Proteção de dados
No final do ano passado, houve denúncias alarmantes sobre vazamento de dados de empresas ou órgãos governamentais brasileiros na internet. Em fóruns da deep web, um negociante X4Crow anunciava o leilão de um banco de dados de 16GB em formato SQL, contendo 92 milhões de registros, divididos em lotes correspondentes aos estados do Brasil. Supostamente, o número de registros equivaleria aos cidadãos empregados formalmente no país.
Os registros continham informações como nome completo, celular e telefone fixo, endereço, profissão, formação acadêmica, carteira de identidade e habilitação, licença de veículos, CPF - Cadastro de pessoa física e CNPJ - Cadastro Nacional de Pessoa Jurídica e outros. A empresa norte-americana BleechComputer comprovou a veracidade dos registros, utilizando uma amostra de registros oferecida pelo negociante para verificação no site da Receita Federal.
Tais informações que permitem identificar, direta ou indiretamente, um indivíduo são consideradas dados pessoais. Algumas poderiam revelar também a filiação sindical dos titulares dos registros vazados no episódio. Essas informações constituem dados sensíveis, que exigem maior atenção em seu tratamento e proteção. Considerados bens de valor econômico, a preservação de tais conteúdos é obrigatório para cidadãos, governo e empresas.
Segurança digital
O vazamento de informações sensíveis, intencionalmente ou não, tem punições previstas nas leis brasileiras. No próximo mês de agosto, a Lei Geral de Proteção de Dados (LGPD) entrará em vigor. Mas, outras leis vigentes também garantem a privacidade e dispõem sobre responsabilidades e reparações em incidentes de segurança digital.
As sanções vão de uma simples advertência até a divulgação da infração, passando pelo bloqueio e eliminação dos dados pessoais e multas. Dependendo do incidente, as empresas privadas responsabilizadas por vazamento de dados sensíveis podem receber multas com valor equivalente a 2% do seu faturamento ou até R$ 50 milhões, nos termos da LGPD.
Grande parte das valiosas informações em circulação estão registradas em documentos administrativos, físicos ou digitais. Apesar dos avanços na legislação sobre proteção de dados, alguns processos exigem regulação interna das empresas. A destruição de documentos e arquivos, armazenados em espaços físicos ou nuvens computacionais, mídias e dispositivos eletrônicos é um desses processos.
Valores de mercado
Se a informação é a moeda mais forte atualmente, qual o valor do prejuízo causado por vazamento de dados? A média calculada por incidente de segurança é de R$5 milhões (US$1,35 mi) para as empresas e de R$260 (US$69) para cada registro. As principais causas de vazamento são ataques criminosos (51%), falhas em sistema (25%) e erro humano (24%). Os dados divulgados pela IBM e Instituto Ponemon estão baseados na avaliação de 500 empresas localizadas em 16 países diferentes.
O Brasil é o quarto país com maior volume de registros vazados por incidentes de segurança ocorrido (26.523). Oriente Médio (38.800), Índia (35.636) e EUA (32.434) ocupam os primeiros lugares no ranking mundial, considerando-se o número registros por incidente em cada país. Os setores da economia mais impactados: saúde, financeiro, energia, industrial e farmacêutico.
Relatório publicado pelo Herjavec Group aponta que a prospecção e revenda ilegal de dados pessoais são negócios muito lucrativos, num mundo mediado por algoritmos. Essas atividades custaram cerca de U$ 3 trilhões em 2015 e devem chegar a U$6 trilhões até 2021. Especialistas em segurança digital estimam que o cibercrime seja um dos maiores desafios enfrentados nas próximas décadas.
Jogo dos 7 erros
O documento é um objeto físico (suporte), lógico (software e formato) e conceitual (conteúdo), ao mesmo tempo. É também um bem de troca e comunicação entre pessoas, tanto físicas como jurídicas, protegido por leis e normas específicas. Tais características interferem na adoção de estratégias adequadas para descartar com segurança a documentação, mídias e equipamentos.
Descubra os erros mais comuns ao descartar documentos e arquivos administrativos a seguir.
#1. Regulação interna
Definir critérios para acesso aos documentos de acordo com sua classificação e responsáveis pela organização, conservação e monitoramento de documentos e arquivos ajuda a prevenir incidentes de segurança e tornar mais eficiente a regulação interna dos processos de arquivamento e destruição.
As empresas devem implementar uma política de privacidade e normas de segurança adequadas para a gestão documental. O tratamento dos dados envolve consentimento explícito do titular e outros aspectos como finalidade, transparência, correção de erros, responsabilização e outros critérios.
#2. Validação
A destruição de documentos e arquivos deve ser um processo verificável por autoridades fiscais e auditores. Tal comprovação pode ser feita pela validação formal. Tal validação é uma garantia de que procedimentos para descartar documentos confidenciais são eficientes e têm resultados efetivos. Muitas empresas especializadas oferecem certificados de garantia.
#3. Autenticidade
O descarte seguro de documentos originais em formato analógico, após sua conversão para formatos e suportes eletrônicos, está prevista nos termos do artigo 2º A da Lei nº 12. 682/2012. A destruição do documento original depende de uma avaliação prévia e da constatação da integridade do documento eletrônico, o que lhe confere autenticidade.
Assim, o documento digital e sua reprodução têm o mesmo valor probatório do seu original analógico para todas as finalidades de direito, incluindo fiscalização e auditorias.
A documentação referente a ações judiciais, investigação ou auditoria não podem ser descartados.
#4. Temporalidades
A destruição de arquivos digitais armazenados em computadores, HDs externos, CDs, DVDs e pen-drivers, ou nas nuvens computacionais deve seguir a mesma tabela de temporalidades e classificação adotada pela empresa para o arquivamento de documentos em papel e microfilmes.
Os prazos definidos na tabela de temporalidades são diferentes, de acordo com o tipo de documento e sua classificação ou desclassificação. Alguns documentos devem ser guardados por tempo indeterminado, como a documentação trabalhista e previdenciária. Outros documentos devem ser arquivados por 3, 5, 10, 20 e 30 anos, ou pelo período de validade.
#5. Reproduções
A eliminação de documentos deve ser completa, incluindo reproduções em diferentes suportes dos originais. Fotocópias e cópias impressas em papel, gravações salvas em mídias digitais ou aparelhos eletrônicos e cópias feitas em nuvens computacionais devem ser destruídos.
Nos incidentes de segurança digital que se transformaram em casos de justiça, comprovou-se que não só as cópias excluídas ou esquecidas são alvo de crimes cibernéticos, mas também informações rastreadas nos próprios dispositivos eletrônicos, como histórico de navegação e senhas gravadas em computadores e celulares.
#6. Papelada
A destruição de documentos impressos, fotocópias e cópias impressas pode ser feita em fragmentadoras de papel ou por incineração. A escolha do equipamento deve considerar o volume da documentação e a necessidade de proteger documentos confidenciais. Em muitas organizações, folhas impressas são utilizadas para rascunho, anotações ou reimpressão. É importante avaliar os riscos implicados no acesso a informações confidenciais ou protegidas por políticas de privacidade.
#7. Reciclagem
É recomendável usar equipamentos para desmagnetizar ou serviços de destruição de mídia para impedir que informações sejam recuperadas de maneira indevida por softwares e vírus maliciosos, durante o processo de descarte. Após a destruição, equipamentos e mídias são reduzidos a pequenas partículas e podem ser reciclados como lixo eletrônico.