Já falamos aqui no blog algumas vezes sobre como as empresas podem se proteger contra vazamentos de dados, e o que elas devem fazer caso um vazamento de dados ocorra, apesar de todas as precauções. Hoje, vamos dar um enfoque diferente: o que cada um de nós, enquanto indivíduos e cidadãos, pode fazer caso nossos dados sejam expostos por um vazamento.

Ter os seus dados vazados não é uma preocupação sem sentido, nem mesmo um evento raro. Só em 2021, tivemos 2 grandes vazamentos de dados que afetaram praticamente a totalidade da população brasileira, fora as dezenas de outros vazamentos, no Brasil e no resto do mundo, que tem o potencial de impactar a maioria dos internautas do país. Atualmente, é melhor assumir que seus dados vão vazar (se é que já não vazaram), e estar bem preparado para lidar com o problema no momento em que ele acontecer, ao invés de viver na expectativa de que sempre estaremos protegidos.

 

Entenda seus direitos

Em 2018, tivemos a entrada em vigor no Brasil da Lei Geral de Proteção de Dados, que procura, dentre outros objetivos, regulamentar a forma como os nossos dados pessoais podem ser coletados e utilizados, e também como devem ser protegidos pelas empresas que os detém. De uma forma ampla, a LGPD obriga as empresas a aplicar as melhores técnicas, tecnologias e processos para garantir que nossos dados estão seguros.

Vale ressaltar que a LGPD não proíbe nem impede a coleta ou o acesso aos dados. Grande parte de nossas informações hoje já são públicas, e o acesso a esses dados públicos é fundamental para o funcionamento da economia digital. Não queremos impedir o uso dos dados, e voltar para uma economia movida apenas por dinheiro em espécie, sem nenhum tipo de comércio eletrônico ou crédito. O que queremos é que as empresas reconheçam e assumam a responsabilidade pela informação que estamos confiando, direta ou indiretamente, à elas.

Caso um vazamento de dados venha a acontecer, a LGPD define algumas ações que devem ser tomadas. Primeiro, a empresa deve comunicar todos os indivíduos afetados pelo vazamento que o mesmo ocorreu em um prazo razoável. Essa comunicação deve incluir uma descrição completa dos dados vazados, bem como os riscos que a pessoa está sofrendo, e o que a empresa está fazendo para mitigar esses riscos e evitar prejuízos para as pessoas. Segundo, caso ocorra algum dano comprovado decorrente do vazamento dos dados, a empresa é obrigada a ressarcir quem foi prejudicado.

Isso não significa, no entanto, que você pode processar uma empresa com base na LGPD. A lei define de forma clara que a entidade responsável por realizar a fiscalização de violações e por multar e sancionar as empresas é a Agência Nacional de Proteção de Dados. Assim, o caminho certo caso você identifique um problema e não esteja conseguindo resolver diretamente com a empresa é registrar uma queixa junto à ANPD, e não mover um processo.

 

Acompanhe os seus dados

Assumindo que os vazamentos de dados são inevitáveis, um ponto importante na hora de nos prepararmos é garantir que estamos monitorando os mesmos. Várias ferramentas hoje nos permitem verificar, de forma gratuita e simples, se nossos dados fazem parte de algum vazamento. Duas das mais famosas são o Have I Been Pwned e o navegador Mozilla Firefox, que indicam vazamentos de informações como e-mails, senhas e números de telefone.

Outra forma interessante de se monitorar é através da ferramenta de alertas do Google. Diferente do que muitas pessoas imaginam, nem todos os vazamentos de dados ficam escondidos na chamada dark web. Várias bases de dados vazadas acabam sendo disponibilizadas na web normal e, em alguns casos, indexadas pelo próprio Google. Além de ajudar na descoberta dos vazamentos, essa ferramenta também permite que você veja se algum de seus dados está sendo publicado em um site aberto, sem você saber, mesmo que não seja devido a um vazamento explícito.

