PRIVACIDADE E CIBER SEGURANÇA

PRIVACIDADE

E CIBER SEGURANÇA

Por Dra. Patricia Peck

patricia.peck@peckadvogados.com.br

AUTORA DE 18 LIVROS

CONDECORADA 4 MEDALHAS MILITARES

Dra. Patricia Peck Pinheiro

patricia.peck@peckadvogados.com.br patriciapeck@usp.br

MUDANÇA DE CULTURA

“Sociedade em rede”: termo criado por Manuel Castells em 2001 anunciando o desenvolvimento de um individualismo conectado.

Como internet não tem fronteiras, as relações digitais possuem natureza internacional.

O limite da liberdade do indivíduo e dos negócios é a ética.

RELAÇÕES JURÍDICAS TRANSFRONTEIRIÇAS

Artigo: Redes Distribuídas de Comunicação P. Baran (1964)

REDE DISTRIBUÍDA:

TODOS OS NÓS DA REDE TÊM O MESMO

PODER E A MESMA RESPONSABILIDADE

SOLIDÁRIA.

Como internet não tem fronteiras, as relações digitais possuem natureza internacional.

O limite da liberdade do indivíduo e das instituições é o da ÉTICA e da LEI.

RELAÇÕES JURÍDICAS TRANSFRONTEIRIÇAS

Como fazer a vigilância legitimada = PODER DE POLÍCIA respeitando direitos civis e garantias constitucionais de privacidade?

LIBERDADE ^X CONTROLE

A DISRUPÇÃO DIGITAL: PERDA DO SUPORTE FÍSICO CONTEÚDO ACESSÍVEL DE QUALQUER LUGAR

Características dos Bens digitais

✓ Permite infinitas reproduções

✓ Pode ser acessado de qualquer lugar

✓ Majoritariamente classificado como serviço

✓ Incorpóreo

✓ Não transferível patrimonialmente

✓ Carga tributária menor

BIG DATA ALGORITIMO INTELIGENTE

MAIOR PODER DE

PROCESSAMENTO INTELIGENCIA ARTIFICIAL

MODELO ATUAL DA INDÚSTRIA 4.0

EXEMPLO FEEDBACK

APRENDIZADO

HUMAN & MACHINE

LEARNING METHODOLOGY

O paradoxo de Polanyi (1964):

“todos nós sabemos mais do que dizemos”

Michael Polanyi Filósofo e Polímata

PROPRIEDADE INTELECTUAL DIGITAL

Bens de Conhecimento: estão em grandes bases de dados

Patrimônio Intelectual

Conhecimento Conhecimento

Deep Machine Learning

Aprendizado

Dados

Big Data Patrimônio

Intelectual

A inovação tecnológica tem que melhorar a

qualidade de vida. Mas trouxe novos riscos.

Como se

proteger?

Svetlana Está em:

Popcap lotéricas

09:10

Svetlana Está em:

Restaurante kilozo

10:50

Svetlana Está em:

Trabalho 13:30

Svetlana Está em:

Em Casa 19:20

Svetlana Está em:

Cineminha 12:10

Svetlana Está em:

Padaria Rainha 23:20

A web

é P Ú B L I C A

EM VOCÊ ÁLGUÉM ESTAR PODE DE OLHO

Siga Twitter: @patriciapeckadv | Todos os direitos reservados

CRIMES DIGITAIS

Evolução do Crime Eletrônico no tempo

Bandido 1.0 (ANALÓGICO)

Bandido 2.0 (INTERNET)

Bandido 3.0 (MOBILE)

Bandido 4.0 (IOT e SMART CITIES)

Agência Assalto ATM e Internet Banking

Pé de Cabra e Phishing

Celular Ataque Bluetooth

Cloud

e Redes Sociais

Social Phishing, Apps e Wapp BANCO ANALÓGICO BANCO ELETRÔNICO BANCO MOBILE BANCO DIGITAL

O que fazer para evitar espionagem eletrônica,

hackativismo, criminosos digitais, vazamento de

informações e Terrorismo Cibernético?

