Megavazamento de dados expôs milhões de CPFs, CNPJs e contas de celulares
Em 2021, temos acompanhado com apreensão as notícias sobre a série de vazamentos de dados de pessoas e empresas realizados por criminosos, até onde se suspeita, por meios digitais. Os números impressionam. Entre janeiro e fevereiro as reportagens mostraram que foram roubados cerca de 223 milhões de CPFs, 40 milhões de CNPJs e mais de 102 milhões de contas de celulares. Nesse último caso, extraídos dos computadores das operadoras de telefonia e comercializados na deep web – espaço virtual que torna difícil o rastreamento de computadores.
Não se sabe ainda a extensão da gravidade do caso, que expôs dados de políticos, empresários, empresas e cidadãos. Situações como essas podem envolver riscos variados, como atingir a questão da soberania nacional, economia − colocando em risco os negócios e a produção das empresas − e afetar a vida de milhões de pessoas, com impacto nas finanças, privacidade e segurança pessoal.
Segundo a especialista em auditorias de sistemas de segurança da informação e privacidade de dados, da Fundação Vanzolini, Sarah Kohan, o caminho para as empresas e os governos realizarem a governança e a gestão segura de dados para o cumprimento da Lei Geral 13709, de 2018, de Proteção de Dados (LGPD), é atenderem aos requisitos das normas ISO/IEC 27001, que descreve como Gerenciar a Segurança da Informação em uma Organização; e aos requisitos da ISO/IEC 27701, que trata sobre a Visão Geral do Sistema de Gerenciamento de Informações de Privacidade.
“É importante chamar a atenção das pessoas sobre a importância do assunto e como ele impacta o dia a dia. Por exemplo, quando entramos em um prédio residencial ou comercial e a equipe de segurança nos solicita, na recepção, o número de RG ou CPF, temos o direito de saber o que eles vão fazer com esse dado, com essa informação. Para onde vai esse dado, como será armazenado e como e quando será descartado? Existe hoje todo um processo que as empresas precisam seguir para garantir a privacidade dos dados e o cumprimento da lei”, pontua Kohan.
A LGPD define que as empresas precisam expor regras claras sobre a coleta, armazenamento, processamento e compartilhamento de dados pessoais, com padrões de proteção elevados e penalidades importantes para as violações. A lei trata sobre “dados pessoais”, relacionadas à pessoa física e a “processamento de dados” como qualquer operação realizada com dados pessoais, como coleta, classificação, uso, acesso, cópia, processamento, armazenamento e controle de informações.
“Após o estabelecimento da legislação e das normas que regem a gestão de dados e gerenciamento de informações, empresas e governos precisam se alinhar a essa nova realidade, sob o risco de não conseguirem efetuar negócios em mercados internacionais, participar de licitações públicas, perderem valor no mercado de ações e sofrerem punições pesadas em multas fixadas por leis no Brasil e no exterior”, ressalta Kohan.
A norma pode ser aplicada para qualquer tipo de empresa, independentemente do porte ou segmento e estão voltadas para garantir a segurança da informação de clientes, funcionários e gestores, conforme o escopo a ser definido pelas empresas e órgão públicos. No primeiro momento, a empresa precisa buscar atender aos requisitos da ISO/IEC 27001; e, em seguida, buscar a qualificação para a ISO/IEC 27701 e comprovar que atende aos requisitos de privacidade de dados.
Nesse sentido, para avaliar a conformidade dos processos e realizar o serviço de certificação das normas ISO/IEC 27001 e 27701, a Fundação Vanzolini possui equipe técnica altamente capacitada; e as certificações da entidade são reconhecidas e validadas no exterior pela IQNet – “The International Certification Network” − rede internacional que engloba mais de 37 organismos presentes em mais de 150 países. No geral, 30% do total de certificados de sistemas de gestão emitidos no mundo foram gerados por organismos pertencentes à IQNet.
Essa preocupação com a segurança e proteção de dados e informações vem sendo tema de debates há anos em fóruns globais que envolvem governos, empresas, entidades de classe e sociedade. Em 2018, a União Europeia criou a lei para proteção de dados GDPR (General Data Protection Regulation), que influenciou a lei brasileira. Em seguida, os países do bloco encomendaram para ISO (Organização Internacional de Normalização ou International Organization for Standardization) a criação de uma norma para atender a essa legislação que resultou na ISO/IEC 27000. Em 2020, essa norma foi estendida quando se criou ISO/IEC 27701, com requisitos e diretrizes para um sistema de gestão de privacidade da informação (SGPI).