falhas e possibilita mais eficiência
e segurança para a operação.

Ainda não há integração

https://transfeera.com/blog/api-open-banking/
CENÁRIO BASILEIRO: A LGPD 1 RISCOS DE PROPRIEDADE INTELECTUAL
Preocupação com a proteção da propriedade intelectual e a proteção dos ativos intangíveis à
inteligência artificial, marca, base de dados, algoritmos, aprendizado de máquina

2 RISCOS ÉTICOS

Riscos O uso de algoritmos, scores, big data, inteligência artificial de forma ética e responsável

cibernéticos 3 RISCOS POR DANOS NAS DECISÕES AUTÔNOMAS E POR TERCEIROS

O comportamento autônomo da máquina e a questão da responsabilização civil, criminal,
administrativa, concorrência desleal

4 RISCOS DE CIBERSEGURANÇA

A proteção das informações e da rede aplicados aos processos empresariais

5 RISCOS DE PRIVACIDADE E DE PROTEÇÃO DE DADOS

Os direitos fundamentais relacionados à privacidade e a transparência no uso dos dados pessoais

Análise de riscos cibernéticos
CENÁRIO BASILEIRO: A LGPD

Toda instituição deve realizar uma Análise de Riscos que:

▪ Implemente métodos que amenizem os riscos;

▪ Identifique as ocorrências que representam os riscos;
▪ Responda aos incidentes detectados;
▪ Implementar plano de ação e contenção de danos na
ocorrência de incidente envolvendo dados.
https://epocanegocios.globo.com/Tecnologia/noticia/2020/09/os-ataques-ciberneticos-explodem-durante-pandemia-e-expoem-vulnerabilidades-das-empresas.html. Acesso em 16/11/2021.
 Novos riscos
Malware e Phishing
Roubo de dados

Do Cenário Atual

Dispositivos pessoais (BYOD) Quebra de senha

 Novos riscos
Serviços em nuvem
Cloud
Espionagem industrial

Ransomware
Falta de antivírus
Disponível em: <https://exame.com/pme/empreendedores-perdem-vendas-e-recorrem-a-sms-para-
reduzir-prejuizo/>. Acesso em 05/10/2021, às 15:04h.

Disponível em: <https://exame.com/tecnologia/falha-do-facebook-mostra-necessidade-de-mais-concorrentes-diz-ue/>. Acesso

em 05/10/2021, às 15:04h.

Disponível em: <https://www.migalhas.com.br/quentes/352654/fora-do-ar-pane-no-

whatsapp-pode-gerar-processos-na-justica>. Acesso em 05/10/2021, às 15:09h.

Disponível em: <https://www.migalhas.com.br/quentes/352654/fora-do-ar-pane-no-whatsapp-pode-gerar-

processos-na-justica>. Acesso em 05/10/2021, às 15:09h.

Disponível em: <https://jc.ne10.uol.com.br/colunas/jc-negocios/2021/10/13609700-

empresas-perderam-vendas-sem-whatsapp-para-completar-negocios.html>. Acesso
em 05/10/2021, às 15:09h.

Disponível em: <https://www.techtudo.com.br/noticias/2021/10/5xx-server-error-entenda-o-erro-que-

tirou-whatsapp-facebook-e-instagram-do-ar.ghtml>. Acesso em 05/10/2021, às 15:09h.
Isso se deve ao crescimento de ações dos criminosos, que agora têm à
disposição tanto máquinas conectadas a redes empresariais quanto
dispositivos localizados nas casas de funcionários como forma de iniciar
seus ataques. Uma brecha de segurança em qualquer aparelho pode ser o
suficiente para afetar toda uma corporação — o que estimula grupos
especializados em ataques de ransomware, que têm mostrado uma sofisticação
crescente.
Fonte: https://canaltech.com.br/seguranca/malwares-sao-a-maior-preocupacao-de-seguranca-de-empresas-brasileiras-188177/
https://www.kaspersky.com.br/blog/panorama-ciberameacas-brasil-2021-pesquisa/18020/. Acesso em 16/11/2021.
https://www.securityreport.com.br/overview/ciberataques-semanais-contra-empresas-no-brasil-aumentaram-62-em-2021/#.YZU8D2DMLDc. Acesso em 16/11/2021.
 Do Cenário Atual

