[Segurança] Vamos apoiar a Campanha Financeira da CryptoRave!

Está no ar a Campanha Financeira da CryptoRave 2025.

A CryptoRave é um evento totalmente financiado de forma voluntária e coletiva, através de uma campanha online de arrecadação, que acontece todo o ano, marcando a característica forte de ser um evento colaborativo. A CryptoRave é construída por voluntários e não remunera as pessoas participantes e também não aceita patrocínio de empresas ou de organizações não governamentais. Ou seja, todas as despesas do evento são cobertas apenas com o resultado da campanha de arrecadação financeira realizada pela plataforma Catarse.

Por isso a nossa participação é muito importante!!!

Vale lembrar que a CryptoRave é um evento único, que mistura de festa, encontro, palestras e oficinas que promove o encontro entre ativistas, hackers, jornalistas, cypherpunks, estudantes, nerds, artistas, pesquisadores e profissionais de cibersegurança, pessoas curiosas e interessadas em apropriar-se de práticas de segurança e de proteção de dados pessoais. São mais de 24 horas de atividades que incluem oficinas, conversas, debates, apresentações, trocas e formação nas áreas de intersecção entre segurança, privacidade, criptografia e artes.

Segundo a organização da CryptoRave, a campanha financeira é no formato de "Tudo ou Nada", ou seja, eles tem que bater a meta de arrecadar R$ 70 mil em 60 dias, ou não teremos a CryptoRave! Cada apoio é bem vindo!

No dia que eu escrevi esse post, eles tinham acabado de anunciar que bateram 15% da meta de arrecadação. Ou seja, em uma semana foram arrecadados mais de 10 mil reais! É bem legal, mas ainda tem muito pela frente.

Todo ano eles bolam vários níveis de colaboração com recompensas bem legais, a partir de R4 20, com uma arte exclusiva e caprichada. As recompensas podem incluir adesivos, chaveiros, canecas, camisetas e moletons bem lindos. É possível parcelar o valor de qualquer recompensa em até 6 vezes. Detalhe: os itens que estão nas recompensas não são colocados a venda na lojinha do evento - ou seja, são itens exclusivos ;)

Acompanhe a CryptoRave nas redes sociais, curta, comente, compartilhe, GRITE (com capslock): precisamos da ajuda de todo mundo para fazer a CryptoRave acontecer! <3

Acesse a campanha no seguinte link e contribua para o evento: https://www.catarse.me/cryptorave2025.

A chamada para propostas de atividades também está aberta - a programação é inteiramente construída pela comunidade!

A CryptoRave 2025 será realizada na Biblioteca Mário de Andrade. Ela ocorre justo no ano do centenário da BMA, a primeira e maior Biblioteca pública de São Paulo!

Aproveite também para ouvir o episódio #239 do Podcast Tecnopolítica que fala sobre a CryptoRave 2025 (TECNOPOLÍTICA #239 - CRYPTORAVE: O maior evento de criptografia para defesa de direitos):

Anote na sua agenda:

• Evento: CryptoRave 2025
• Dias 16 e 17 de maio
• Local: Biblioteca Mário de Andrade, São Paulo
• Chamada de atividades: https://cpa.cryptorave.org/cryptorave-2025/cfp
• A CryptoRave é um evento gratuito, nos dias do evento, é só se inscrever e chegar!!!
• As inscrições para a CryptoRave estão abertas!!!

Siga a CryptoRave nas redes sociais:

• https://cryptorave.org
• email: contato@cryptorave.org
• https://mastodon.social/@cryptorave
• https://twitter.com/cryptoravebr
• https://twitter.com/cryptorave
• https://facebook.com/cryptorave
• https://www.instagram.com/cryptoravebr
• #cryptorave @irc.indymedia.org

PS: Post atualizado em 14 e 17/03, em 17/04.

[Segurança] Dia Internacional da Proteção de Dados

O Dia Internacional da Proteção de Dados é comemorado em todo o mundo no dia 28 de janeiro. A data foi instituída em 2006 pelo Conselho da Europa como forma de conscientizar a população sobre a relevância do assunto. Ela foi escolhida por representar o dia da assinatura do primeiro tratado internacional sobre proteção de dados, na União Européia: a Convenção para a Proteção de Indivíduos com Relação ao Processamento Automático de Dados Pessoais, comumente referida como “Convenção 108”.

Nessa data, o Supremo Tribunal Federal (STF) lançou o “Guia Boas Práticas de Proteção de Dados Pessoais no STF”, elaborado pelo grupo de trabalho que apoia as atividades de adequação do Tribunal à Lei Geral de Proteção de Dados Pessoais (LGDP). O guia, organizado em dez tópicos, traz em suas 40 páginas,diversos conceitos e dicas para a proteção de dados pessoais, como hipóteses legítimas para tratamento de dados, armazenamento e eliminação seguros dessas informações e ações a serem adotadas em casos de incidentes de segurança relacionados com o tema.

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) e a Autoridade Nacional de Proteção de Dados (ANPD) se uniram para celebrar a data e, assim, realizar o evento "Importância da Segurança para a Proteção de Dados", que ocorrerá no dia 28/01 (terça-feira), em São Paulo (SP), com transmissão ao vivo.

