PRIVACIDADE
E CIBER SEGURANÇA
Por Dra. Patricia Peck
patricia.peck@peckadvogados.com.br
AUTORA DE 18 LIVROS
CONDECORADA 4 MEDALHAS MILITARES
Dra. Patricia Peck Pinheiro
patricia.peck@peckadvogados.com.br patriciapeck@usp.br
MUDANÇA DE CULTURA
“Sociedade em rede”: termo criado por Manuel Castells em 2001 anunciando o desenvolvimento de um individualismo conectado.
Como internet não tem fronteiras, as relações digitais possuem natureza internacional.
O limite da liberdade do indivíduo e dos negócios é a ética.
RELAÇÕES JURÍDICAS TRANSFRONTEIRIÇAS
Artigo: Redes Distribuídas de Comunicação P. Baran (1964)
REDE DISTRIBUÍDA:
TODOS OS NÓS DA REDE TÊM O MESMO
PODER E A MESMA RESPONSABILIDADE
SOLIDÁRIA.
Como internet não tem fronteiras, as relações digitais possuem natureza internacional.
O limite da liberdade do indivíduo e das instituições é o da ÉTICA e da LEI.
RELAÇÕES JURÍDICAS TRANSFRONTEIRIÇAS
Como fazer a vigilância legitimada = PODER DE POLÍCIA respeitando direitos civis e garantias constitucionais de privacidade?
LIBERDADE X CONTROLE
A DISRUPÇÃO DIGITAL: PERDA DO SUPORTE FÍSICO CONTEÚDO ACESSÍVEL DE QUALQUER LUGAR
Características dos Bens digitais
✓ Permite infinitas reproduções
✓ Pode ser acessado de qualquer lugar
✓ Majoritariamente classificado como serviço
✓ Incorpóreo
✓ Não transferível patrimonialmente
✓ Carga tributária menor
BIG DATA ALGORITIMO INTELIGENTE
MAIOR PODER DE
PROCESSAMENTO INTELIGENCIA ARTIFICIAL
MODELO ATUAL DA INDÚSTRIA 4.0
EXEMPLO FEEDBACK
APRENDIZADO
HUMAN & MACHINE
LEARNING METHODOLOGY
O paradoxo de Polanyi (1964):
“todos nós sabemos mais do que dizemos”
Michael Polanyi Filósofo e Polímata
PROPRIEDADE INTELECTUAL DIGITAL
Bens de Conhecimento: estão em grandes bases de dados
Patrimônio Intelectual
Conhecimento Conhecimento
Deep Machine Learning
Aprendizado
Dados
Big Data Patrimônio
Intelectual
A inovação tecnológica tem que melhorar a
qualidade de vida. Mas trouxe novos riscos.
Como se
proteger?
Svetlana Está em:
Popcap lotéricas
09:10
Svetlana Está em:
Restaurante kilozo
10:50
Svetlana Está em:
Trabalho 13:30
Svetlana Está em:
Em Casa 19:20
Svetlana Está em:
Cineminha 12:10
Svetlana Está em:
Padaria Rainha 23:20
A web
é P Ú B L I C A
EM VOCÊ ÁLGUÉM ESTAR PODE DE OLHO
Siga Twitter: @patriciapeckadv | Todos os direitos reservados
CRIMES DIGITAIS
Evolução do Crime Eletrônico no tempo
Bandido 1.0 (ANALÓGICO)
Bandido 2.0 (INTERNET)
Bandido 3.0 (MOBILE)
Bandido 4.0 (IOT e SMART CITIES)
Agência Assalto ATM e Internet Banking
Pé de Cabra e Phishing
Celular Ataque Bluetooth
Cloud
e Redes Sociais
Social Phishing, Apps e Wapp BANCO ANALÓGICO BANCO ELETRÔNICO BANCO MOBILE BANCO DIGITAL
O que fazer para evitar espionagem eletrônica,
hackativismo, criminosos digitais, vazamento de
informações e Terrorismo Cibernético?