Como legitimar a ação

de Defesa IMEDIATA?

COMO GARANTIR O

FLAGRANTE DIGITAL?

MODELO

NEGÓCIO CENTRO

TRANSPARÊNCIA

REGULAMENTAÇÃO

(padronização de regras)

CONTROLES

(verificação se está

DADOS

DADOS SÃO A RIQUEZA DA

SOCIEDADE DIGITAL

“Nova governança da tecnologia com base em valores: nos direitos humanos.

A nova Ética Digital das empresas.”

Luciano Floridi Professor de Filosofia e Ética

NOVO MODELO DE DATA ETHICS

CONHECIMENTO I.A. APRENDIZADO RESULTANTE PATRIMÔNIO INTELECTUAL

✓ DADOS INDUSTRIAIS

✓ DADOS GERAIS

✓ DADOS PESSOAIS

FILTROS:

Consentimento | Tratamento

JUSTIFICATIVA LEGAL ANONIMIZAÇÃO

Transparência

Eliminar Reter

Perda Dado Pessoal

NOVA GOVERNANÇA DAS BASES DE DADOS (ANALYTICS + NOVAS REGULAMENTAÇÕES)

CONTROLES

EU GENERAL DATA PROTECTION REGULATION (GDPR)

28 Interpretações de Diretiva de proteção de dados

Un regulamento único de proteção de dados harmonizado em todos os Países da Comunidade Européia

ANTES: 2018:

Direito ao Esquecimento Consentimento prévio Data Protection Officer

Extraterritorialidade de GDPR

Multas e sanções (ex: 20 milhões de euros)

Responsabilidade solidária de controladores e processadores de dados

Notificação obrigatória de descumprimento (breaches)

USE CASE:

Mitigate Risk to Data Subjects

USE CASE:

Protect Against Personal Data Loss

USE CASE:

Minimise Risk in Case of a Breach Dever de report

Balcão único

Novas figuras jurídicas:

✓Controlador

✓ Processador

✓ Representantes

✓ DPO

✓ Autoridade supervisora

✓ Titular dos dados

GDPR: 100 PÁGINAS COM 99 ARTIGOS EM 11 CAPÍTULOS

• LAWFUL, FAIR AND TRANSPARENT

Article 5(1)(a)

• EXPECTED BY THE PERSON WHOSE DATA IT IS

Article 5(1)(b)

• JUST ENOUGH DATA TO DO WHAT YOU’RE DOING

Article 5(1)(c)

• ACCURATE

Article 5(1)(d)

• ONLY KEPT AS LONG AS NECESSARY

Article 5 (1)(e)

• INTEGRITY AND CONFIDENTIALITY

Article 5 (1)(f)

• ACCOUNTABILITY

Article 5 (2)

• KNOW WHAT’S GOING TO BE DONE WITH YOUR DATA

Article 13

• COPIES OF ALL THE DATA BEING PROCESSED

Article 15

• HAVE INCORRECT DATA CORRECTED

Article 16

• HAVE DATA ERASED

Article 17

• RESTRICT PROCESSING

Article 18

GDPR: 100 PÁGINAS COM 99 ARTIGOS EM 11 CAPÍTULOS

• DATA PORTABILITY

Article 20

• OBJECT TO THE DATA BEING PROCESSED

Article 21

• NOT BE SUBJECT TO

AUTOMATED PROCESSING

Article 22

•BE ACCOUNTABLE,

DEMONSTRATE COMPLIANCE

Article 24

•ADOPT PRIVACY BY

DESIGN AND BY DEFAULT

Article 25

•DUE CARE WHEN INVOLVING PROCESSORS

Article 28

•ROPA (RECORDS OF

PROCESSING ACTIVITIES)

Article 30

•SECURITY OF PROCESSING (STATE OF THE ART)

Article 32

•NOTIFICATION OF A DATA BREACH (72H)