Ferramentas de monitoramento de setores específicos também podem ser bastante úteis. O Registrato, plataforma de monitoramento de dados do Banco Central do Brasil, permite que qualquer pessoa monitore a associação de seu CPF com contas bancárias e serviços financeiros, ajudando a prevenir o uso indevido de dados roubados nesse segmento.

Apesar de sua utilidade, no entanto, todas essas ferramentas olham apenas para a exposição. Caso seus dados tenham sido vazados, mas não tenham sido publicados ou utilizados de forma ativa, eles não vão aparecer, e não vão ser detectados. E, obviamente, elas não fazem nada para proteger você contra o próximo vazamento que venha a acontecer.

 

Proteção proativa

Além de monitorar os seus dados para descobrir quando você foi afetado por um vazamento, existem ações que você pode tomar para se proteger contra a possibilidade de vazamentos futuros. A primeira, que parece óbvia, mas que a grande maioria das pessoas esquece, é minimizar a sua exposição. Se você está preenchendo um cadastro em algum site ou para algum serviço, preencha apenas o mínimo de informações necessárias. Sempre que possível, não faça o cadastro, e utilize a funcionalidade de cadastro integrado com outras plataformas (login com Google, pagamento com PayPal, e assim por diante). Dessa forma, você garante que a menor quantidade possível de empresa tem acesso aos seus dados, e, assim, reduz o risco dos mesmos vazarem.

Segundo, utilize sempre que possível informações dinâmicas. Cartões de crédito virtuais, números de telefone e emails temporários, e outras informações que você pode cancelar e trocar de forma simples aumentam a sua proteção pois, caso vazem, podem ser descartadas e trocadas rapidamente. Em particular, a utilização de números de telefone e e-mails temporários tem a vantagem adicional de proteger a sua conta contra SPAM e anúncios não desejados, e vem sendo cada vez mais integrada nos sistemas que utilizamos no nosso dia-a-dia.

Uma outra estratégia interessante para os indivíduos é a utilização de sementes, ou informações ligeiramente alteradas, no cadastro. Vamos pegar o e-mail como exemplo. Se você tem uma conta do GMail, você pode criar e-mails alternativos sem nenhum custo adicional. Imagine que você está preenchendo um cadastro na “Loja ABCD”, um e-commerce onde você está fazendo uma compra. Ao invés de preencher o e-mail “seu.nome@gmail.com”, você pode preencher com “seu.nome+lojaABCD@gmail.com”. O GMail entende que o “+lojaABCD” é só um elemento para diferenciar esse cadastro, e você continua recebendo os e-mails normalmente na sua caixa de entrada. A maior parte dos provedores de e-mail tem essa funcionalidade. Fazendo isso, você tem um e-mail exclusivo para cada cadastro que está preenchendo, e pode criar regras de bloqueio específicas em cima deles, além de descobrir facilmente de onde uma informação vazou.

Finalmente, vale sempre reforçar as dicas de segurança mais tradicionais: não clique em links suspeitos, utilize senhas fortes e ferramentas de gerenciamento de senhas, atualize seus apps e seus programas de computador, e utilize antivírus. Para evitar ainda mais problemas, você pode até usar ferramentas de criptografia dos dados contidos no computador ou no celular. Assim, mesmo que o equipamento seja roubado, seus dados estarão protegidos.

 

Responsabilidade compartilhada

Não queremos tirar das empresas a responsabilidade pela proteção dos dados dos indivíduos. Na relação entre pessoas e empresas, as empresas são o lado mais forte, e elas deveriam cuidar dos nossos dados da mesma forma que cuidam de seus outros ativos e do seu dinheiro. A realidade, no entanto, é que a grande maioria delas não tem nem o entendimento da importância de proteger os dados dos clientes, muito menos a competência técnica para fazê-lo.

Com essa situação em mente, vale a pena fazermos o possível para minimizar os nossos riscos. A boa notícia é que o esforço para fazer isso não é muito grande, nem custa muito caro. Com algumas ferramentas gratuitas e um pouco de organização pessoal, qualquer um pode reduzir bastante a exposição dos seus dados e os danos que pode sofrer no caso de um vazamento de informações.

BigDataCorp