Dividido em quatro painéis, o encontro discutirá direitos dos titulares dos dados, desafios para pequenas e microempresas, incidentes de segurança e tecnologias emergentes. Os debates serão transmitidos ao vivo pelo canal do NIC.br no YouTube.

Entre os painelistas de renome confirmados, estarão presentes:

• Demi Getschko (NIC.br);
• Waldemar Gonçalves Ortunho Júnior (ANPD);
• Cristine Hoepers (CERT.br/NIC.br);
• Rodrigo Santana dos Santos (ANPD);
• Isabella Henriques (Instituto Alana);
• Geraldo Pimenta dos Reis Neto (Sebrae Nacional);
• Everson Probst (Grant Thornton);
• Gladstone Moises Arantes Junior (BNDES);

Acesse a programação completa no site (https://protecaodedados.nic.br/) e garanta a sua inscrição para a modalidade remota.

Hoje, as 19h, também tem uma Live da Comissão de Proteção e Privacidade de Dados da OABRJ, no perfil deles no Instagram (@protecaodedados_oabrj).

Para saber mais:

• https://protecaodedados.nic.br
• ANPD e CERT.br realizam evento que discute a importância da segurança para a proteção de dados
• Dia Internacional da Proteção de Dados: a Privacidade 5.0 e o desafio de proteger dados pessoais em um mundo conectado

PS: Post atualizado em 28 e 29/01.

[Carreira] Vem aí a CryptoRave

Faltam poucos dias para a CryptoRave!!!

Esse é um dos meus eventos favoritos, um evento  aberto e gratuito que recebe especialistas de diversas partes do mundo para debater sobre privacidade e segurança digital. É um evento que conta com quase 24 horas de programação ininterrupta, com diversas atividades práticas, técnicas, políticas e artísticas sobre os temas de criptografia, hacking, defesa da privacidade, anonimato e liberdade na Internet - além de um tradicional installfest.

A CriptoRave acontecerá nos dias 10 e 11 de maio (sexta e sábado), durante 24h, na Biblioteca Mário de Andrade, no centro de São Paulo (ao lado do metrô Anhangabaú). 

Eu separei algumas informações relevantes sobre a programação do evento:

• O evento começa as 19h do dia 10 de maio (sexta-feira);
• O credenciamento acontece no dia 10 de maio até às 21h e só retorna novamente no dia 11 de maio às 09h da manhã;
• Haverá uma pausa das 06h às 08h que é quando retornamos as atividades;
• Somente quem estiver com a pulseira da CryptoRave terá livre acesso durante a madrugada;
• A agenda está disponível no site e em PDF:
• Versão colorida
• Versão em preto e branco
• Keynote de abertura: “Tecnologias de IA e seu impacto nas vidas e narrativas Palestinas” — às 19h do dia 10/05;
• Keynote de encerramento: "Tecnoautoritarismo: Spyware, OSINT e outras tecnologias de vigilância na América Latina";
• Haverá venda de comidinhas veganas apenas das 21h às 9h no café do Espaço de Convivência no térreo;
• Será oferecido um café da manhã para as pessoas resistentes das 7h às 8h no café do Espaço de Convivência.

As inscrições estão abertas e são gratuitas, clique aqui! Fique atento, pois o formulário de inscrições vai ser encerrado no início da tarde de sexta-feira.

Sobre o local, a CryptoRave vai ocupar dois prédios da Mário de Andrade, a biblioteca na Rua da Consolação 94 e a hemeroteca na R. Dr. Bráulio Gomes, 139 (que terá programação apenas no sábado).

A CryptoRave é um evento feito exclusivamente por pessoas voluntárias, sem financiamento de empresas e do governo para manter a liberdade de falar abertamente sobre os temas. Uma forma de fortalecer a CryptoRave é adquirindo produtos na lojinha do evento, incluindo camisetas, moletons, copos e cordões.

Anote na sua agenda:

• CryptoRave 2024
• Dias 10 e 11 de maio de 2024
• Inscrições gratuitas
• Local: Biblioteca Mário de Andrade:
• Rua da Consolação, 94 - República, São Paulo - SP. Ao lado da estação do metrô Anhangabaú (linha vermelha)
• Há também uma entrada pela Av. São Luís, 235.
• cryptorave.org
• https://mastodon.social/@cryptorave
• Twitter (X): @cryptorave e @cryptoravebr
• Instagram: @cryptoravebr
• #cryptorave @irc.indymedia.org

Veja também:

• Baixe a arte oficial do evento
• CryptoRave tem 8ª edição confirmada na Biblioteca Mário de Andrade em São Paulo

#CryptoRave

[Segurança] InstallFest na CryptoRave

Desde o seu início, todas (ou praticamente todas?) as edições da CryptoRave tiveram um InstallFest, um espaço para ajudar as pessoas interessadas em instalar sistemas operacionais e ferramentas livres em seus computadores.

Ou, como dizem os organizadores do evento...

"Venha libertar seu computador na CryptoRave 2024!"

Hoje a organização da CryptoRave anunciou que, novamente, terá um espaço denominado InstallFest para reunir pessoas dispostas a instalar e configurar sistemas operacionais livres, baseados em GNU/Linux em suas máquinas. Ou seja, para "libertá-las de seus sistemas proprietários".

