EN  /PT
Qual a relação entre LGPD e phishing?

Qual a relação entre LGPD e phishing?

Qual a relação entre LGPD e phishing?



Você sabe qual a relação entre a LGPD e phishing? A Lei Geral de Proteção de Dados surgiu com o objetivo de trazer mais segurança ao ambiente digital em termos de dados e informações do usuário.
Isto é, com a entrada em vigor da lei, a segurança da informação atingiu um novo patamar, e afetou, e vem afetando, a relação entre empresas e usuários.
Mas você sabe qual a relação entre a LGPD e phishing. Neste artigos vamos mostrar um pouco mais dos impactos da lei e a relação com a prática aplicada por muitos golpistas. Confira!

A LGPD e a sua relevância


A LGPD (Lei Geral de Proteção de Dados) surgiu com o objetivo de trazer mais segurança no compartilhamento e armazenamento de informações pessoais na internet.
Hoje, de compras online a redes sociais, diversos setores foram afetados com a entrada em vigor da nova lei. Mas qual a sua relevância em termos gerais? Como o próprio objetivo já destaca, a regulamentação do tratamento de informações busca garantir uma segurança maior quanto aos dados dos usuários.
Assim, é possível dizer que, com as regras sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, a lei tem um impacto direto na melhoria em sistemas e processos de controle de segurança de empresas,

A LGPD e o phishing


Esse fator, aliás, já serve para destacar a importância da LGPD em relação ao phishing. A prática de roubo de informações online ainda é bem comum em todo o mundo, e tem implicações diretas com a segurança de dados online.
Isto é, o phishing – termo em inglês que se refere a prática de “pescar” informações secretas – é feito principalmente com base em dados “vazados” por usuários que, ou por falta de conscientização e treinamento, ou por falta de uma ferramenta de apoio, adotam condutas de risco frente a ataques. O crime virtual tem foco especialmente no contato através email, telefone ou mensagens de texto (SMS), por fraudadores que se passam por pessoas ou empresas, e que tentam induzir usuários a fornecer inadvertidamente dados sensíveis.

A LGPD tem por objetivo estabelecer a proteção de direitos dos titulares (pessoas ou organizações) à privacidade e à limitação do uso dos seus dados. Assim a LGPD responsabiliza os administradores e determina que haja um encarregado de dados (chamado DPO – Data Protection Officer), cuja atribuição é garantir que não hajam desvios de acesso – com quebra do sigilo – e de finalidade, com os dados sendo usados de forma diversa em relação à que foi autorizada pelos titulares.

Qual a relação entre LGPD e phishing



De fato, a Lei Geral de Proteção de Dados surgiu com o objetivo de trazer ao meio digital mais segurança em termos de dados e informações pessoais. E é justamente essa a maior relação entre LGPD e phishing.

A proteção de dados pessoais está diretamente ligada com as medidas de segurança adotadas por empresas e organizações na internet. Assim, a segurança da informação deve ser orientada a garantir a confidencialidade e integridade, além da limitação de uso, exigidas pela nova lei.
Em outras palavras, por ser um requisito direto da LGPD, a segurança de dados exige que os administradores demonstrem que tomaram as medidas técnicas e de gestão cabíveis para inibir a prática de crimes cibernéticos que envolvam os dados do usuário, como o phishing.

Segurança de dados



Na prática, a segurança de dados em conformidade com a Lei 13.709/2018 - LGPD está relacionada ao que é conceituado como “ciclo de tratamento”, disposto nos Art.1 e 2:

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios. (Incluído pela Lei nº 13.853, de 2019) Vigência

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Observa-se assim que a LGPD disciplina como essenciais o tratamento, armazenamento e os controles sobre compartilhamento e uso de informações pessoais.

O acesso indevido aos dados pessoais de um usuário pode gerar graves consequências para o titular, e pode implicr em severa responsabilização sobre a organização e os administradores responsáveis pelo tratamento.
A Art. 42 da LGDP assevera:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Sendo assim, a LGPD inaugura uma nova fase na gestão da segurança dos dados sob o domínio de organizações pública e privadas, exigindo que os administradores demonstrem ter aplicado as técnicas adequadas visando a proteção dos direitos dos titulares.
Dentre as técnicas de maior interesse estão os mecanismos de análise e detecção de mensagens maliciosas de phishing – conhecidos como anti phishing – cuja função é alertar usuários e administradores quanto à presença de padrões indicativos de ataques, permitindo a tomada de decisão e de atitudes defensivas adequadas, como descartar as mensagens e incluir remetentes em blacklists. Observa-se ainda que nas soluções de anti phishing as ações tomadas por usuários e administradores passam a integrar a base de conhecimento, ajudando a aprimorar continuamente o reconhecimento dos padrões de ataques e as capacidades de detecção.