Como legitimar a ação
de Defesa IMEDIATA?
COMO GARANTIR O
FLAGRANTE DIGITAL?
MODELO
NEGÓCIO CENTRO
TRANSPARÊNCIA
REGULAMENTAÇÃO
(padronização de regras)
CONTROLES
(verificação se está
DADOS
DADOS SÃO A RIQUEZA DA
SOCIEDADE DIGITAL
“Nova governança da tecnologia com base em valores: nos direitos humanos.
A nova Ética Digital das empresas.”
Luciano Floridi Professor de Filosofia e Ética
NOVO MODELO DE DATA ETHICS
CONHECIMENTO I.A. APRENDIZADO RESULTANTE PATRIMÔNIO INTELECTUAL
✓ DADOS INDUSTRIAIS
✓ DADOS GERAIS
✓ DADOS PESSOAIS
FILTROS:
Consentimento | Tratamento
JUSTIFICATIVA LEGAL ANONIMIZAÇÃO
Transparência
Eliminar Reter
Perda Dado Pessoal
NOVA GOVERNANÇA DAS BASES DE DADOS (ANALYTICS + NOVAS REGULAMENTAÇÕES)
CONTROLES
EU GENERAL DATA PROTECTION REGULATION (GDPR)
28 Interpretações de Diretiva de proteção de dados
Un regulamento único de proteção de dados harmonizado em todos os Países da Comunidade Européia
ANTES: 2018:
Direito ao Esquecimento Consentimento prévio Data Protection Officer
Extraterritorialidade de GDPR
Multas e sanções (ex: 20 milhões de euros)
Responsabilidade solidária de controladores e processadores de dados
Notificação obrigatória de descumprimento (breaches)
USE CASE:
Mitigate Risk to Data Subjects
USE CASE:
Protect Against Personal Data Loss
USE CASE:
Minimise Risk in Case of a Breach Dever de report
Balcão único
Novas figuras jurídicas:
✓Controlador
✓ Processador
✓ Representantes
✓ DPO
✓ Autoridade supervisora
✓ Titular dos dados
GDPR: 100 PÁGINAS COM 99 ARTIGOS EM 11 CAPÍTULOS
• LAWFUL, FAIR AND TRANSPARENT
Article 5(1)(a)
• EXPECTED BY THE PERSON WHOSE DATA IT IS
Article 5(1)(b)
• JUST ENOUGH DATA TO DO WHAT YOU’RE DOING
Article 5(1)(c)
• ACCURATE
Article 5(1)(d)
• ONLY KEPT AS LONG AS NECESSARY
Article 5 (1)(e)
• INTEGRITY AND CONFIDENTIALITY
Article 5 (1)(f)
• ACCOUNTABILITY
Article 5 (2)
• KNOW WHAT’S GOING TO BE DONE WITH YOUR DATA
Article 13
• COPIES OF ALL THE DATA BEING PROCESSED
Article 15
• HAVE INCORRECT DATA CORRECTED
Article 16
• HAVE DATA ERASED
Article 17
• RESTRICT PROCESSING
Article 18
GDPR: 100 PÁGINAS COM 99 ARTIGOS EM 11 CAPÍTULOS
• DATA PORTABILITY
Article 20
• OBJECT TO THE DATA BEING PROCESSED
Article 21
• NOT BE SUBJECT TO
AUTOMATED PROCESSING
Article 22
•BE ACCOUNTABLE,
DEMONSTRATE COMPLIANCE
Article 24
•ADOPT PRIVACY BY
DESIGN AND BY DEFAULT
Article 25
•DUE CARE WHEN INVOLVING PROCESSORS
Article 28
•ROPA (RECORDS OF
PROCESSING ACTIVITIES)
Article 30
•SECURITY OF PROCESSING (STATE OF THE ART)
Article 32
•NOTIFICATION OF A DATA BREACH (72H)
Article 33
•NOTIFICATION OF SOME DATA BREACHES TO DSS
Article 34
•DPIA
Articles 35, 36 Articles 37-39
•APPOINT A DPO WHERE SPECIFIED
o Coleta
o Produção o Recepção
o Classificação o Utilização
o Acesso
o Reprodução o Transmissão o Distribuição
o Processamento
o Arquivamento
o Armazenamento o Eliminação
o Avaliação ou controle da informação
o Modificação o Comunicação o Transferência o Difusão