Neste espaço pessoas voluntárias do evento vão te auxiliar na instalação de dois sistemas operacionais com proposta distintas:

• Tails (The Amnesic Incognito Live System), voltado para a instalação em 'mídias removíveis', como pendrives;
• Debian, um sistema operacional GNU/Linux livre, para uso cotidiano e instalação em dispositivos diversos.

Os organizadores compartilharam algumas dicas para as pessoas interessadas em libertar suas máquinas:

1. Faça backup dos dados que deseja preservar: O processo de instalação de ambos os sistemas operacionais oficialmente suportados pelo evento envolvem deletar qualquer arquivo contido no volume/partição em que será instalado.  Realize um backup antes de comparecer ao
   InstallFest., pois a CryptoRave não se responsabiliza pela integridade destes arquivos e não fornece mídias para backup dos mesmos;
2. Traga a fonte de alimentação da sua máquina, pois o processo de instalação e configuração pode ser longo e sua bateria pode acabar;
3. Tenha em mente que você deve estar presente e junto a sua máquina durante todo o processo de instalação, pois será necessário realizar algumas ações (inputs) suas em algumas etapas do processo;
4. Serão usados pendrives do tipo USB A como mídia de instalação do sistema operacional Debian e Tails, por isso é necessário que sua máquina possua uma porta USB A ou um adaptador para sua utilização, além de permitira inicialização ('boot') por pendrive;
5. Confira os requisitos básicos de sistema para rodar o Tails.

A CryptoRave não tem como garantir a plena e total integridade e funcionamento de sua máquina ao final do evento. Por isso a organização do evento exige que seja assinado um termo de responsabilidade antes que as pessoas voluntárias possam mexer em sua máquina. Cópias do termo estarão disponíveis no local.

Venha para a CryptoRave 2024!!!

• Dias 10 e 11 de maio de 2024
• Local: Biblioteca Mário de Andrade: Rua da Consolação, 94 - República, São Paulo - SP. Ao lado da estação do metrô Anhangabaú (linha vermelha)
• cryptorave.org

Veja também:

• Vem aí a CryptoRave 2024

[Segurança] Entendendo a norma de dosimetria da ANPD

No final de fevereiro do ano passado (2023) a Agência Nacional de Proteção de Dados (ANPD) anunciou a norma de dosimetria da Lei Geral de Proteção de Dados Pessoais (LGPD), que determina em quais casos e como devem ser aplicadas as sanções as empresas que tiverem incidentes no tratamento de dados pessoais.

A partir da publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD Nº 4, de 24 de Fevereiro de 2023), as multas e sanções previstas na LGPD poderão ser aplicadas contra as empresas e entidades que descumprirem a legislação. A norma passou por um processo de debate e consultas públicas entre agosto e setembro de 2022, com 2.504 contribuições.

O regulamento, com 14 páginas, possui 28 artigos e um anexo que descreve as fórmulas e cálculos para dosimetria das sanções. Veja os principais pontos dessa norma, de forma resumida, e selecionadas segundo meu ponto de vista:

• Altera alguns artigos do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD (Resolução CD/ANPD nº 1, de 28 de outubro de 2021) (Art. 2º);
• O Art. 8º define que "As infrações são classificadas, segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, em: I - leve; II - média; ou III - grave".
• As infrações são consideradas médias quando puderem afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, assim como ocasionar danos materiais ou morais aos titulares;
• a infração grave pode envolver tratamento de dados pessoais em larga escala ou atente a alguns critérios agravantes, tais como implicar risco à vida dos titulares, envolver tratamento de dados sensíveis ou dados pessoais de crianças, adolescentes ou idosos, entre outros;
• A gravidade da infração vai indicar que sanções podem ser tomadas pela ANPD:
• Aplicação de Advertência: infração leve ou média (Art. 9º);
• Aplicação de Multa Simples: infração grave (Art. 10)
• Sobre a multa simples:
• O Art. 10 também define que a sanção de multa simples também ocorre quando: I - o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável (...) ou se III - pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.
• O Art. 11. define os critérios para estipular o valor-base da multa simples, cuja metodologia está descrita no Apêndice I do Regulamento, que considera aspectos como o grau do dano e faturamento da empresa, com valor máximo de multa de R$ 50 milhões de reais (§ 1º, e);
• O Art. 12 estabelece as circunstâncias agravantes no cálculo do valor da multa simples: I - 10% para cada caso de reincidência específica, até o limite de 40%; II - 5% para cada caso de reincidência genérica, até o limite de 20%; III - 20% para cada medida de orientação ou preventiva descumprida no processo de fiscalização (...), até o limite de 80%; e IV - 30% para cada medida corretiva descumprida, até o limite de 90%;
• O Art. 13 define cinco circunstâncias atenuantes que podem reduzir o valor da multa simples (em até 7 porcentagens distintas possíveis), tais como:
• 5%, nos casos em que se houve a cooperação ou boa-fé por parte do infrator;
• 5%, 10% ou 20% nos casos em que o infrator tenha comprovado a implementação de medidas para reverter ou mitigar os efeitos da infração (previamente à instauração de procedimento preparatório ou do processo administrativo);
• 20% nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares;
• 30%, 50% ou 75% nos casos de cessação da infração, dependendo se já houve a instauração de procedimento preparatório ou sancionador pela ANPD;
• O valor da multa pode variar de acordo com fatores agravantes (art. 12) ou atenuantes (art. 13), e segundo o artigo 15, não poderá ser inferior aos valores mínimos previstos no Apêndice II e será limitado a 2% do faturamento ou a R$ 50 milhões de reais;
• Sobre a aplicação de Multa Diária:
• A sanção de multa diária poderá ser aplicada para assegurar o cumprimento de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD ou quando o infrator deixar de sanar irregularidades notificadas pela ANPD, obstruir a fiscalização ou não cessar a infração (art. 16);
• Segundo o Art. 20,  a ANPD poderá aplicar ao infrator a sanção de publicização, que consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência;
• A ANPD poderá aplicar a sanção de bloqueio dos dados pessoais, que consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração (Art. 22), de eliminação (Art. 23), de suspensão parcial do funcionamento do banco de dados (Art. 24) ou a sanção de suspensão (Art. 25) ou proibição total ou parcial (Art. 26) do exercício de atividades de tratamento dos dados pessoais.

