Alerta do PIX: LGPD responsabiliza vazamentos de dados pessoais
Em seis vazamentos ligados a chaves de pagamentos instantâneos já foram expostas mais de 760 mil informações de brasileiros
Em sua página que registra incidentes com dados pessoais, o Banco Central informou que entre o dia 1º de janeiro e 22 de fevereiro ocorreu o vazamento de dados cadastrais como nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta vinculados a 46.093 chaves PIX. Apesar da notícia ter sido amenizada com o argumento de que não se tratam de dados sensíveis ou transacionais, como número de contas, senhas e outros, a informação preocupa os especialistas em segurança, pois já é o sexto caso relatado pelo órgão desde 2021. Ao todo, considerando as informações expostas em todos as ocorrências, somam 760.401 informações sobre brasileiros que foram disponibilizadas de forma ilegal.
A sócia da DeServ Academy, Bruna Fabiane da Silva, eleita no final do ano passado uma das 50 Melhores Mulheres em Segurança Cibernética das Américas pela WOMCY (LATAM Women in Cybersecurity), explica a Lei Geral de Proteção de Dados (LGPD), Lei n° 13.709/2018, categoriza os tipos de dados em dados pessoais e dados pessoais sensíveis, exigindo uma maior proteção para a segunda categoria, mas não isenta a responsabilidade dos agentes de tratamento em garantir a proteção de todos os tipos de dados, inclusive os dados cadastrais e o respeito aos direitos e liberdades dos indivíduos.
“Cada vez mais é evidente a necessidade da adoção de medidas técnicas e organizacionais de segurança da informação para a proteção de dados pessoais. Ainda que as informações vazadas não possibilitem a movimentação de recursos e que sejam dados cadastrais, não significa que os titulares dos dados não estejam vulneráveis a determinados prejuízos ou danos em razão desta violação de dados. Um vazamento de dados, uma exposição indevida de dados pessoais viola o pilar da confidencialidade da informação, acarretando a perda do controle do fluxo que a informação deveria percorrer”, avalia.
Para o CEO do Kronoos, plataforma SaaS para compliance que realiza pesquisas em milhares de fontes para conferir a idoneidade de pessoas e empresas, Alexandre Pegoraro, os vazamentos ocorridos no ambiente do PIX reforçam a necessidade de as organizações intensificarem a aplicação dos chamados Indicadores Chave de Desempenho de Conformidade. Segundo ele, são métricas e medidas quantitativas ou qualitativas usadas para avaliar o grau de aderência de uma organização às normas legais, regulamentações, políticas internas e princípios éticos.
“Esse acompanhamento criterioso e contínuo é essencial para as organizações entenderem seu verdadeiro nível de conformidade com a LGPD e outras regulamentações em todos os momentos e situações. Acreditar que só haverá problemas reais caso sejam vazados dados sensíveis e transacionais é uma forma amadora de lidar com a questão. O profissionalismo considera que a lei é bem clara sobre a responsabilidade das empresas com todo tipo de dado pessoal, inclusive os cadastrais. Desta forma, as melhores práticas orientam no sentido de monitorar também os riscos relacionados a este tipo de informação”, afirma.