o Extração
SUPPLY CHAIN de Dados
REDES GLOBAIS
IMPACTO CONFORMIDADE DE TRATAMENTO DE DADOS TODO SUPPLY CHAIN DE FORNECEDORES E
PARCEIROS DE NEGÓCIOS
Alcança toda operação realizada com dados pessoais, como as que se referem à:
APLICAÇÃO: ALCANÇA TODOS OS TRATAMENTOS DE DADOS PESSOAIS
Informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”). Relacionado a: consumidor, funcionário e acionista Exemplos:
▪ Nome Completo, Nacionalidade, Data de Nascimento, Gênero, Documento de Identidade, Cadastro de Pessoa Física, Nome empresarial, CNPJ, Informações societárias, Endereço de e-mail, Endereço Físico, Número de telefone;
▪ Informações sobre sistema operacional e navegador de dispositivo, Endereço IP, Geolocalização, Dados técnicos de dispositivo utilizado, Registros de interações com a plataforma;
▪ Quaisquer elementos específicos da identidade física (etnia, biometria), fisiológica (dados de saúde, vida sexual), genética, mental (opiniões políticas, filosóficas e religiosas, orientação sexual), econômica (Dados bancários /
Notificação de Violações
Registro do Processamento E guarda de Logs
Confirmação do Consentimento
• Data Discovery - Inventário dos Dados Pessoais em repositórios estruturados e não-estruturados
• Mapa do Fluxo de Dados Pessoais (Workflow vs. Data Discovery)
• Correlacionamento de eventos
• Análise do comportamento do usuário
• Uso de Criptografia, Pseudoanonimização e DLP – Prevenção contra perda de Dados (Pessoais) nas redes, estações (EndPoint), e-Mail, Web, Cloud, Mídia Social, dispositivos móveis, etc.
• Geração das trilhas de auditoria para os tratamentos e consentimentos
• Gerenciamento de eventos e incidentes com Dados Pessoais
• Score de Riscos para priorização das respostas
• Gestão das Notificações
• Gestão dos Riscos em Dados Pessoais, lições aprendidas e retroalimentação
Gestão de Riscos
Proteção dos Dados Pessoais
• Gerenciamento das regras de consentimento ao uso
• Gerenciamento do acesso aos Dados Pessoais
• Monitoramento e análise das atividades do usuário
ESSAS DIMENSÕES DEMANDAM POR
NOVAS TECNOLOGIAS E PRÁTICAS
Se ok...
COMPLIANT
Caso
contrário.
..
NO COMPLIANT
LEVANDO
ÀS PENALIDADES:
PECUNIÁRIA
(MULTA – EU 20 milhões de euros ou 4% do faturamento bruto do grupo econômico
REPUTACIONAL
(repercussão negativa da
Marca na Imprensa e mídias sociais)
JUDICIAL
(ação judicial indenização inclusive class action
funcionários ou consumidores)
ADMINISTRATIVA
(Barreira Comercial e negativa de área de compliance)
Impactos das novas regulamentações de proteção de dados (GDPR) - aprovada em abril de 2016 – inicia aplicação de
multas em 25 de maio de 2018
EQUAÇÃO DOS MODELOS DE NEGÓCIOS
3 Rs
RECEITA (EM REDE) RISCO (SISTÊMICO)
RESPONSABILIDADE (SOLIDÁRIA)
● Foi feita a análise do valor de fechamento de ações de 24
empresas, em sua maior parte listadas na Bolsa de Nova York, tendo início no dia anterior ao
episódio de vazamento de dados ir a público.