Quando aplicadas, as multas devem ser pagas em até 20 dias após a notificação. A fórmula de cálculo das multas pode gerar infrações leves, médias ou graves. As alíquotas mínimas e máximas começam em 0,08% a 0,15% do faturamento no caso de infrações leves; 0,13% a 0,5% em médias; e 0,45% a 1,5% nas graves. O texto da LGPD prevê multas de até 2% do faturamento, até o teto de R$ 50 milhões.

Até o final de fevereiro de 2023, quando foi lançada a norma de dosimetria, a ANPD já tinha recebido cerca de 7 mil denúncias de descumprimento da LGPD. Porém, dessas denúncias, apenas oito processos foram instaurados, que aguardavam a publicação da norma de dosimetria para seguir seu curso.

Em 07 de Julho do ano passado foi aplicada a primeira punição pelo descumprimento da LGPD, publicada no Diário Oficial da União: a empresa Telekall Infoservice foi multada por infringir os arts. 7º e 41 da LGPD, sobre os quais incidiu multa simples, além do art. 5º do Regulamento de Fiscalização da ANPD, o que resultou em sanção de advertência.  Por se tratar de uma microempresa, o valor para cada infração ficou limitado a 2% do seu faturamento bruto, conforme art. 52, II, da LGPD, totalizando uma multa de R$ 14.400,00.

Para saber mais:

• Resolução CD/ANPD Nº 4, de 24 de Fevereiro de 2023
• ANPD publica dosimetria da LGPD e multas podem (finalmente) ser aplicadas
• Aprovação de regras para multas da LGPD deve gerar nova ‘corrida da adequação’
• ANPD aplica a primeira multa por descumprimento à LGPD
• Advogados desenvolvem simulador de multas da LGPD
• Simule o valor da sua multa gratuitamente

[Segurança] Vem aí a CryptoRave 2024

Logo logo, nos dias 10 e 11 de maio, vai acontecer a CryptoRave, o maior evento gratuito de segurança, criptografia, hacking, anonimato, privacidade e liberdade na rede do mundo!

Esse é o principal e mais legal evento para as pessoas que acreditam na importância de disseminar a cultura de segurança e a luta pela liberdade com privacidade. De

O Chamado de Propostas de Atividades para a CryptoRave 2024 está aberto, e as propostas podem ser enviadas até o dia 01 de abril, às 23:59, preenchendo esse formulário online: 
https://dandara.vedetas.org/index.php/173617.

Anote na sua agenda:

• CryptoRave 2024
• Dias 10 e 11 de maio de 2024
• Local: Biblioteca Mário de Andrade:
• Rua da Consolação, 94 - República, São Paulo - SP. Ao lado da estação do metrô Anhangabaú (linha vermelha)
• Há também uma entrada pela Av. São Luís, 235.
• cryptorave.org
• https://mastodon.social/@cryptorave
• Twitter (X): @cryptoravebr
• Instagram: @cryptoravebr
• #cryptorave @irc.indymedia.org

[Segurança] Privacidade de dados como direito fundamental na ONU

Muito se fala atualmente sobre a necessidade de proteção da privacidade, principalmente depois do surgimento da General Data Protection Regulation (GDPR) e da LGPD. E, aqui no Brasil, o tema sempre volta a tona quando tem alguma novidade sobre a LGPD.

Mas, embora esse tema seja muito relevante atualmente, principalmente por conta das redes sociais, propagandas online, golpes digitais e fake news, a preocupação com nosso direito à privacidade começa muito antes. 

Em 1948 a ONU publicou a Declaração Universal dos Direitos Humanos (página oficial em inglês) (olha que legal a versão original, escaneada), um documento que marcou a história sobre os direitos das pessoas em todo o mundo, e é grande referência até hoje. Com seus 30 artigos, cada um relacionado a um direito fundamental, a Declaração inclui o direito a privacidade como o 12º direito fundamental:

"No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks."

"Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à sua honra e reputação. Contra tais intromissões ou ataques toda a pessoa tem direito a proteção da lei."