Article 33

•NOTIFICATION OF SOME DATA BREACHES TO DSS

Article 34

•DPIA

Articles 35, 36 Articles 37-39

•APPOINT A DPO WHERE SPECIFIED

o Coleta

o Produção o Recepção

o Classificação o Utilização

o Acesso

o Reprodução o Transmissão o Distribuição

o Processamento

o Arquivamento

o Armazenamento o Eliminação

o Avaliação ou controle da informação

o Modificação o Comunicação o Transferência o Difusão

o Extração

SUPPLY CHAIN de Dados

REDES GLOBAIS

IMPACTO CONFORMIDADE DE TRATAMENTO DE DADOS TODO SUPPLY CHAIN DE FORNECEDORES E

PARCEIROS DE NEGÓCIOS

Alcança toda operação realizada com dados pessoais, como as que se referem à:

APLICAÇÃO: ALCANÇA TODOS OS TRATAMENTOS DE DADOS PESSOAIS

Informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”). Relacionado a: consumidor, funcionário e acionista Exemplos:

▪ Nome Completo, Nacionalidade, Data de Nascimento, Gênero, Documento de Identidade, Cadastro de Pessoa Física, Nome empresarial, CNPJ, Informações societárias, Endereço de e-mail, Endereço Físico, Número de telefone;

▪ Informações sobre sistema operacional e navegador de dispositivo, Endereço IP, Geolocalização, Dados técnicos de dispositivo utilizado, Registros de interações com a plataforma;

▪ Quaisquer elementos específicos da identidade física (etnia, biometria), fisiológica (dados de saúde, vida sexual), genética, mental (opiniões políticas, filosóficas e religiosas, orientação sexual), econômica (Dados bancários /

Notificação de Violações

Registro do Processamento E guarda de Logs

Confirmação do Consentimento

• Data Discovery - Inventário dos Dados Pessoais em repositórios estruturados e não-estruturados

• Mapa do Fluxo de Dados Pessoais (Workflow vs. Data Discovery)

• Correlacionamento de eventos

• Análise do comportamento do usuário

• Uso de Criptografia, Pseudoanonimização e DLP – Prevenção contra perda de Dados (Pessoais) nas redes, estações (EndPoint), e-Mail, Web, Cloud, Mídia Social, dispositivos móveis, etc.

• Geração das trilhas de auditoria para os tratamentos e consentimentos

• Gerenciamento de eventos e incidentes com Dados Pessoais

• Score de Riscos para priorização das respostas

• Gestão das Notificações

• Gestão dos Riscos em Dados Pessoais, lições aprendidas e retroalimentação

Gestão de Riscos

Proteção dos Dados Pessoais

• Gerenciamento das regras de consentimento ao uso

• Gerenciamento do acesso aos Dados Pessoais

• Monitoramento e análise das atividades do usuário

ESSAS DIMENSÕES DEMANDAM POR

NOVAS TECNOLOGIAS E PRÁTICAS

Se ok...

COMPLIANT

Caso

contrário.

..

NO COMPLIANT

LEVANDO

ÀS PENALIDADES:

PECUNIÁRIA

(MULTA – EU 20 milhões de euros ou 4% do faturamento bruto do grupo econômico

REPUTACIONAL

(repercussão negativa da

Marca na Imprensa e mídias sociais)

JUDICIAL

(ação judicial indenização inclusive class action

funcionários ou consumidores)

ADMINISTRATIVA

(Barreira Comercial e negativa de área de compliance)

Impactos das novas regulamentações de proteção de dados (GDPR) - aprovada em abril de 2016 – inicia aplicação de

multas em 25 de maio de 2018

EQUAÇÃO DOS MODELOS DE NEGÓCIOS

3 Rs

RECEITA (EM REDE) RISCO (SISTÊMICO)

RESPONSABILIDADE (SOLIDÁRIA)

● Foi feita a análise do valor de fechamento de ações de 24

empresas, em sua maior parte listadas na Bolsa de Nova York, tendo início no dia anterior ao

episódio de vazamento de dados ir a público.