● No estudo, foram incluidos vários dos maiores vazamentos de dados da história. Todos eles resultaram em no mínimo 1 milhão de dados vazados - alguns ultrapassaram os 100 milhões de dados vazados.
INCIDENTE RISCO DIGITAL (VAZAMENTO OU REPUTACIONAL) = IMPACTO NA CONFIANÇA
METODOLOGIA
A análise inicial foi simplesmente sobre observar se o preço das ações subiu ou caiu.
Após um vazamento de dados, a maior parte das ações caiu imediatamente. Para tirar tal conclusão, foi calculada a volatilidade diária (variação padrão) do valor dos ativos para que seja contextualizada “a altura da queda”.
Em um segundo momento, para uma contextualização no mercado financeiro, foi comparada a performance de cada ação com o NASDAQ, dentro do mesmo período, e então foi
calculada a diferença entre o índice e os ativos em estudo.
Para tentar identificar padrões, foram colocados os dados dos ativos em estudo de forma conjunta, mas também agrupados por tamanho do vazamento, sensibilidade das
informações vazadas, e o ramo da companhia.
INCIDENTE DIGITAL (VAZAMENTO OU
REPUTAÇÃO)
IMPACTO DIRETO VALOR DAS AÇÕES
Essa é a média de performance das 24 empresas escolhidas, antes (45,6%). E depois do incidente (14,6%). Logo após o incidente as ações caem. Seis meses depois os preços sofrem um declínio significativo. Um ano depois, os ativos analizados continuam a performar abaixo do índice NASDAQ, em média em 7,33%. Em 3 anos após o incidente as ações totalizaram queda de 41,6% em
INCIDENTE RISCO DIGITAL (VAZAMENTO OU REPUTACIONAL) = IMPACTO NA CONFIANÇA
PRINCIPAIS IMPACTOS DA GDPR – CIBER SEGURANÇA (DEVER REPORT)
Violação de Segurança e Violação de Dados (arts. 33 e 34)
VIOLAÇÃO DE SEGURANÇA: "incidente de segurança“. Por exemplo, perda de uma chave USB ou laptop, hack do sistema.
VIOLAÇÃO DE DADOS: uma violação de segurança só se torna uma violação de dados quando envolve a perda de dados pessoais ou se o processamento ilegal de dados pessoais não puder ser razoavelmente excluído.
Dever de Notificação (Report)
O Processador deve notificar o Controlador sem demora indevida após tomar conhecimento de uma violação de dados pessoais. Em caso de violação de dados pessoais, o Controlador deve, sem
demora injustificada e, sempre que possível, no prazo de 72 horas após ter tomado conhecimento do mesmo, notificar a violação dos dados pessoais à autoridade supervisora.
Quando a violação de dados pessoais poder resultar em um alto risco aos direitos e liberdades das pessoas físicas, o Controlador deverá comunicar a violação de dados pessoais aos Titulares de Dados afetados, sem demora indevida. O Controlador documentará toda e qualquer violação de dados pessoais e disponibilizará essa informação à autoridade supervisora.
CYBER DEFENSE: DEFESA DIGITAL LEGAL
✓ Pode fazer revista digital de celular em um indivíduo suspeito (com uso de software de varredura por palavra chave e fazendo espelhamento do celular)? Ou precisa de ordem judicial?
✓ Pode usar sneafer para identificar a origem de um ataque (invasão) e gerar evidências de autoria (coleta de IP, Mac Address, Porta lógica) ou esta prova será considerada obtida de forma ilícita?
✓ Qual a diferença entre o ato de defesa de um ato de ataque? Como endossar a ação de polícia e autoridade no princípio da legítima defesa do artigo 25 do Código Penal para legitimar a ação
imediata de resposta respeitando direitos civis (ação de contra inteligência – proteção ou ação de inteligência para levantar informações em uma investigação).