O texto é bem simples e objetivo, e por isso mesmo ele se encaixa direitinho no cenário atual, da discussão sobre o direito a privacidade online e nas redes sociais.

Veja também:

• Aqui no blog: Privacidade de dados como direito fundamental na Constituição

[Segurança] Prepare-se para a CryptoRave 2023

A CryptoRave está de volta, após ficar suspensa durante a pandemia. A edição deste ano (CR2023) já está com data marcada: ela vai acontecer nos dias 5 e 6 de maio, aqui em São Paulo.

A CryptoRave é o maior evento sobre segurança, hacking, privacidade e software livre, com uma forte pegada ativista. O que eu mais admiro no evento é que seu público-alvo são os usuários finais. Ou seja, é um evento sobre segurança e privacidade direcionado a levar esses temas para o público leigo.

A chamada para inscrição de atividades já está aberta, para propostas de palestras, debates, oficinas, jogos, atividades mão na massa e projetos FLOSS (free/libre/open software/source) - além de propostas de ações artísticas (como instalações, exibição de filmes e pocket shows). Para submeter uma atividade para a CryptoRave 2023, basta preencher o formulário até o dia 28/03.

O evento é totalmente gratuito e inclui momentos de festa. Vamos aguardar eles divulgarem a programação, pois em alguns anos anteriores o evento se extendia madrugada a dentro.

Para mais informações, acesse o site e acompanhe o perfil no Twitter (@cryptoravebr).

[Segurança] Como comunicar incidentes com dados pessoais

Recentemente a Autoridade de Proteção de Dados (ANPD) divulgou um novo formulário para o envio de Comunicados de Incidentes de Segurança, oferecendo um formulário mais detalhado para ser usado nas comunicações formais de incidentes relacionados ao tratamento de dados pessoais. Essa é uma ótima oportunidade para conhecermos qual é o processo adotado pela ANPD para realizar essas notificações.

Segundo o artigo 48 da Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709 de 14 de Agosto de 2018), a ocorrência de incidente de segurança da informação que impacte os dados pessoais deve ser notificada à ANPD e ao usuário titular do dado, em prazo razoável.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

A notificação do incidente deve incluir a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, os riscos relacionados ao incidente e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Além disso, no caso da comunicação não ter sido imediata, a empresa também deve apresentar os motivos da demora.

A página Comunicação de incidente de segurança. disponível no site da ANPD, detalha como deve ser feito esse processo. Mas, de uma forma resumida, a comunicação de um incidente para a ANPD deve ser feita da seguinte forma:

1. A comunicação de incidentes de segurança à ANPD deve ser realizada pelo encarregado pela proteção de dados (DPO) ou por um representante legalmente constituído do controlador de dados;
2. Deve ser feito o preenchimento do Formulário de Comunicação de Incidente de Segurança com Dados Pessoais disponibilizado no site da ANPD;
   
   
   
   
   
3. O formulário é beeem grandinho, e solicita informações sobre a empresa e sobre o incidente
• É possível fazer a comunicação "Completa "(com todas as informações a respeito do incidente, aonde a comunicação aos titulares já foi realizada), "Preliminar"(quando nem todas as informações sobre o incidente estão disponíveis ou se a comunicação aos titulares ainda não foi realizada) ou de forma "Complementar" (após a comunicação preliminar);
• Dentre as diversas informações exigidas, deve ser detalhado como a empresa tomou ciência do incidente, como e quando do foi feita sua comunicação para as autoridades e titulares, qual o tipo de incidente e seu impacto (informando quais dados pessoais foram violados, como e qual o risco), além de quais as medidas de segurança existentes no momento do incidente e quais foram adotadas após o incidente.





4. O formulário deve ser protocolado eletronicamente por meio do sistema de Peticionamento Eletrônico do SUPER.BR (Sistema Único de Processo Eletrônico em Rede).
• Durante o protocolo, selecione o tipo de processo “ANPD – Comunicados de Incidentes à Autoridade Nacional de Proteção de Dados”.
• Junte ao processo o formulário preenchido, preferencialmente em formato PDF, e os documentos complementares, tais como ato de designação do encarregado, procuração ou contrato social.
5. Após a finalização, um Recibo Eletrônico de Protocolo será gerado automaticamente pelo sistema e incluído no processo.

Vale a pena baixar o formulário e entender que informações são exigidas pela ANPD, em caso de incidentes. Isso é útil até mesmo para, preventivamente, revisar seu plano e seu processo de resposta a incidentes. Também serve de subsídios para avaliar quais controles de segurança sua empresa possui, pois eles serão cobrados em caso de incidentes.

Para saber mais:

• Comunicação de incidente de segurança
• Coordenação-Geral de Fiscalização da ANPD divulga novo formulário para envio de Comunicados de Incidentes de Segurança (23/12/22)
• Formulário para comunicação de ocorrências de Incidentes de Segurança envolvendo dados pessoais (Minuto da Segurança)
• Veja também: ANPD divulga nova página para o envio de denúncias e petições de titulares (ANPD, 24/04/2023)

PS: Post atualizado em 08/05.

[Segurança] Turma da Mônica e a proteção de dados

A Turma da Mônica lançou um gibi especial sobre proteção de dados, disponível online e gratuitamente.

