Segurança, vazamento de dados e ransomware: ataques que devem ser levados a sério.

Legal Watch nº 32 – Fevereiro de 2021

Segurança, vazamento de dados e ransomware: ataques que devem ser levados a sério. A imprensa ecoou no final de fevereiro uma Vazamento massivo de dados no setor médico.

Informações confidenciais sobre mais de 500.000 pessoas, incluindo tipos sanguíneos e números de previdência social, foram vendidas em um fórum especializado antes de serem publicadas livremente na internet.

Também estão incluídos nesta lista de dados os nomes de usuário e senhas que permitiram que esses pacientes se conectassem aos centros médicos e laboratórios de análise afetados pelo vazamento de dados.

Uma investigação judicial está em andamento, e tanto a ANSSI quanto a CNIL assumiram o caso.

A gravidade da violação de dados reside tanto no número de pessoas afetadas quanto na natureza sensível dos dados.

Esta é uma oportunidade para fazer um balanço das medidas a serem tomadas para responder a tais ataques e, acima de tudo, para nos protegermos deles antecipadamente.

Vários guias foram publicados pela CNIL, bem como pela ANSSI e pelo Ministério da Justiça para ajudar os controladores de dados a se protegerem de tais violações de segurança., seja uma falha interna ou um ataque de ransomware.

As recomendações publicadas em particular pela CNIL listam as diferentes etapas da gestão da segurança do tratamento de dados.

Em essência, é apropriado:

• Identificar o processamento de dados e seus suportes (hardware, software, canais de comunicação, suportes de papel):

• Avaliar os riscos gerados por cada operação de tratamento e identificar os potenciais impactos nos direitos e liberdades das pessoas envolvidas, em caso de acesso ilegítimo aos dados, modificação indesejada de dados ou desaparecimento de dados.

Quando categorias especiais de dados são processadas, como dados de saúde, o impacto de uma violação de dados sobre os titulares dos dados é ainda maior.

Portanto, tal tratamento requer uma avaliação de risco completa.

• Identificar fontes de risco (fontes humanas e fontes não humanas).
• Analisar as ameaças possíveis, ou seja, os possíveis eventos desencadeadores (por exemplo, vandalismo, degradação devido ao desgaste natural, unidade de armazenamento cheia, ataque de negação de serviço).
• Identifique medidas existentes ou planejadas para lidar com cada risco (por exemplo, backups, criptografia). As medidas devem ser proporcionais aos riscos. Quando os dados processados são sensíveis, um nível de segurança particularmente alto deve ser garantido. O armazenamento de senhas em texto simples nos arquivos do controlador deve, portanto, ser proibido: as informações devem ser criptografadas e medidas de autenticação fortes devem ser adotadas.
• Avalie a gravidade e a probabilidade dos riscos, à luz dos elementos anteriores.

Em caso de violação de dados, medidas apropriadas devem ser tomadas imediatamente para interromper a violação e limitar o impacto sobre os indivíduos envolvidos.

O responsável deverá também comunicar a violação à CNIL no prazo de 72 horas após tomar conhecimento da mesma.

Também tem a obrigação de informar individualmente as pessoas envolvidas quando o vazamento de dados puder criar um alto risco para seus direitos e liberdades.  Esse é o caso quando dados confidenciais estão envolvidos, como dados de saúde.

No contexto do vazamento massivo de dados ocorrido no final de fevereiro, são necessárias informações dos afetados.

Os danos podem ser extremamente sérios para os pacientes cujos cuidados médicos podem ser afetados, mas também para os controladores de dados, cuja reputação e seus próprios negócios estão em jogo.

A CNIL destaca que o número de notificações de violação de dados aumentou em 24% em 2020, e que o número de violações vinculadas a ataques de cryptolocker em estabelecimentos de saúde (hospitais, EPHADs, casas de repouso, laboratórios, etc.) triplicou em um ano.

Além disso, dois terços das sanções impostas pela CNIL dizem respeito a violações das obrigações de segurança de dados, uma tendência refletida em toda a Europa.

E também

França:

A aplicação “tousanticovid” está evoluindo para integrar um sistema de alerta ao usuário em vista da possível reabertura de ginásios esportivos, restaurantes ou salas de espetáculos. 

A CNIL, que recebeu o projeto de decreto, fez uma avaliação geralmente positiva, embora tenha solicitado que o sistema de registro de visitas seja obrigatório apenas para locais de alto risco (medidas de barreira difíceis de implementar) e que não seja obrigatório em locais onde a presença possa revelar dados sensíveis (como locais de culto).

Após a publicação da sua diretrizes sobre o uso de cookies Em outubro passado, a CNIL lembrou que o prazo para conformidade expira no final de março.

Enviou uma carta a duzentos organismos públicos, bem como aos principais intervenientes privados, salientando em particular a necessidade de permitir ao utilizador aceitar ou recusar cookies com o mesmo grau de simplicidade (o botão "configurar", frequentemente presente nos banners, não cumpre este requisito).

Europa:

• Bélgica: Autoridade de Proteção de Dados publica uma guia detalhado sobre técnicas de limpeza de dados e destruição de mídia de dados, um reflexo muitas vezes negligenciado ao se livrar de uma ferramenta de computador.

• Reino Unido: Comissão Europeia publica projeto de decisão considerando a nível de proteção garantido pelo Reino Unido ao tratamento de dados pessoais como equivalente ao da União Europeia.

Se o Conselho Europeu para a Proteção de Dados e os representantes dos Estados-Membros apoiarem esta avaliação, as transferências de dados para o Reino Unido poderão continuar sem condições adicionais.

Deve-se notar também que a Autoridade Europeia para a Proteção de Dados emitiu um parecer em 22 de fevereiro no qual reiterou que, como direito fundamental, a proteção de dados não é negociável no contexto de acordos comerciais entre a União Europeia e o Reino Unido.

• Europa – ePrivacidade Após quatro anos de negociações, os estados-membros da UE finalmente adotaram uma posição comum sobre a proteção das comunicações eletrônicas.

Espera-se que o Regulamento ePrivacy atualize a diretiva atual, especificando, entre outras coisas, as regras para a confidencialidade das comunicações, a proteção de metadados e as regras aplicáveis a cookies e outros rastreadores.

O texto ainda precisa ser discutido no Parlamento Europeu, e sua versão final entrará em vigor dois anos após sua publicação.

• Europa – passaporte de saúde :A Comissão Europeia anunciou em 1º de março que estava preparando um projeto para um passaporte comum para os estados-membros, o que facilitaria a circulação de pessoas no atual contexto da pandemia.

Este passaporte incluiria dados pessoais sobre vacinação, imunidade adquirida ou testes realizados pela pessoa em questão.

A Comissão garante que serão tomadas medidas para evitar qualquer discriminação ou abuso relacionado à privacidade das pessoas em questão.

Internacional:

ESTADOS UNIDOS: Depois da Califórnia, cerca de dez estados americanos estão a preparar legislação sobre a protecção de dados pessoais, incluindo o estado de Nova York e o estado de Washington.

De modo geral, essas leis oferecem direitos menos abrangentes aos usuários do que o GDPR e preferem conceder a eles o direito de se opor ao processamento de seus dados em vez de solicitar seu consentimento prévio.

De qualquer forma, eles têm o mérito de melhorar a transparência do processamento de dados e de conceder recursos aos consumidores americanos.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.