https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/pt
https://forbes.com.br/forbes-tech/2021/07/ataques-de-ransomwares-podem-provocar-fechamento-de-mais-de-30-dos-negocios-em-alguns-paises/. Acesso em 04/11/2021.
https://6minutos.uol.com.br/economia/vazamento-de-chaves-pix-expoe-dados-de-395-mil-pessoas/. Acesso em 22/10/2021.
https://www.cnnbrasil.com.br/business/banco-central-comunica-1o-vazamento-de-dados-cadastrais-do-pix/. Acesso em 22/10/2021.
https://www.convergenciadigital.com.br/Seguranca/ANPD-abre-investigacao-sobre-vazamento-de-395-mil-chaves-Pix-58337.html?UserActiveTemplate=mobile. Acesso em 22/10/2021.
https://canaltech.com.br/seguranca/golpistas-coletam-biometria-facial-para-financiar-automoveis-em-nome-da-vitima-186536/. Acesso em 26/10/201.
https://www.cnnbrasil.com.br/business/golpes-financeiros-explodem-durante-pandemia-veja-quais-sao-e-como-se-prevenir/. Acesso em 26/10/201.
https://www.jornalnh.com.br/noticias/2021/06/26/falcatrua-virtual-onda-de-golpes-cresceu-na-pandemia-e-preocupa-policia-civil.html. Acesso em 26/10/201.
Principais Fontes de Ataque

25
Fonte: https://www.voitto.com.br/blog/artigo/ciberseguranca
 Embora a recomendação das
autoridades e dos especialistas de
segurança seja de não negociar
com criminosos, a JBS seguiu o
caminho da Colonial Pipeline e
pegou pelo resgate dos dados.
André Nogueira, CEO da JBS USA,
explica que não foi uma decisão
fácil. "Sentimos que essa decisão
deveria ser tomada para evitar
qualquer risco potencial para
nossos clientes", escreve o
executivo em um comunicado à
imprensa, publicado na quarta-feira
(09).

https://thehack.com.br/jbs-confirma-que-pagou-r-55-milhoes-pelo-resgate-dos-dados-criptografados-brasil-era-foco-dos-cibercriminosos/
26
Resgate – Pagar ou Não Pagar?
▪ O FBI não incentiva o pagamento;
▪ O pagamento incentiva a perpetuação do crime e não garante os dados de volta;
▪ A decisão de pagamento dependerá da existência de um protocolo de gestão de incidentes
efetivo;
▪ MLATs (Acordos de Assistência Judiciária em Matéria Penal): Estados Unidos, Suíça, Canadá,
Espanha, etc.;
▪ Processo de Adesão à Convenção de Budapeste: cooperação internacional em matéria penal e
criação de procedimentos para o combate aos cibercrimes;
▪ O pagamento pode ser ilegal caso o receptor esteja na lista de sanções da OFAC (indivíduos,
organizações, regimes e países como Cuba, Crimeia, Irã, Coreia do Norte).
1. Cerca de 46% das empresas que pagaram resgates não conseguiram recuperar o acesso a todos os seus dados críticos, segundo Estudo Global sobre o Impacto de Ransomware nos Negócios –
Cybereason 04/21; https://www.cybereason.com/hubfs/dam/collateral/ebooks/Cybereason_Ransomware_Research_2021.pdf
2. OFAC: Department of the Treasury’s Office od Foreign Assets - https://home.treasury.gov/policy-issues/financial-sanctions/specially-designated-nationals-and-blocked-persons-list-sdn-
human-readable-lists
3. FBI: Scams and Safety – Ransomware - https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/ransomware
4. Homeland Security – Protect Your Data Against Ransomware - https://www.dhs.gov/blog/2016/04/06/protect-your-data-against-ransomware
5. The New York Times – Biden Weighs a Response to Ransomware Attacks - https://www.nytimes.com/2021/07/07/us/politics/biden-ransomware-russia.html
Fonte: https://cyber-edge.com/wp-content/uploads/2020/03/CyberEdge-2020-CDR-Report-v1.0.pdf
 Estatísticas mundiais

Ciberataques - Janeiro 2021 Motivação

9 140
8 120
7
100
6
5 80
4 60
3
40
2
1 20

0 0 CiberCrime Hacktivismo
Ataques Diários Total de Ataques CiberGuerra CiberEspionagem

https://pages.checkpoint.com/cyber-attack-2021-trends.html. Acesso em 16/11/2021.

https://www.evaltec.com.br/a-inteligencia-artificial-pode-ser-usada-em-ciberataques/. Acesso em 16/11/2021
 Estatísticas mundiais

https://www.checkpoint.com/. Acesso em 16/11/2021.

 Estatísticas mundiais

https://www.checkpoint.com/. Acesso em 16/11/2021.

Gestão de riscos

Do Cenário Atual
 Gestão de riscos

Do Cenário Atual

https://www.iso.org/obp/ui/#iso:std:iso:31000:en. Acesso em 18/11/2021.