O gibi tem 23 páginas, contando a capa e duas páginas com "passatempos". A estória está dividida em duas partes: no início fala sobre a  importância da privacidade e sobre a LGPD, e a segunda metade aborda algumas dicas de segurança e fala sobre os direitos dos titulares dos dados. O roteiro é bem caprichado

Segundo uma reportagem no TecMundo, o gibi foi produzido graças a uma parceria da Maurício de Sousa Produções com a Google e em 2023 deve ser produzida uma versão impressa para distribuição gratuita m escolas e instituições de ensino.

Em tempo... vale a pena dar uma olhada na coleção de gibis temáticos na página de "Revistas Especiais".

Veja mais:

• Turma da Mônica em Proteção de Dados Pessoais
• Turma da Mônica e Google lançam quadrinhos sobre dados pessoais

[Segurança] Resoluções e Guias da ANPD

A Autoridade Nacional de Proteção de Dados (ANPD) tem desenvolvido vários documentos para orientar os diversos agentes de tratamento de dados sobre o tema de proteção de dados pessoais. En seu site, ela mantém um repositório com todas as publicações existentes, incluindo guias, regulamentações, relatórios, estudos e notas técnicas.

Vale a pena aqui destacar as principais resoluções e guias publicados até o momento pela ANPD.

Resoluções da ANPD

RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021 - Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados.

RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022 - Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.

• Notícia: Conselho Diretor aprova Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte (28/01/2022)

Guias da ANPD

Guia do consumidor - Como Proteger seus Dados Pessoais

Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado (versão 2.0, Abr/2022)(versão de Maio/2021)

Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte (Outubro/2021)

Guia Orientativo - Tratamento de Dados Pessoais pelo Poder Público (Janeiro/2022)

Guia Orientativo - Cookies e Proteção de Dados Pessoais (Outubro/2022) (notícia)

Veja também:

• Lista completa de Publicações da ANPD
• Aqui no blog:
• A nova Lei Geral de Proteção de Dados Pessoais (LGPD)
• E faz-se a "Autoridade Nacional de Proteção de Dados"
• Habemus LGPD !!! (com memes)
• Passam a valer as sanções da LGPD!

[Segurança] Privacidade de dados como direito fundamental na Constituição

O Congresso Nacional realizou uma sessão solene as 15:30 de ontem, 10 de fevereiro, para promulgar a Emenda Constitucional 115, que torna a proteção de dados pessoais um direito fundamental, inclusive nos meios digitais.

A emenda foi criada a partir da da PEC 17/2019, que foi aprovada no Senado em outubro do ano passado, com o objetivo de assegurar o direito à proteção de dados pessoais, inclusive nos meios digitais, ao incluir a privacidade com um direito fundamental e garantir à União (governo federal) a competência de legislar sobre a proteção e o tratamento de dados pessoais.

A emenda 115 acrescentou um inciso ao artigo 5º e um ao art. 22, da Constituição Federal (incisos XII-A e XXX, respectivamente), para incluir a proteção de dados pessoais entre os direitos fundamentais do cidadão e fixar a competência privativa da União para legislar sobre o tema. Os artigos ficaram desta forma:

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:

(...) 

LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.

Art. 21. Compete à União:

XXVI – organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei. 

Art. 22. Compete privativamente à União legislar sobre: 

XXX – proteção e tratamento de dados pessoais

Um ponto interessante é que a PEC atribui à União as competências de organizar, legislar e fiscalizar a proteção e o tratamento de dados pessoais, de acordo com a Lei Geral de Proteção de Dados (LGPD — 13.709, de 2018). Isso significa que estados e municípios não podem criar leis locais sobre o assunto.

A medida entrou em vigor na data de sua publicação.

Veja mais:

• Proposta de Emenda à Constituição n° 17, de 2019 (Proteção de dados pessoais) (PEC 17/2019)
• Promulgada emenda constitucional de proteção de dados
• Promulgada PEC que inclui a proteção de dados pessoais entre direitos fundamentais do cidadão
• Emenda que inclui proteção de dados pessoais na Constituição será promulgada na quinta
• Senado inclui proteção de dados pessoais como direito fundamental na Constituição

PS: Pequena atualização em 11/01.

[Segurança] Relembre seus direitos no Dia Internacional da Privacidade de Dados

Hoje, 28/01, é o Dia Internacional da Privacidade de Dados. Além do mais, hoje encerra a Semana da Proteção de Dados Pessoais 2022 promovida pela Autoridade Nacional de Proteção de Dados (ANPD).

Hoje em dia o debate sobre proteção de dados e privacidade está bem ativo! A Lei Geral de Proteção de Dados Pessoais (LGPD) já está fazendo parte da realidade das maiores empresas, e a ANPD está, aos poucos, se tornando mais ativa. Some, a isso, a preocupação com os vazamentos constantes de dados pessoais e o uso deles por ciber criminosos. Ou seja, já passou da hora de nos preocuparmos com os direitos que nós, cidadãos, temos frente as empresas que possuem ou capturam nossos dados.

Que tal, portanto, aproveitarmos a data de hoje para relembrar nossos direitos sobre os nossos dados pessoais? Eles foram estabelecidos no Capítulo III da LGPD, nos artigos 17 ao 20. Esses artigos apresentam diversos direitos que são garantidos aos titulares dos dados pessoais, destacando a importância de preservar a nossa liberdade, intimidade e privacidade.