● No estudo, foram incluidos vários dos maiores vazamentos de dados da história. Todos eles resultaram em no mínimo 1 milhão de dados vazados - alguns ultrapassaram os 100 milhões de dados vazados.

INCIDENTE RISCO DIGITAL (VAZAMENTO OU REPUTACIONAL) = IMPACTO NA CONFIANÇA

METODOLOGIA

A análise inicial foi simplesmente sobre observar se o preço das ações subiu ou caiu.

Após um vazamento de dados, a maior parte das ações caiu imediatamente. Para tirar tal conclusão, foi calculada a volatilidade diária (variação padrão) do valor dos ativos para que seja contextualizada “a altura da queda”.

Em um segundo momento, para uma contextualização no mercado financeiro, foi comparada a performance de cada ação com o NASDAQ, dentro do mesmo período, e então foi

calculada a diferença entre o índice e os ativos em estudo.

Para tentar identificar padrões, foram colocados os dados dos ativos em estudo de forma conjunta, mas também agrupados por tamanho do vazamento, sensibilidade das

informações vazadas, e o ramo da companhia.

INCIDENTE DIGITAL (VAZAMENTO OU

REPUTAÇÃO)

IMPACTO DIRETO VALOR DAS AÇÕES

Essa é a média de performance das 24 empresas escolhidas, antes (45,6%). E depois do incidente (14,6%). Logo após o incidente as ações caem. Seis meses depois os preços sofrem um declínio significativo. Um ano depois, os ativos analizados continuam a performar abaixo do índice NASDAQ, em média em 7,33%. Em 3 anos após o incidente as ações totalizaram queda de 41,6% em

INCIDENTE RISCO DIGITAL (VAZAMENTO OU REPUTACIONAL) = IMPACTO NA CONFIANÇA

PRINCIPAIS IMPACTOS DA GDPR – CIBER SEGURANÇA (DEVER REPORT)

Violação de Segurança e Violação de Dados (arts. 33 e 34)

VIOLAÇÃO DE SEGURANÇA: "incidente de segurança“. Por exemplo, perda de uma chave USB ou laptop, hack do sistema.

VIOLAÇÃO DE DADOS: uma violação de segurança só se torna uma violação de dados quando envolve a perda de dados pessoais ou se o processamento ilegal de dados pessoais não puder ser razoavelmente excluído.

Dever de Notificação (Report)

O Processador deve notificar o Controlador sem demora indevida após tomar conhecimento de uma violação de dados pessoais. Em caso de violação de dados pessoais, o Controlador deve, ^sem

demora injustificada e, sempre que possível, no prazo de ^{72 horas} após ter tomado conhecimento do mesmo, notificar a violação dos dados pessoais à autoridade supervisora.

Quando a violação de dados pessoais poder resultar em um alto risco aos direitos e liberdades das pessoas físicas, o Controlador deverá comunicar a violação de dados pessoais aos Titulares de Dados afetados, sem demora indevida. O Controlador documentará toda e qualquer violação de dados pessoais e disponibilizará essa informação à autoridade supervisora.

CYBER DEFENSE: DEFESA DIGITAL LEGAL

✓ Pode fazer revista digital de celular em um indivíduo suspeito (com uso de software de varredura por palavra chave e fazendo espelhamento do celular)? Ou precisa de ordem judicial?

✓ Pode usar sneafer para identificar a origem de um ataque (invasão) e gerar evidências de autoria (coleta de IP, Mac Address, Porta lógica) ou esta prova será considerada obtida de forma ilícita?

✓ Qual a diferença entre o ato de defesa de um ato de ataque? Como endossar a ação de polícia e autoridade no princípio da legítima defesa do artigo 25 do Código Penal para legitimar a ação

imediata de resposta respeitando direitos civis (ação de contra inteligência – proteção ou ação de inteligência para levantar informações em uma investigação).