 Risco político
Cibersegurança
Risco jurídico

➢ Todas as empresas e organizações,

Risco de negócio
públicas ou privadas,
Risco independentemente do setor em que
reputacional atuem, podem ser alvo de ciberataques e
Risco financeiro
com isso sofrer danos reputacionais e
financeiros significativos.
Risco operacional
 A importância dos colaboradores para a segurança digital da organização

➢ Segundo pesquisa realizada pela PWC, 41% dos incidentes de vazamento

de dados tiveram como porta de entrada os próprios funcionários das
empresas. Isso ressalta ainda mais a importância e a necessidade da
realização de treinamentos e do envolvimento das equipes nos
procedimentos de proteção das informações da organização.

https://www.pwc.com.br/pt/estudos-pesquisas/assets/pesquisa-seguranca-inforrmacao-13e.pdf. Acesso em 16/11/2021.

https://computerworld.com.br/seguranca/quase-50-dos-incidentes-de-seguranca-sao-causados-pelos-proprios-funcionarios/. Acesso em 16/11/2021.
 Prevenção a fraudes
CENÁRIO BASILEIRO: A LGPD

❖Investir na capacitação dos colaboradores e facilitar o acesso à

informações sobre as políticas de segurança antifraude da
empresa;

❖Investir no monitoramento, ou seja, aplicar tecnologias que

detectem eventos estranhos e comuniquem a gestão da
empresa.
 Aplicação da primeira
Aprovação do GDPR multa em Hospital 2018

Abril/2016

1995 2020 2021

Maio/2018
Diretiva 46/95 PANDEMIA 3 ANOS
GDPR entra em vigor
CORONAVÍRUS EM VIGOR

LGPD em vigor
Setembro/2020
Agosto/2018 Agosto/2021
ANPD nomeação Setembro/ Outubro/2021
Promulgação Diretoria Vigência das Sanções Regulamento
Outubro/2021
da LGPD administrativas da LGPD sancionador
Novembro/2020 Consultas
Nomeação CNPD públicas
Autoridade Nacional de Proteção de Dados

➢ A LGPD é uma lei multidisciplinar e demanda

uma cooperação de competências entre as áreas
jurídica, tecnológica, segurança e processual.
 Proteção de dados: quem está envolvido?
CENÁRIO BASILEIRO: A LGPD

https://blogs.sap.com/2017/09/07/gdpr-a-closer-look-at-a-companys-stakeholders-and-their-obligations/. Acesso em 18/11/2021.

 Proteção de dados: quem está envolvido?
CENÁRIO BASILEIRO: A LGPD

https://www.researchgate.net/figure/Systems-and-stakeholders-defined-in-the-scope-of-GDPR_fig2_324054218. Acesso em 18/11/2021.

 RANSOMWARE – CASOS EM QUE AS EMPRESAS SOFRERAM PENALIDADES
(EM RAZÃO DO INCIDENTE OU POR ATO DECORRENTE DELE)
Uber
• Em 2018, a Uber foi multada no Reino Unido (£385 mil) e na Holanda (€600 mil), em decorrência da não notificação
(ocultação) de incidente ocorrido em 2016.
• Também fez acordo para encerrar demandas judiciais nos Estados Unidos (US$148 milhões) pelo mesmo fato.
• No incidente, hackers obtiveram dados de motoristas e usuários da plataforma.
• Na época, a empresa pagou resgate de US$100 mil para que os dados fossem destruídos e não houvesse exposição na
mídia.
• Além das multas e do acordo celebrado pela empresa relativos à ocultação do incidente, o CSO (Chief Security Officer)
foi demitido.
Links:
https://bit.ly/393MwND
https://n.pr/3np2x9o
https://bbc.in/2Xkwcpz
https://bit.ly/2YXPt0F
CENÁRIO BASILEIRO: A LGPD

Uma operadora de crédito foi multada pela autoridade tcheca pois houve processamento de dados pessoais em
desconformidade com a segurança adequada, incluindo proteção contra processamento não autorizado ou ilegal e
contra perda, destruição ou dano acidental, usando medidas técnicas ou organizacionais adequadas (integridade e
confidencialidade).

https://www.enforcementtracker.com/. Acesso em 27/10/2021.

CENÁRIO BASILEIRO: A LGPD

A autoridade da Lituânia constatou que o responsável pelo tratamento de dados pessoais em uma empresa de
serviços de pagamento processou mais dados do que o necessário para atingir os objetivos para os quais era
responsável. Além disso, em 2018 houve a comprovação de que os dados de pagamento dos clientes estavam
publicamente disponíveis na Internet, devido a medidas técnicas e organizacionais inadequadas.

https://www.enforcementtracker.com/. Acesso em 27/10/2021.