Os principais direitos dos titular dos dados pessoais estão definidos no artigo 18, e valem a qualquer momento e mediante requisição, sem custos. São eles:

• Confirmar a existência de tratamento de seus dados pessoais;
• Acessar seus dados pessoais;
• Corrigir dados pessoais incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade de dados pessoais a outro fornecedor de produto ou serviço;
• Eliminação dos dados pessoais pessoais tratados com o consentimento do titular;
• Obtenção de informações sobre as entidades públicas e privadas com as quais o controlador realizou o compartilhamento de seus dados pessoais;
• Ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa do consentimento;
• Revogação do consentimento dado para o tratamento de dados pessoais.

O Artigo 20 também garante ao titular dos dados o direito de solicitar a revisão de decisões tomadas pela empresa unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas aí, por exemplo, as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Em tempo: O pessoal da Daryus preparou um webinar gratuito e ao vivo para celebrar o Dia Internacional da Privacidade de Dados, com o tema "Protegendo Dados na Prática: Desafios e oportunidades para profissionais de privacidade". O evento será hoje, 28/01, as 17h30. Para se inscrever, clique aqui.

Para saber mais:

• Aqui no blog: Dia Internacional da Privacidade de Dados e Semana da Proteção de Dados Pessoais 2022

[Segurança] Dia Internacional da Privacidade de Dados e Semana da Proteção de Dados Pessoais 2022

No dia 28 de janeiro comemoramos no mundo o Data Privacy Day, que aqui virou o Dia Internacional da Proteção de Dados (alguns usam "proteção" ou "privacidade" de dados). Aproveitando essa data e, buscando incentivar a comemoração do dia, a nossa Autoridade Nacional de Proteção de Dados (ANPD) vai realizar algumas atividades durante essa semana agora, que antecede a data.

Assim, nasceu a Semana da Proteção de Dados Pessoais, uma iniciativa da ANPD para compartilhar informações sobre a  Lei Geral de Proteção de Dados Pessoais (LGPD), informações sobre as atividades da própria ANPD e abordar os direitos dos titulares de dados pessoais! A ideia é incentivar a celebração da data e a criação e compartilhamento de conteúdos explicativos sobre o tema.

A ANPD promete divulgar informações em seu site e nas redes sociais, e para fechar as comemorações da Semana da Proteção de Dados Pessoais, a ANPD promete publicar na sexta-feira, 28/01, o "Guia de Tratamento de Dados Pessoais pelo Poder Público".

Veja o vídeo da campanha:

A ANPD incentiva que, durante toda essa semana e, especialmente no Dia da Privacidade de Dados (28/01), os diversos setores, como poder público, setor privado, sociedade civil, terceiro setor, academia e outros interessados realizem atividades de sensibilização sobre os direitos à proteção de dados pessoais e à privacidade.

(Adicionado em 26/01) O pessoa da ANPD está divulgando o material da semana da proteção dados no site deles: Materiais da Semana da Proteção de Dados 2022.

Uma forma de aproveitar essa semana é revisar seus controles de privacidade nos principais apps e redes sociais. Que tal? O pessoal do National Cybersecurity Alliance e do site Stay Safe Online compartilharam uma página com dicas de configurações de privacidade nos principais sites, vale a pena dar uma olhada:

• Manage Your Privacy Settings

Qualquer pessoa ou organização que queira comemorar, participar e acompanhar a campanha pode utilizar as hashtags #SemanaProteçãodeDados2022 ou #DataProtectionDay2022 nas redes sociais.

Veja também:

• Dia Internacional da Proteção de Dados e Semana da Proteção de Dados Pessoais 2022
• Materiais da Semana da Proteção de Dados 2022
• Celebrate Data Privacy Day with Privacy Pros Near and Far (IAPP)
• Data Privacy Week
• Manage Your Privacy Settings

PS: Post atualizado em 26/01.

#SemanaProteçãodeDados2022

#DataProtectionDay2022

[Segurança] Checklist de segurança online

O pessoal da IDWall criou um checklist online sobre segurança, para ver se você está seguindo boas práticas de proteção dos seus dados e sua privacidade. O checklist é bem feito, e você vai marcando as opções conforme vai lendo. Só faltou ganhar uma nota no final para o usuário saber se está indo bem ou não. Há uma barrinha no rodapé da página, mas não é tão intuitivo como se o site desse uma nota final (ex, "você ganhou 7 de 10").

O mais legal desse checklist, na verdade, é que para cada pergunta eles incluem alguns links com dicas sobre o assunto e indicam as principais ferramentas que podem ser usadas.

E aí, que tal dar uma olhada? Clique aqui para começar.

[Cidadania] Bootcamp de proteção à criança online

O primeiro Bootcamp de proteção à criança online (Teckids Day 2021) vai acontecer na semana que vem, de 27 a 30 de Outubro. O evento, organizado por um grupo Teckids, é direcionado para crianças a partir dos 9 anos, adolescentes, educadores, pais e responsáveis.

O evento será online e gratuito. Terá diversas palestras e atividades com profissionais da área de segurança, jurídica, psicologia e educação falando sobre temas relacionados a privacidade e ciber segurança online, voltadas para esse público jovem.