✓ Como garantir a cadeia de custódia para não haver quebra de integridade que gere perda de

validade da prova (coleta-guarda-apresentação com padrão de criptografia de guarda, controle de acesso com fator duplo de autenticação)?

BRASIL - CRIMES DIGITAIS

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.

● § 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.

● § 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.

● § 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.

Código Penal Brasil

Extorsão - Art. 158 – Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem

indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa:

Pena - reclusão, de quatro a dez anos, e multa.

Crime de Furto

Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel: § 4º - A pena é de reclusão de dois a oito anos, e multa, se o crime é cometido: II - com abuso de

confiança, ou mediante fraude, escalada ou destreza;

PROBLEMA PARA A DEMOCRACIA

Se não criminalizar a oferta do serviço e

houver a colaboração dos serviços de mídias sociais e aplicações web não tem como

Argentina Lei nº 25.326/2000 – Lei de Proteção de Dados Pessoais – ATUALIZANDO 2017-2018 Brasil Projetos de Lei 5276/16, 330/2013 (ainda não possui lei específica)

Chile Projeto de Lei para atualizar a lei (em andamento – desde 2010 com nova proposta feita em 2017) - ATUALIZANDO

Lei 19.628/1999 – Lei de Proteção de Dados Pessoais

Colômbia Lei nº 1581/2012 - Lei Geral de Proteção de Dados Pessoais –

Decreto nº 1.377/2013 – Regulamenta a Lei Geral de Proteção de Dados Pessoais ATUALIZANDO

México Lei Federal de Transparência e Acesso à Informação Pública Governamental Lei Federal de Proteção de Dados Pessoais em Poder de Particulares (2010) ATUALIZANDO

Panamá Projeto de Lei sobre Proteção de Dados Pessoais (EM ANDAMENTO) Lei nº 06/2002 – Lei de Transparência e Acesso à Informação Pública Peru Lei nº 29.733/2011 – Lei de Proteção de Dados Pessoais ATUALIZANDO Uruguai Lei n° 18.331/2008 – Lei de Proteção de Dados Pessoais ATUALIZANDO

LEIS DE PROTEÇÃO DE DADOS - LATAM

Riscos Brasil não ter uma Lei Proteção de Dados Pessoais:

✓ País fora de conformidade

✓ Fuga de capital estrangeiro do país – Foreign Direct

Investment (FDI)

✓ Inviabilidade para o

processamento de dados de cidadãos europeus no país

✓ Impossibilidade de trazer dados como matéria-prima para os negócios no Brasil

DIMENSÕES

Político-estratégica;

Econômica;

Social e ambiental;

Ciência, Tecnologia e Inovação;

Educação;

Legal;

Cooperação Internacional;

Infraestruturas Críticas / Estratégicas.

A g e n c

I a

INFRAESTRUTURAS CRÍTICAS COMO ESTAMOS HOJE?

Infraestruturas Críticas

•Terceirizadas em sua grande maioria

•Agencias Reguladores ineficientes

•Gestões

Desarticuladas

•Governança com Múltiplos Atores

•Tendência a manter o

“status quo” ou piorar

Infraestrutura Crítica da

Informação

•Múltiplos Atores

•Redundância de ações

•Ações

descoordenadas

•Governança com Múltiplos Atores

•Marcos Legais

confusos e frouxos

•Tendência à piorar

TENDÊNCIAS ESPERADAS

Estratégias conjuntas

PPP

Exemplo: END

Legislação Politica de Segurança e Defesa Cibernética

(informações)

Adequação Legislação (Marco Civil; Dec. 8135; Convenção

Budapest; Lei de Acesso a Informação; Lei Crimes de Informática, Lei de Proteção de

Dados Pessoais, Lei de Ciber Segurança)

Organização Coordenação (Cadeia de

Comando

Capacitação ^{Governo e} Iniciando na

NÍVEIS DE MATURIDADE

1º NÍVEL 2º NÍVEL 3º NÍVEL

(Curto Prazo)