CENÁRIO BASILEIRO: A LGPD

A autoridade belga aplicou uma multa de 100.000 euros a uma empresa financeira por causa de um
empregado que utilizou a sua função para obter acesso ilegal aos registros da ex-esposa, para obter uma
vantagem no seu processo de divórcio. Conforme observou a DPA, as violações da proteção de dados
ocorreram devido ao fato de o controlador não ter tomado as medidas organizacionais adequadas para
proteger os dados pessoais de processamento não autorizado.

https://www.enforcementtracker.com/. Acesso em 27/10/2021.

https://www.osul.com.br/empresa-e-condenada-pela-justica-por-vazar-dados-de-cliente-apos-venda-pela-internet/. Acesso em 17/11/2021.
CICLO DE VIDA DOS DADOS

COLETA ARMAZENAMENTO DESCARTE

FUNDAMENTO USO COMPARTILHAMENTO

PORTA DE SEGURANÇA TÉRMINO

ENTRADA
Início do ciclo de vida,
a coleta é a porta de
entrada dos dados
pessoais, pode ser física ou
BASE LEGAL digital, vindo do titular ou
Hipótese legal de outras fontes.
que fundamenta
o tratamento do
dado pessoal.
Os dados pessoais O descarte dos dados
podem ser pessoais pode ser feito
armazenados por término da
localmente ou em rede, finalidade para os
em servidores de e-mail
NECESSIDADE quais foram coletados,
ou armazenamento decorrer do tempo,
FINALIDADE físico, como pendrives, Os dados são transmitidos
solicitação do titular
entre outros. ou disponibilizados para
Análise de como se dá etc.
outros departamentos
a utilização dos dados internos, empresas do
pessoais dentro grupo, fornecedores
da organização. terceirizados etc.
https://googlediscovery.com/2021/11/14/e-mail-do-fbi-e-hackeado-para-alertar-falso-ataque-cibernetico/. Acesso em 17/11/2021.
https://g1.globo.com/tecnologia/noticia/2021/10/18/empresa-de-call-center-atento-sofre-ciberataque-no-brasil.ghtml. Acesso em 17/11/2021.
https://portal.comunique-se.com.br/267060-ceo-da-cvc-expoe-licoes-pos-ataque-cibernetico-que-afetou-operacoes-da-empresa/. Acesso em 17/11/2021.
Gestão de Risco nos Terceirizados

Fonte: Ataque ransomware na Atento segue afetando call center de várias empresas – Canaltech
Análise do incidente:

✓Aplicou as medidas preventivas

✓Foi ato de terceiro – atacada por hacker

✓Não poderia ter sido evitado – qual foi a forma

✓Falha de segurança pública

Gestão de Risco nos Terceirizados
✓ Obter junto ao terceirizado as informações mais detalhadas possíveis para averiguar se houve violação de dados pessoais que envolva
perda, exposição e/ou acesso não autorizado por terceiros.
✓ Reunir quais medidas já foram tomadas para neutralização do evento e mitigação de eventuais danos.
✓ Solicitar ao terceirizado as evidências sobre o restabelecimento do grau de segurança do ambiente, para permitir a continuidade da
prestação de serviço ou, diante da insatisfação com a tratativa, analisar se vai ser necessário, pela perda de confiabilidade, a troca de
fornecedor.
✓ A partir das informações coletadas, alinhar com o fornecedor se é o caso de aplicar o dever de report do artigo 48 da LGPD. Para isso, é
necessário ter elementos suficientes que justifiquem, em uma matriz de análise de gravidade quantitativa e qualitativa, que teve risco
ou dano relevante para os titulares. Então, caberá ao controlador também reportar à Autoridade Nacional de Proteção de Dados
(ANPD) o incidente. Importante destacar que isso só deve acontecer se as duas partes estiverem alinhadas quanto à decisão.
✓ Para reduzir as chances de prejuízos e incidentes, implementar um Manual de Gestão de Risco nos Terceirizados, a partir de um
conjunto de normas e práticas de acordo com a legislação em vigor.

✓ A atualização dos contratos entre fornecedor e operador é indispensável, a partir de cláusulas de proteção de dados pessoais, bem
como a definição clara de um SLA de resposta a incidentes para tratar a ocorrência de maneira a organizar o fluxo de informação e
capacitar a tomada de decisão. É recomendado, ainda, ter um protocolo de respostas a incidentes que auxilie na condução das
atividades e evite agir com imprudência e sem orientação
RELAÇÃO ENTRE OS ENTES DA LGPD

Terceiros/Prestadores
de Serviço
Operador

Titular de dados Encarregado de Dados Controlador

Pessoais
 Autoridade Nacional de Proteção de Dados

➢ A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão federal

responsável por fiscalizar e aplicar a LGPD.

➢ A ANPD tem um papel educativo tanto na divulgação e esclarecimento

de dúvidas quanto na medida em que poderá estabelecer as diretrizes
a todos que estão sujeitos pela LGPD.
Ao sair,
feche a porta.

Sempre.
Inclusive a
DIGITAL!
OBRIGADA!

CEO e Sócia Fundadora: Patricia Peck Pinheiro

patriciapeck@peckadv.com.br
+55 11 9 8696 3999