Eu estarei presente em duas atividades no dia 30/10 (sábado): uma oficina sobre Criptografia (chamada de “Vem saber sobre segredos!”) as 14h e um pouco antes também moderar um bate-papo chamado “Deu ruim?”, as 10h, para falar sobre coisas que não devem ser feitas online para não se arrepender depois, ou seja, justamente para discutir a super exposição que normalmente acontece nas redes sociais.

O evento é nacional, online, gratuito e é recomendado para crianças à partir de 9 anos, educadores, pais, mães e responsáveis. Veja mais detalhes, a agenda e link de inscrição no site do evento: https://www.teckids.com.br/teckidsday2021.

Também é possível se inscrever diretamente no Sympla.

PS: Pequena atualização do post em 22/10.

#teckidsday21

[Segurança] Data Privacy Benchmark Study

Já faz um mês em que as sanções da LGPD entraram em vigor, e ainda vale a pena falar mais sobre o assunto.

Por isso, quero destacar o Data Privacy Benchmark Study, um estudo realizado pela CISCO em 2021, que trouxe informações sobre práticas corporativas de privacidade ao redor do mundo, com preocupação especial no impacto causado pela pandemia. Foram entrevistados 4.400 profissionais de TI em 25 países.

De acordo com a pesquisa, foram encontradas evidências de que a privacidade se tornou uma prioridade ainda mais importante durante a pandemia, incluindo um aumento nos orçamentos relacionados a privacidade. Veja alguns dados sobre as posturas das organizações, que foram coletados na pesquisa:

• Os orçamentos (budget) relacionados a privacidade dobraram em 2020, atingindo uma média de 2,4 milhões de dólares;
• 79% dos entrevistados indicaram que as leis de privacidade tiveram um impacto positivo na organização;
• 93% das organizações reportam as métricas de privacidade para seus executivos;
• 93% precisaram do apoio dos times de privacidade para ajudá-las a enfrentar esses desafios;
• 35% está obtendo benefícios (ROI) que equivalem a pelo menos o dobro de seus investimentos;
• Para 34% dos profissionais de segurança, a privacidade de dados é uma área de conhecimento importante.
• 60% responderam que não estavam preparadas para os requisitos de privacidade e segurança envolvidos no home office;
• 87% apresentaram preocupação com as proteções de privacidade para se conectar remotamente.

Para saber mais:

• Link para o relatório: Data Privacy Benchmark Study
• Estudo destaca papel crucial da privacidade emergindo da pandemia

[Humor] Paródia "LGPD: Correndo Contra o Tempo"

As sanções da LGPD já estão em vigor desde o início deste mês, mas ainda tem muita empresa que está correndo contra o tempo para se adequar a Lei Geral de Proteção de Dados Pessoais (LGPD). Em homenagem a essas empresas, a Daryus criou uma paródia sobre o tema, um vídeo curto e bem divertido: 

Agora, vamos repetir o refrão 🎶:

"Ele diz, ooh, tenho que proteger

Nós já estamos atrasados demais…”

[Segurança] O fim da privacidade (em 1999)

Em 1999, durante um evento de lançamento da empresa, o então presidente da Sun Microsystems, Scott McNealy, disse uma frase polêmica na época, que entrou para a história:

"You have zero privacy anyway, get over it."

A frase surgiu quando ele foi questionado sobre quais seriam os recursos de privacidade da nova tecnologia que a SUN estava lançando no momento. Batizada de Jini, essa tecnologia foi criada para permitir a computação distribuída, ou seja, a comunicação e compartilhamento de processamento entre diferentes dispositivos.

Na época, a frase gerou polêmica. Mas hoje, com o vazamento frequente de dados pessoais, realmente temos a sensação de que nossa privacidade acabou. Afinal, nossos dados estão por aí, expostos na Internet. Em uma entrevista recente na Fox Business, em 2018, Scott disse que "Qualquer coisa que você coloca na Internet é como uma tatuagem digital".

Na semana em que as sanções da LGPD entraram em vigor, vale a pena relembrar esses frase, de 22 anos atrás, e pensar em como ela se tornou tão real.

Para saber mais:

• Sun on Privacy: 'Get Over It'
• Vídeo curto da Fox Business com uma entrevista recente com o Scott McNealy - o assunto de privacidade é citado em 1:50.

[Segurança] LGP...O quê?

A Lei Geral de Proteção de Dados Pessoais (LGPD) já está em vigência desde o ano passado e suas sanções começaram a valer a partir deste mês.

Mas sabemos que o mercado ainda não está preparado, como mostra uma estimativa da consultoria ICTS Protiviti, que identificou que no final de 2020, 82% das empresas brasileiras ainda não estavam de acordo com os requerimentos da LGPD.

Ciente desse cenário, a Hekate lançou uma série de vídeos educativos, batizada de "LGP...O quê?". São vídeos curtos e bem objetivos, com conversas leves com especialistas explicando a LGPD.

• "LGPD - O que é a Lei Geral de Proteção de Dados?", com a Marina Ciavatta e a advogada Dra. Luciana Reis

• LGPD - O que são dados?, com a Marina Ciavatta e a advogada Dra. Luciana Reis