Preocupação:

Multa

(fiscalização)

Preocupação:

Governança Patrimônio

Dados

Preocupação:

Inovação P&D

Transformação Digital Ética e Regulamentação

Digital Rights

Compliance pela

Lei Financeiro & Estratégia Digital Negócios

PROPRIEDADE INTELECTUAL DIGITAL

PDCA LEGAL

Blindagem da Inovação Tecnológica

Regras Claras (algumas precisam ser por lei,

regulamentação de indústria)

Vigilância

Monitoramento e Documentação das

evidências (guarda

provas) com ferramentas

Educação Digital

(Campanhas Públicas e Privadas) finalidade

preventiva Resposta a Incidentes

(rápida e com rigor) e Penalização (combate

impunidade)

➢ Fazer a análise de viabilidade jurídica da inovação tecnológica

➢ Buscar logo no início realizar a blindagem documental da inovação e a estratégia de propriedade intelectual

(proteção de marca e domínio, modelo criativo – se é caso de aplicar direito autoral ou patente, se vai ser protegido só Brasil ou outros países pois nos EUA é

copyright muitas vezes, realizar os registros, termos de cessão, contratos, NDAs, MOU)

➢ Implementar metodologias e ferramentas de proteção patrimonial e reputacional especialmente no tocante a cibersegurança (Política de Segurança, padrões de

criptografia, Tabela de temporalidade para gestão de logs, duplo fator de autenticação para atender a leis como MCI)

RESUMO:

https://www.youtube.com/watch?v=Sn_584eJzGE&feature=youtu.be

Curso com certificação da EXIN:

- Fundamentos da Privacidade e Proteção de Dados & Regulamentação;

- Organizando a Proteção de Dados;

Fazer o curso em maio:

https://goo.gl/XAP3TA

O Instituto iStart foi criado em 2010 pela advogada especialista em Direito Digital, Dra. Patricia Peck Pinheiro, com a missão levar mais educação em Ética e Segurança Digital para as famílias brasileiras.

www.istart.org.br

ATUAÇÃO SOCIAL – ISTART – ÉTICA E SEGURANÇA DIGITAL

contatos

Patricia Peck Pinheiro

+55 11 98696 3999 +55 (11) 3068.0777

patricia.peck@peckadvogados.com.br patriciapeck@usp.br

• Programadora desde os 13 anos autodidata em Basic, Cobol, C++, HTML

• Advogada especialista em Direito Digital formada pela Universidade de São Paulo

• Doutoranda pela Universidade de São Paulo (Departamento Direito Internacional)

• Pesquisadora convidada do Max Planck Institut de Munique e Hamburgo (Alemanha)

• Pesquisadora convidada da Universidade de Columbia – NYC (EUA)

• Professora convidada pela Universidade de Coimbra (Portugal)

• Professora convidada pela Universidade Central do Chile

• Professora convidada especialista em Cibersegurança pela Escola de Inteligência do Exército Brasileiro

• Professora convidada da Banca Examinadora de Doutorado do Instituto de Tecnologia da Aeronáutica ITA

• Professora/Coordenadora de Inovação e Direito Digital da pós-graduação da FIA/USP

• Conselheira de Ética da Associação Brasileira de Educação à Distância – ABED

• Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP

• Vice-Presidente Jurídica da Associação Brasileira dos Profissionais e Empresas de Segurança da Informação

• Reconhecida como advogada mais admirada em Propriedade Intelectual no Brasil por 10 anos consecutivos (2008 à 2017)

• Condecorada com 4 medalhas militares e recebeu 2 vezes prêmio Security Leaders

• 18 livros publicados de Direito Digital

• Sócia-fundadora do escritório Patricia Peck Pinheiro Advogados

• Sócia-fundadora da empresa de treinamentos Peck Sleiman Edu

• Presidente do Instituto iStart de Ética Digital