✓ Como garantir a cadeia de custódia para não haver quebra de integridade que gere perda de
validade da prova (coleta-guarda-apresentação com padrão de criptografia de guarda, controle de acesso com fator duplo de autenticação)?
BRASIL - CRIMES DIGITAIS
Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
● § 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
● § 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
● § 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
Código Penal Brasil
Extorsão - Art. 158 – Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem
indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa:
Pena - reclusão, de quatro a dez anos, e multa.
Crime de Furto
Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel: § 4º - A pena é de reclusão de dois a oito anos, e multa, se o crime é cometido: II - com abuso de
confiança, ou mediante fraude, escalada ou destreza;
PROBLEMA PARA A DEMOCRACIA
Se não criminalizar a oferta do serviço e
houver a colaboração dos serviços de mídias sociais e aplicações web não tem como
Argentina Lei nº 25.326/2000 – Lei de Proteção de Dados Pessoais – ATUALIZANDO 2017-2018 Brasil Projetos de Lei 5276/16, 330/2013 (ainda não possui lei específica)
Chile Projeto de Lei para atualizar a lei (em andamento – desde 2010 com nova proposta feita em 2017) - ATUALIZANDO
Lei 19.628/1999 – Lei de Proteção de Dados Pessoais
Colômbia Lei nº 1581/2012 - Lei Geral de Proteção de Dados Pessoais –
Decreto nº 1.377/2013 – Regulamenta a Lei Geral de Proteção de Dados Pessoais ATUALIZANDO
México Lei Federal de Transparência e Acesso à Informação Pública Governamental Lei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010) ATUALIZANDO
Panamá Projeto de Lei sobre Proteção de Dados Pessoais (EM ANDAMENTO) Lei nº 06/2002 – Lei de Transparência e Acesso à Informação Pública Peru Lei nº 29.733/2011 – Lei de Proteção de Dados Pessoais ATUALIZANDO Uruguai Lei n° 18.331/2008 – Lei de Proteção de Dados Pessoais ATUALIZANDO
LEIS DE PROTEÇÃO DE DADOS - LATAM
Riscos Brasil não ter uma Lei Proteção de Dados Pessoais:
✓ País fora de conformidade
✓ Fuga de capital estrangeiro do país – Foreign Direct
Investment (FDI)
✓ Inviabilidade para o
processamento de dados de cidadãos europeus no país
✓ Impossibilidade de trazer dados como matéria-prima para os negócios no Brasil
DIMENSÕES
Político-estratégica;
Econômica;
Social e ambiental;
Ciência, Tecnologia e Inovação;
Educação;
Legal;
Cooperação Internacional;
Infraestruturas Críticas / Estratégicas.
A g e n c
I a
INFRAESTRUTURAS CRÍTICAS COMO ESTAMOS HOJE?
