O terceiro dia do Futurecom 2022 acontece nesta quinta-feira, dia 20 de outubro, e teve entre seus destaques uma palestra com o advogado Solano de Camargo, que é presidente da Comissão de Privacidade e Proteção de Dados da OAB/SP.
Falando sobre o tema “Crimes cibernéticos e o vazamento de dados sensíveis de documentos pessoais”, Solano abordou exemplos de outras leis regulamentadoras sobre crimes virtuais, citando a Alemanha como pioneira neste sentido.
O advogado explicou que a Lei Geral de Proteção de Dados, a LGPD, que entrou em vigor no ano de 2018, tem como inspiração o sistema jurídico para tratamento de dados e crimes virtuais da Europa, onde os dados são tratados como propriedade do usuário, ao contrário do padrão americano, onde os dados passam a ser considerados como parte da empresa quando o usuário utiliza os seus serviços.
Medidas jurídicas de proteção contra ataques hackers
Falando sobre a legislação existente no Brasil, Camargo falou ainda sobre outras alternativas jurídicas que antecedem a LGPD, como a Lei Carolina Dieckmann, que foi homologada após o caso de vazamento de arquivos íntimos da atriz.
“Os casos de má-fé são em menor número do que os casos de ataques. Temos notícia de órgãos públicos sendo atacados por hackers já há muito tempo. Os mega vazamentos que o Brasil sofreu foram fruto de hackers”, observou o advogado.
Camargo também explicou as diferenças entre os tipos de hackers, como crackers, white hat, black hat, gray hat, script kiddies e spy hacker, entre outros. De acordo com ele, o Brasil levou tempo para conseguir se adequar de forma jurídica em temas relacionados a crimes digitais.
“Nossas leis eram muito benevolentes. Tínhamos só a Lei Carolina Dieckmann, que criminalizava em apenas seis meses”, observou ele, citando ainda outras normas regulamentadoras que foram introduzidas no país, como a Lei de Interceptações, de 1996, e a Lei do Stalking, de 2021, assim como a Convenção de Budapeste.
Como empresas e indivíduos podem agir em casos de vazamentos de dados
Ao longo da palestra, Dr. Solano também apresentou um quadro que elaborou para uma matéria do jornal O Estado de São Paulo onde comparou as penas para crimes cibernéticos do Brasil com outros países.
“Quando eu fiz esse quadro, o Brasil estava com os menores tempos de pena. Agora estamos em uma situação mediana. Começamos a insurgir em uma certa rede de proteção melhor, mas comparando com outros Estados, a gente vê que nossas penas ainda podem ser consideradas brandas”, analisou o especialista.
O advogado também comentou sobre a prática de hackback, onde o contra-ataque para repelir ações hackers é utilizado, comentando que sua legalidade varia de país para país. Segundo ele, no Brasil ainda não existe regulamentação para a atividade.
“A pandemia digitalizou o mundo todo, fez com que todos ficássemos cada vez mais dependentes da internet, e por isso tivemos uma pandemia de ataques cibernéticos tão intensa quanto a pandemia da Covid”, afirmou.
Ainda de acordo com o especialista, conforme estabelecido pela LGPD, caso os dados sejam vazados por conta de uma falha de uma empresa ou órgão, as pessoas podem procurar seus direitos até mesmo junto ao Procon.
Para o presidente da comissão da OAB/SP, a conta em ataques hackers no Brasil ainda é majoritariamente paga pelo setor privado, que fica à mercê de se adequar às regulamentações e proteger seus sistemas.
“Quem paga essa conta mesmo são as empresas e principalmente as startups, que aliás vão pagar uma conta ainda maior quando entrar o marco civil da Inteligência Artificial”, ponderou o palestrante.
Estudo de caso sobre ações judiciais tomadas após um ataque cibernético
Na parte final de sua apresentação, Dr. Solano também apresentou um estudo de caso de uma firma de advocacia que teve dados de processos de seus clientes vazados. A partir de tais informações, golpistas entravam em contato com as pessoas afirmando que a indenização de seus processos já estava pronta para ser paga, e que bastava eles realizarem um depósito inicial para recebê-las.
Ele explica que, para contornar a situação, foi necessário realizar um DPIA, do termo em inglês Data Protection Impact Assessment, um relatório de impacto que verifica se houve algum acesso indevido, vazamento ou falha semelhante.
Conforme o advogado contou, foi constatado que não houve problemas no setor digital do escritório de advocacia, constatando que o vazamento havia sido causado por uma situação no sistema do tribunal responsável.
Segundo ele, é também necessário realizar um Boletim de Ocorrência para tais situações, mas que, por vezes, muitas pessoas acabam deixando a medida de lado por vergonha de reviverem o golpe sofrido. Ele também dá dicas para empresas que possam ter sofrido um ataque do tipo. Solano diz:
“Avise sua base de clientes, criando um email marketing, como recebemos dos bancos por exemplo, coloque no seu site, em canais de contato com seus cliente, evitando que mais pessoas caiam no golpe. Isso é um ato muito importante.”
Ainda de acordo com ele, tentar contornar a situação sem clareza pode causar problemas ainda maiores. “O pior seria a gente esconder o sol com a peneira, e isso é o que a LGPD mais penaliza”, observa.
Ransomware: vale a pena negociar com hackers?
Um dos crimes virtuais mais comuns da atualidade são os ransomwares, ou sequestro de dados e contas em redes sociais que são supostamente liberados após o pagamento de um resgate.
Apesar de constatar que a vítima deve seguir todos os procedimentos legais citados anteriormente, Camargo crê que, em alguns casos, negociar acaba sendo a opção mais em conta, já que muitas vezes um contra-ataque poderá gerar ainda mais despesas, além de não garantir o retorno das informações sequestradas.
“Será que é ético eu chegar ao meu cliente e falar, ao mesmo tempo, levar ao conhecimento das autoridades e negociar com os hackers? Eu como advogado, presidente da comissão da OAB, em alguns casos eu posso aconselhar a negociar, mesmo sabendo que existe 10% de chance do hacker não devolver”, pondera ele.
Finalizando sua palestra. Dr Solano comentou que, em sua visão, os órgãos públicos ainda não estão preparados para lidar com as regulamentações existentes, mas que o cenário pode mudar com novas medidas que estão atualmente em discussão, como a PL da Inteligência Artificial e a LGPD Penal.
“Não é que eu não acredite no órgão público, mas é que estou sendo realista, de que muitas vezes tais regulamentações não são cumpridas”, concluiu.
Confira todos os temas apresentados neste e em outros painéis do Futurecom 2022 adquirindo seu acesso ao Futurecom Xperience!