Infraestruturas Críticas
•Terceirizadas em sua grande maioria
•Agencias Reguladores ineficientes
•Gestões
Desarticuladas
•Governança com Múltiplos Atores
•Tendência a manter o
“status quo” ou piorar
Infraestrutura Crítica da
Informação
•Múltiplos Atores
•Redundância de ações
•Ações
descoordenadas
•Governança com Múltiplos Atores
•Marcos Legais
confusos e frouxos
•Tendência à piorar
TENDÊNCIAS ESPERADAS
Estratégias conjuntas
PPP
Exemplo: END
Legislação Politica de Segurança e Defesa Cibernética
(informações)
Adequação Legislação (Marco Civil; Dec. 8135; Convenção
Budapest; Lei de Acesso a Informação; Lei Crimes de Informática, Lei de Proteção de
Dados Pessoais, Lei de Ciber Segurança)
Organização Coordenação (Cadeia de
Comando
Capacitação Governo e Iniciando na
NÍVEIS DE MATURIDADE
1º NÍVEL 2º NÍVEL 3º NÍVEL
(Curto Prazo)
Preocupação:
Multa
(fiscalização)
Preocupação:
Governança Patrimônio
Dados
Preocupação:
Inovação P&D
Transformação Digital Ética e Regulamentação
Digital Rights
Compliance pela
Lei Financeiro & Estratégia Digital Negócios
PROPRIEDADE INTELECTUAL DIGITAL
PDCA LEGAL
Blindagem da Inovação Tecnológica
Regras Claras (algumas precisam ser por lei,
regulamentação de indústria)
Vigilância
Monitoramento e Documentação das
evidências (guarda
provas) com ferramentas
Educação Digital
(Campanhas Públicas e Privadas) finalidade
preventiva Resposta a Incidentes
(rápida e com rigor) e Penalização (combate
impunidade)
➢ Fazer a análise de viabilidade jurídica da inovação tecnológica
➢ Buscar logo no início realizar a blindagem documental da inovação e a estratégia de propriedade intelectual
(proteção de marca e domínio, modelo criativo – se é caso de aplicar direito autoral ou patente, se vai ser protegido só Brasil ou outros países pois nos EUA é
copyright muitas vezes, realizar os registros, termos de cessão, contratos, NDAs, MOU)
➢ Implementar metodologias e ferramentas de proteção patrimonial e reputacional especialmente no tocante a cibersegurança (Política de Segurança, padrões de
criptografia, Tabela de temporalidade para gestão de logs, duplo fator de autenticação para atender a leis como MCI)
RESUMO:
https://www.youtube.com/watch?v=Sn_584eJzGE&feature=youtu.be
Curso com certificação da EXIN:
- Fundamentos da Privacidade e Proteção de Dados & Regulamentação;
- Organizando a Proteção de Dados;
Fazer o curso em maio:
https://goo.gl/XAP3TA
O Instituto iStart foi criado em 2010 pela advogada especialista em Direito Digital, Dra. Patricia Peck Pinheiro, com a missão levar mais educação em Ética e Segurança Digital para as famílias brasileiras.
www.istart.org.br
ATUAÇÃO SOCIAL – ISTART – ÉTICA E SEGURANÇA DIGITAL
contatos
Patricia Peck Pinheiro
+55 11 98696 3999 +55 (11) 3068.0777
patricia.peck@peckadvogados.com.br patriciapeck@usp.br
• Programadora desde os 13 anos autodidata em Basic, Cobol, C++, HTML
• Advogada especialista em Direito Digital formada pela Universidade de São Paulo
• Doutoranda pela Universidade de São Paulo (Departamento Direito Internacional)
• Pesquisadora convidada do Max Planck Institut de Munique e Hamburgo (Alemanha)
• Pesquisadora convidada da Universidade de Columbia – NYC (EUA)
• Professora convidada pela Universidade de Coimbra (Portugal)
• Professora convidada pela Universidade Central do Chile
• Professora convidada especialista em Cibersegurança pela Escola de Inteligência do Exército Brasileiro
• Professora convidada da Banca Examinadora de Doutorado do Instituto de Tecnologia da Aeronáutica ITA
• Professora/Coordenadora de Inovação e Direito Digital da pós-graduação da FIA/USP
• Conselheira de Ética da Associação Brasileira de Educação à Distância – ABED
• Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP
• Vice-Presidente Jurídica da Associação Brasileira dos Profissionais e Empresas de Segurança da Informação
• Reconhecida como advogada mais admirada em Propriedade Intelectual no Brasil por 10 anos consecutivos (2008 à 2017)
• Condecorada com 4 medalhas militares e recebeu 2 vezes prêmio Security Leaders
• 18 livros publicados de Direito Digital
• Sócia-fundadora do escritório Patricia Peck Pinheiro Advogados
• Sócia-fundadora da empresa de treinamentos Peck Sleiman Edu
• Presidente do Instituto iStart de Ética Digital